Appearance
Trainer 14: D8 Drill Pack (Software Development Security)
目的
Domain 8のSDLC問題を「工程順で解く」型に固定し、後付けセキュリティの誤答を防ぐ。
D8で鍛える3軸
| Axis | 失点しやすい点 | 修正方針 |
|---|---|---|
| 工程順序 | 実装後にまとめて対策 | 要件/設計で先に統制を定義 |
| テスト運用 | SAST/DASTを単発利用 | パイプラインへ継続統合 |
| リリース判定 | 速度優先でゲート省略 | リスク受容基準と承認を必須化 |
問題タイプ別ドリル
Type A: SDLC統合 (first)
- 問い: 最初に導入すべきセキュリティ活動
- 勝ち筋: 要件定義時のセキュリティ要件明確化
- NG選択肢: リリース直前ペンテストのみ
Type B: テスト設計 (best)
- 問い: 最適な検査戦略
- 勝ち筋: SAST(早期) + DAST(動的) + レビューを段階配置
- NG選択肢: 単一ツール依存
Type C: 脅威モデリング
- 問い: どこで何を識別するか
- 勝ち筋: 資産・データフロー・信頼境界・攻撃面を設計時に特定
- NG選択肢: 実装後に場当たりで対処
Type D: サプライチェーン
- 問い: OSS/依存関係の管理
- 勝ち筋: SBOM、署名検証、継続的脆弱性監視
- NG選択肢: 初回導入時のみチェック
30秒判定テンプレ
- 問題はSDLCのどの工程か
- 上流(要件/設計)で抑えられているか
- 検査が継続運用できるか
- リリース判断に承認/基準があるか
誤答修正ルール(D8)
| Error | Fix Rule |
|---|---|
| 終盤一発テストを選ぶ | Shift left first を固定 |
| ツール名で即決 | 工程適合と運用継続性で評価 |
| 依存関係を軽視 | SBOMと継続監視を必須化 |
反復メニュー(20分)
- 8分: Type A/B 5問
- 8分: Type C/D 5問
- 4分: リリースゲート条件を1行化