コース概要

本講座はインターネットまたは内部ネットワーク向けに公開するWebアプリケーションをセキュアに構築するための要件や設計を学ぶことを目的としています。

“セキュリティ対策に終わりはない”ことは事実ですが、Webアプリケーションにおいては新しい攻撃手法が次々に登場するわけではないため、セキュアに構築するためのセオリーがあります。

つまり、攻撃に対応した安全なWebサイトを構築するためのセキュリティ要件は明確になっていて、それに対応した設計を施し、実装することで、攻撃の大半は防ぐことができるのです。

セキュリティの問題を修正する場合、開発後のフェーズになるほど高いコストが必要になってきます。要件定義や、設計段階での不備は、後の全フェーズに影響します。そのため、セキュリティの問題は設計段階までには解消しておくことが重要です。

セキュリティ対策を適切なコストで確実に行うためにも、Webシステムの要件定義書には機能要件や性能要件などに加えて、セキュリティ要件を必ず盛り込み、それに基づいた設計を行うことが必要なのです。

本講座では、Webサイトを取り巻く現状を学ぶことから始まり、Webシステムに対する攻撃手段とその仕組みなどについて学び、安全なWebアプリケーション開発のために必要な要件と設計の具体例を学びます。

本講座では下記のスキルを習得することができます。

  • セキュアなWebシステム/Webアプリケーションを構築するために必要な知識
  • Webシステムに対して発生しうる脅威・攻撃手法についての理解
  • 発注者・開発者に必要なWebシステム/Webアプリケーションのセキュリティ要件
  • 上記セキュリティ要件を満たす設計の具体例

本講座で使用するドキュメントは実務でのセキュリティ要件の作成時や設計時に、そのままご活用いただける内容となっています。

対象者

イントラネット/内部ネットワーク向けのWebシステム/Webアプリケーションに関わる下記の方が主な対象者となります。

  • Webシステムの発注者
  • Webアプリケーション設計者・開発者

PCI DSSなどで要求されるOWASP Top 10などに基づいた安全なコーディング技法に関するトレーニングが要求されている場合などにも最適です。

内容

セキュアWebアプリケーション開発を身につけてもらうために理解が必要な、Webサイトを取り巻く現状と、昨今のWebに対する脅威や攻撃手法の具体例を網羅的に学んで頂きます。
そして、学んだ脅威やWebアプリケーションの攻撃手法に対応するセキュアWebアプリケーションの構築手法について具体的に学んでいきます。

安全なWebサイトを構築・運用するために知っておくべきこと

Webサイトを取り巻く現状と、安全なWebサイトを構築・運用するために知っておくべき事項を学びます。

  • なぜ御社のWebサイトが攻撃されるのか
  • 安全なWebサイトを構築・運用するために知っておくべきこと
  • Webシステム/Webアプリケーションセキュリティ要件
Webアプリケーションの脅威とその攻撃手法

代表的なWebアプリケーションに対する攻撃手法とその仕組みについてデモなどを交えながら学びます。

  • Webサイトへの攻撃とその特徴
  • Webアプリケーションへの攻撃手法
    • SQLインジェクション
    • コマンドインジェクション
    • クロスサイトスクリプティング(XSS)
    • パストラバーサル
    • CRLFインジェクション
    • HTTPヘッダーインジェクション
    • メールヘッダーインジェクション
    • リモートファイルインクルージョン(RFI)
    • セッションハイジャック
    • セッションフィクセーション
    • クロスサイトリクエストフォージェリー(CSRF)
    • 強制ブラウジング
    • オープンリダイレクト
    • ファイルアップロードに係わる脆弱性
    • 認可制御の不備・欠落
    • 認証に係わる脆弱性
    • Webサイトのパスワードに対する攻撃
    • クリックジャッキング
セキュアWebアプリケーションの構築

Webアプリケーションへの攻撃に対応した、安全なWebアプリケーション開発のために必要な設計の具体例を学びます。

  • 認証(パスワードを主とした認証の実装について)
  • アクセス制御(認可)
  • セッション管理
  • 文字列処理
  • HTTPSによるWebサイトの保護
  • エラーハンドリング
  • 画面設計
  • その他
ディスカッション

本講座は座学で行いますが、過去のセキュリティ事例(インシデントなど)に基づいた問題の解決をグループディスカッションなどの形式で行います。

お問い合わせ・お申し込み

ご相談、お申し込みなどについてはこちらまで。