Skip to content

Trainer 14: D8 Drill Pack (Software Development Security)

目的

Domain 8のSDLC問題を「工程順で解く」型に固定し、後付けセキュリティの誤答を防ぐ。

D8で鍛える3軸

Axis失点しやすい点修正方針
工程順序実装後にまとめて対策要件/設計で先に統制を定義
テスト運用SAST/DASTを単発利用パイプラインへ継続統合
リリース判定速度優先でゲート省略リスク受容基準と承認を必須化

問題タイプ別ドリル

Type A: SDLC統合 (first)

  • 問い: 最初に導入すべきセキュリティ活動
  • 勝ち筋: 要件定義時のセキュリティ要件明確化
  • NG選択肢: リリース直前ペンテストのみ

Type B: テスト設計 (best)

  • 問い: 最適な検査戦略
  • 勝ち筋: SAST(早期) + DAST(動的) + レビューを段階配置
  • NG選択肢: 単一ツール依存

Type C: 脅威モデリング

  • 問い: どこで何を識別するか
  • 勝ち筋: 資産・データフロー・信頼境界・攻撃面を設計時に特定
  • NG選択肢: 実装後に場当たりで対処

Type D: サプライチェーン

  • 問い: OSS/依存関係の管理
  • 勝ち筋: SBOM、署名検証、継続的脆弱性監視
  • NG選択肢: 初回導入時のみチェック

30秒判定テンプレ

  1. 問題はSDLCのどの工程か
  2. 上流(要件/設計)で抑えられているか
  3. 検査が継続運用できるか
  4. リリース判断に承認/基準があるか

誤答修正ルール(D8)

ErrorFix Rule
終盤一発テストを選ぶShift left first を固定
ツール名で即決工程適合と運用継続性で評価
依存関係を軽視SBOMと継続監視を必須化

反復メニュー(20分)

  • 8分: Type A/B 5問
  • 8分: Type C/D 5問
  • 4分: リリースゲート条件を1行化