トレーニングのポイント
システム開発ライフサイクル(SDLC)に沿って、脆弱性を生まないための知識と実践力を身につける開発エンジニア向けトレーニングです。
脆弱性を発生させてしまう立場である開発者の視点に立ち、セキュリティの基本概念を学んだうえで、NIST 800-64 を基盤とした各工程でのセキュリティ考慮点を理解します。
さらに、身近な脆弱性の原理や、それを突いた攻撃手法を把握することで、脆弱性対策に必要な知見を深めていきます。
演習では、脆弱性を含む Web サイトへの攻撃を実際に各自の環境で体験し、攻撃がどのように成立するのかを実践的に理解します。
その後、攻撃を受けたプログラムコードを確認し、どこに問題があったのか、どのように修正すべきかを具体的に学ぶことで、脆弱性の原因から対策までを一気通貫で理解できます。
通常の開発環境では体験しづらい攻撃シナリオも扱い、実務に直結するセキュア開発スキルを習得することができます。
こんな方にオススメ
プログラム開発、システム企画、要件定義などを実施するかたで、脆弱性のない(少ない)情報セキュリティに配慮したシステム開発を目指すかた
プログラム開発経験が少なく、セキュリティ対応について知識が浅い開発者
システム開発のプロジェクトリーダー
外部へシステム開発を委託する立場で、セキュリティ対応についても依頼・確認するかた
システム開発におけるセキュリティ指針(ポリシー、ルール)を定める立場のかた
よくある課題
システム開発現場でのセキュリティ対策が不十分
システム開発に関わる関係者がセキュリティ対応の重要性を理解していない
セキュリティに考慮したプログラム開発技術の知識が不十分
プログラム開発担当者へセキュリティ対策の技術や内容を教育したい
習得できるスキル
受講後のイメージ
システム開発工程全体を通してのセキュリティ対応を効率よく、確実性をもって実施できるようになる
セキュア開発の技術的な要点を理解し実施できる
・バリデーションの実施
・認証認可、暗号技術を理解し脆弱性となる間違った使用を防止
・フレームワーク使用による効果的なセキュリティ対応方法の実施
システムの脆弱性を発見、対処することができる
開発経験のない、開発者ではない方でも、開発時のセキュリティの注意点を示すことができる
トレーニング概要
2日間
システム開発エンジニア、プログラマー、システム開発管理者
・システム開発部門にて1年以上のプログラム開発経験、またはシステム企画部門で1年以上の従事経験
・基本的なIT知識、Webアプリケーションの基本的な知識
・Javaによる開発経験
※Javaプログラミングのご経験が無い方でも、Java言語を事例をもとにセキュア開発の対応についてご理解いただけます
オープン講座は1名からご参加可能
(一定の最小開講人数に満たない場合、次回の開催日に変更となる場合がございます)
全てのアリーナ
300,000円(税抜)/人
オープン講座へのご参加はOPEN TRAININGからお申し込みください。
単独開催につきましては、お問い合わせください
トレーニングプログラム例
・1時間の昼食休憩および適宜休憩時間を設けます
・開講時間10:00〜17:30(受付は各日9:45~)
トレーニングの概要とスケジュール説明
セキュア開発の下地となるサイバーセキュリティの基礎
システム開発ライフサイクル(SDLC)に沿った工程ごとでのセキュリティ対応の要点
セキュアコーディングにおける入力検証の重要性
認証認可メカニズムの理解とシングルサインオン手順
セキュリティと関連深い暗号
セキュア開発を実施するうえで重要なコーディング規約とコードレビューについての解説と、その必要性について意見交換
よく指摘される脆弱性と、それを突いた攻撃の手法について説明します。 こちらで説明した攻撃手法をもとにWeb脆弱性演習にてWebサイトへの攻撃を実施します。
静的解析ツール「 SonarQube 」 を用いたコードレビューを体験
脆弱性のあるプログラムコード(Java)のソースを目視にてレビューを行い、脆弱性の部分の発見と、その対応について確認
攻撃手法ごとの脆弱性のあるWebサイト/プログラム(Java)への攻撃を体験、 そして、各プログラムコードの問題点や修正点について解説 (SQLインジェクション攻撃、XSS攻撃2タイプ、CSRF攻撃2タイプ ほか)
講習全体の総括と質疑応答
※トレーニングプログラムは一部変更になることがあります
※単独開催の場合には、お客様に応じてカスタマイズも承っております
プライバシーポリシー・サイバーセキュリティトレーニング関連サービス規約をご確認ください