ECSPコース詳細(認定セキュアプログラマー)

ECSPコース詳細(認定セキュアプログラマー)

Webアプリケーションセキュリティの現状

調査をしたセキュリティ専門家の70%が、組織は重要なWebアプリケーションのセキュリティと保護に資源を十分に配分していないと考えている。

緊急の脆弱性の34%が未修正

38%が、1件の脆弱性の修正を開発者がするのに20時間超かかると考えている

回答者の55%が、開発者は忙しすぎてセキュリティ問題に対応で きていないと考えている

また、シスコ社が2014年1月16日に発表したレポートでは、攻撃の91%の主な原因はJavaにあると報告。

Javaに対する攻撃リスクTOP10

  • 1位

    セキュリティの設定ミス

  • 2位

    クロスサイトスクリプティング(XSS)

  • 3位

    SQLインジェクション

  • 4位

    クロスサイトリクエストフォージェリ(CRSR)

  • 5位

    URLアクセス制限の不備

  • 6位

    トランスポート層の保護が不十分

  • 7位

    リダイレクトとフォーワードの確認の不備

  • 8位

    安全ではないオブジェクトの直接参照

  • 9位

    認証のセキュリティ侵害

  • 10位

    安全ではない暗号化データの保管

セキュアプログラミングを理解する

Javaアプリケーションのセキュリティ

プログラマの警戒度

Javaアプリケーションのセキュリティを左右するのは、設計/コード化段階のプログラマの警戒度

セキュリティ脅威

Javaアプリケーションのセキュリティは、潜在的なセキュリティ脅威がないか、アプリケーションを絶えずチェックすることで維持できる。

アプリケーション初期設計

アプリケーションの初期設計はセキュアアプリケーションの作成で重要な役目を果たす。




セキュアコーディングとは?

セキュアコーディングとは、考えうる、あらゆる種類の攻撃に必ず耐えることができる、セキュリティホールのない堅牢なソフトのプログラムを書くこと。
論理的なエクスプロイトとプログラムクラッシュによる盗み取りや改ざんからデータを守る一助となる。

CERT/CCの脆弱性報告書によると、小さなプログラミングミスが、アプリケーションの深刻な脆弱性を生む可能性がある。
セキュリティホールのあるプログラムは、攻撃者がサーバやユーザのパソコンを乗っ取り、DoS、IDの盗み取り、マルウェア攻撃等、様々なタイプのホスト/ネットワーク攻撃を開始する際に利用される恐れがある。




セキュリティミスはなぜ起こるのか?

  • コード全体の構築段階におけるセキュリティの原則(特権)の適用不備

  • セキュリティ問題を取り上げないプログラミングカリキュラムが多い

  • 設計段階での、欠陥のある入力データの取り扱いの不備

  • 十分な試験が行われず、試験段階で一部欠陥が見逃されたこと

  • コードの軽微な欠陥が、様々な脆弱性を生む余地を与え、これが深刻なシステムの障害につながる

  • セキュアコードを書くには、時間、コスト、労力が余分にかかる

  • その上、プロジェクト開発の各段階で、セキュアコーディングに関する適切な指導がコード開発者に対して行われていない




セキュアコーディング研修が重要な理由

パッチリリースによるバグ修正は、 設計段階でのバグ修正に比べコストが60倍!

ECSP(EC-Council Certified Secure Programmer)とは?

コース説明

ECSP-Javaは、Javaのセキュリティ機能、セキュリティポリシー、長所と短所をカバーした実践的トレーニングを行う統合型コース。

開発者が、安全で堅牢なJavaアプリケーションのプログラムの書き方を理解する手助けをするとともに、悪意とバグのあるコードを効果的に阻止できる、Javaのセキュア開発の様々な側面に関する高度な知識を提供。
セキュリティに配慮してJavaコーディングを行うことで、貴重な労力、資金、時間を使わなくてすみ、場合によっては、Javaアプリケーションを使う組織の評判を落とす心配もなくなる。

受講対象者 ECSP認定資格は、 Windows/WebベースのセキュアアプリケーションのJavaでの設計 、構築を担うプログラマと、Javaの開発スキルを備えた開発者
必要条件 プログラミング言語Javaに精通していること
受講期間 3日間(10:00~18:00)
注:必要に応じて、講師と研修センターがクラスの時間帯を調整する場合があります。

ECSPコースの特長

ECSPコースの主な特長

  • セキュア開発ライフサイクルに目を向けることで、セキュアアプリケーションを一から築き上げていくことが求められている現状を受講者がきちんと理解できる内容。

  • プログラミングの基本的なスキルにとどまらず、深く掘り下げて、ソフトウェア開発ライフサイクル全体に適用できる、確かなプロセスと手法をJava開発者に伝授。

  • セキュアコーディングのベストプラクティスに従わないとどのような結果を招く恐れがあるかを示す、最新の実例を紹介。

  • 実際に即したラボが、実際の攻撃とその対策で、Javaのセキュリティコンセプトを強調。

  • コード例を実際に使って学ぶことで、問題に光を当て、ソリューションを示す。

他社の養成講座との差別要素

  • 完全に実践重視のコース

  • Javaアプリケーションに存在する、最新の脆弱性をリアルタイムにカバー

  • アプリケーション攻撃の最新トレンド

  • Javaプログラミングミスと設定ミスを実践的に説明

  • セキュアプログラミングに集中しない場合の“たとえ話”をして、
    Java開発者のやる気を刺激

  • 知識の長期的な保持を目的に、全トピックで実習を採用

  • 受講者の関心をそらさないため、独自の工夫で実習と講義資料が
    密接に絡み合う内容にしている

コース概略と受講内容

  • セキュアソフトウェア開発

  • エラー処理とロギング

  • 認証と承認

  • Javaセキュリティ概論

  • 入力チェック

  • Javaの並行処理/
    セッション管理

  • Java暗号化

  • ファイルの入出力と
    シリアライズ

  • JAAS

  • Javaアプリケーションの脆弱性

本コースの受講者は、次の分野の知識を習得

  • Javaセキュリティの原則とセキュアコーディングの方法

  • Javaセキュリティプラットフォーム、サンドボックス、JVM、クラスローディング、バイトコードベリファイア、セキュリティマネジャ、セキュリティポリシー、Javaセキュリティの枠組み

  • セキュアソフトウェア開発のライフサイクル、脅威のモデル化、ソフトウェアセキュリティの枠組み、セキュアソフトウェアのアーキテクチャ

  • セキュアファイルの入出力とシリアライズのベストプラクティスと基準/ガイドライン

  • Java入力チェックのテクニック、チェックミス、ベストプラクティス

  • Javaの例外、誤動作、これを処理または回避するためのベストプラクティス

  • セキュア認証と承認プロセス

  • コーディング試験とレビューのテクニックと手法

お問い合わせはお電話とGSXコーポレートサイトのお問い合わせフォームより受け付けております。