株式会社トライコーダ お問い合わせはこちら
情報セキュリティ教育 脆弱性診断 会社概要

HOME > 情報セキュリティ教育 >セキュアWebアプリケーション開発講座

情報セキュリティ教育

セキュアWebアプリケーション開発講座

Webのセキュリティ対策をどこまで実施すればよいかという悩みを持っていませんか?

あなたと同じように「考慮すべき点が多くてWebのセキュリティ対策をどこまで実施すればよいかがわからない」という悩み持っていた人が、本研修を受講して、実例やツールの説明もあり理解しやすく、何からスタートして良いかが明確になったと感じています。本研修は設計や開発等にすぐに役立つ実務的な内容でありながら、Webセキュリティの全体像が見えるお勧めの研修内容です。

コースの概要

本講座は、インターネットまたはイントラネット向けに公開するWebアプリケーションをセキュアに構築するための要件や設計を学ぶことを目的としています。

“セキュリティ対策に終わりはない”ことは事実ですが、Webアプリケーションに関しては、ここ数年はまったく新しい攻撃手法はほとんど発見されていません。

つまり、攻撃に対応した安全なWebサイトを構築するためのセキュリティ要件は明確になっていて、それに対応した設計を施し、実装することで、攻撃の大半は防ぐことができるのです。

本講座では、Webサイトを取り巻く現状を学ぶことから始まり、Webシステムに対する攻撃手段とその仕組みなどについて学び、安全なWebアプリケーション開発のために必要な要件と設計の具体例を学びます。

本講座で使用するドキュメントは実務でのセキュリティ要件の作成時や設計時に、そのままご活用いただける内容となっています。

セミナードキュメント

設計段階のセキュリティ対策が重要

セキュリティの問題を修正する場合、開発後のフェーズになるほど高いコストが必要になってきます。

要件定義や、設計段階での不備は、後の全フェーズに影響します。そのため、セキュリティの問題は設計段階までには解消しておくことが重要です。

セキュリティ対策を適切なコストで確実に行うためにも、Webシステムの要件定義書には機能要件や性能要件などに加えて、セキュリティ要件を必ず盛り込み、それに基づいた設計を行うことが必要なのです。

次のスキルが習得できます

  • セキュアなWebシステム/Webアプリケーションを構築するために必要な知識を、体系立てて学ぶことができる
  • Webシステムに対して発生しうる脅威・攻撃手法についての理解
  • 発注者・開発者に必要なWebシステム/Webアプリケーションのセキュリティ要件
  • 上記セキュリティ要件を満たす設計の具体例

対象者

イントラネット/インターネット向けのWebシステム/Webアプリケーションに関わる下記の方が主な対象者となります。

  • Webシステムの発注者
  • Webアプリケーション設計者・開発者

PCI DSSでOWASPガイドなどに基づいた安全なコーディング技法に関するトレーニングが要求されている場合などにも最適です。

コースの内容

セキュアWebアプリケーション開発を身につけてもらうために理解が必要な、Webサイトを取り巻く現状と、昨今のWebに対する脅威や攻撃手法の具体例を網羅的に学んで頂きます。
そして、学んだ脅威やWebアプリケーションの攻撃手法に対応するセキュアWebアプリケーションの構築手法について具体的に学んでいきます。

○安全なWebサイトを構築・運用するために知っておくべきこと

Webサイトを取り巻く現状と、安全なWebサイトを構築・運用するために知っておくべき事項を学びます。

  • なぜ御社のWebサイトが攻撃されるのか
  • 安全なWebサイトを構築・運用するために知っておくべきこと
  • Webシステム/Webアプリケーションセキュリティ要件

○Webアプリケーションの脅威とその攻撃手法

代表的なWebアプリケーションに対する攻撃手法とその仕組みについてデモなどを交えながら学びます。

  • Webサイトへの攻撃とその特徴
  • Webアプリケーションへの攻撃手法
    • クロスサイトスクリプティング(XSS)
    • クロスサイトトレーシング(XST)
    • SQLインジェクション
    • ディレクトリトラバーサル
    • OSコマンドインジェクション
    • HTTPヘッダインジェクション
    • セッションハイジャック
    • クロスサイトリクエストフォージェリー(CSRF)
    • パスワード攻撃
    • 強制ブラウズ
    • その他、十数種類の攻撃手法について

○セキュアWebアプリケーションの構築

Webアプリケーションへの攻撃に対応した、安全なWebアプリケーション開発のために必要な設計の具体例を学びます。

  • 認証(パスワードを主とした認証の実装について)
  • アクセス制御(認可)
  • セッション管理
  • 文字列処理
  • HTTPSによるWebサイトの保護
  • エラーハンドリング
  • 画面設計
  • 携帯サイトのための注意事項
  • その他

○ディスカッション

最新のセキュリティ事例(インシデントなど)に基づいた問題の解決をグループディスカッションなどの形式で行います。

セミナーの様子 セミナーの様子

講師からのコメント

インターネット上の攻撃というと、ハッカーが有名企業などを狙い撃つイメージを持っている方もいるかもしれません。しかし、世の中で起きている攻撃の大半は、ネット上に仕掛けられた自動攻撃ロボットやツールによって行われています。

攻撃者は手当たり次第に脆弱性を持ったサーバーを探し、自動的に攻撃を仕掛けているのです。そのため、インターネット上のWebシステムだけではなく、イントラネット上のシステムまでターゲットとなっています。事業規模や業種などに関わらず、すべてのWebシステムがターゲットになる可能性があり、Webサイト運営者はセキュリティ対策を意識せざるを得ない状況です。

多くのセキュアWebアプリケーションの講座では、攻撃手法に対応した防御手法を教えていますが、それでは新たな攻撃手法が登場したときに都度対応になり、後手に回らざるを得ません。

システムを守るために必要なことは、脅威に対応する手法をすべて網羅し、それを体系立てて学ぶことです。本講座では、セキュアなWebシステムに必要な知識を体系立てて学ぶことができ、それを実装に活かすように構成されています。

(参考)Webシステム/Webアプリケーションセキュリティ要件書

研修課程の中でも取り上げているWebサイトの脆弱性を防ぐセキュリティ要件をまとめた仕様書「発注者のためのWebシステム/アプリケーションセキュリティ要件書」は、クリエイティブコモンズライセンスにより無償で公開しています。

お問い合わせ、お申し込み

ご相談、お申し込みなどについてのお問い合わせはこちらまで。

電話: 03-4530-0543
メール: info@tricorder.jp

もしくは、下記メールフォームより送信して下さい。
後ほど弊社担当者からご連絡させて頂きます。

ご担当者名
会社名
電話番号
メールアドレス
メールアドレス (もう1度入力)
Webサイト
お問い合わせ内容

 

は入力必須項目です。

セキュアWebアプリケーション開発講座

自社で取り組むWebアプリケーション脆弱性診断

自社で取り組むネットワーク脆弱性診断

発注者のためのWebシステム/Webアプリケーションセキュリティ要件書