JA  /  EN
セキュアWebアプリケーション設計士 新コースウェアリリースキャンペーン実施中‼

セキュアなWebアプリケーション設計とは?

“セキュリティ対策に終わりはない”ことは事実ですが、
Webアプリケーションをセキュアに構築するためにはセオリーがあります。

Webアプリケーションにおいては新しい攻撃手法が次々に登場するわけではないため、セキュアに構築するためのセオリーがあります。つまり、攻撃に対応した安全なWebサイトを構築するためのセキュリティ要件は明確になっていて、それに対応した設計を施し、実装することで、攻撃の大半は防ぐことができます。

セキュリティの問題を修正する場合、開発後のフェーズになるほど高いコストが必要になってきます。要件定義や、設計段階での不備は、後の全フェーズに影響します。そのため、セキュリティの問題は設計段階までには解消しておくことが重要です。

このトレーニングで学ぶこと

本トレーニングは、『脆弱性診断士スキルマッププロジェクト』が公開している
『Webシステム/Webアプリケーションセキュリティ要件書』に基づいています。

セキュアWebアプリケーション設計士トレーニングでは、インターネットまたは内部ネットワーク向けに公開するWebアプリケーションをセキュアに構築するための要件や設計を学ぶことを目的としています。

本トレーニングで学ぶことができる要件や設計方針は、特定非営利活動法人日本ネットワークセキュリティ協会の日本セキュリティオペレーション事業者協議会のセキュリティオペレーションガイドラインWG(WG1)と、OWASP Japan主催の共同ワーキンググループである『脆弱性診断士スキルマッププロジェクト』が公開している『Webシステム/Webアプリケーションセキュリティ要件書』に基づいています。

上野宣氏による全面監修

「要件定義」と「設計」でセキュリティを
考慮することが最良の選択肢

システムの開発工程は要件定義、設計、実装、テスト、運用といったように分かれていて、セキュリティ上の脅威となる事象の原因は開発工程のどこかで作り込まれます。その中でも上流工程の要件定義・設計段階で作り込まれた脆弱性やセキュリティ上の不備は後の工程に大きく影響を及ぼします。後になって要件定義の段階での問題に気が付いた場合には大きな手戻りが必要になります。

要件定義・設計段階でセキュリティに掛けるにコスト比べて、実装段階で手戻りすると6.5倍、テスト段階では15倍、運用開始後だと60倍以上掛かるという研究結果もあります。

コストの問題だけではありません。たとえば認証やアクセス制御などの問題は要件定義や設計の時点でセキュアか否かが決まることもあります。実装や運用開始後の場当たり的な対策でカバーできるものではないのです。

要件定義と設計でセキュリティを考慮するということの重要さは、ウォーターフォールモデルだろうがアジャイルモデルだろうが変わりません。

Webアプリケーションのセキュリティ要件には
「正解」がある

システムのセキュリティ要件というと、サイバーセキュリティの専門家ではない人にとっては難しく感じるのではないでしょうか。その理由としては、新たな事件や問題が次々に起きていくので、必要なセキュリティ施策をキャッチアップしきれないと考えているのかもしれません。

しかし、実はWebアプリケーションに必要なセキュリティ要件はそれほど頻繁に更新されるものではないのです。私がOWASPのプロジェクトで作っている汎用的に利用できる「Webシステム/Webアプリケーションセキュリティ要件書」は約3年に1度アップデートしていますが、要件定義の大半には大きな変化はありません。1度理解すれば末永く使えてあらゆるWebアプリケーションに活用できるのです。

「正しい設計」を知ろう

セキュリティ要件は、大半のWebアプリケーションで共通のものが適用できますが、設計については機能要件や環境などによって異なってきます。セキュリティ要件に基づいてどのように正しく設計すべきかということを知る必要があります。もちろん、その後の実装段階においても同様です。

「正しい設計」はWebアプリケーションごとに異なる機能はもちろん、利用する言語やシステム環境が異なっても不変のものです。

この「セキュアWebアプリケーション設計士」講座ではセキュアなWebアプリケーションに必要な「正しい設計」を学ぶことができます。「正しい設計」を知ることで、安全なWebアプリケーションを作れるようになりましょう。

上野 宣 UENO Sen
2006年に株式会社トライコーダを設立。企業や官公庁などにサイバーセキュリティ教育やトレーニングを提供。 OWASP Japan 代表、JNSA ISOG-J セキュリティオペレーションガイドラインWG (WG1) リーダー、情報処理安全確保支援士 集合講習講師、一般社団法人セキュリティ・キャンプ協議会GM、情報セキュリティ専門誌 ScanNetSecurity 編集長、Hardening Project 実行委員、SECCON 実行委員、東京2020オリンピック・パラリンピック競技大会向けサイバー攻撃・防御演習 NICT サイバーコロッセオ 推進委員、NICT 実戦的サイバー防御演習 CYDER 推進委員、Flatt Security 社外取締役などを務める。
主な著書に『Webセキュリティ担当者のための脆弱性診断スタートガイド 上野宣が教える情報漏えいを防ぐ技術』、『HTTPの教科書』、『めんどうくさいWebセキュリティ』、『今夜わかるシリーズ(TCP/IP, HTTP, メール) 』など他多数。
第16回「情報セキュリティ文化賞」、(ISC)2 第11回アジア・パシフィック情報セキュリティ・リーダーシップ・アチーブメント(ISLA) 受賞。
代表者略歴はこちら

短期集中の1日トレーニング
セキュアWebアプリケーション設計士 トレーニング
Secure Web application Designer

安全なWebアプリケーション開発のために必要な要件と設計の具体例を学ぶ、短期集中の1日トレーニングです。

イントラネット/内部ネットワーク向けのWebシステム/Webアプリケーションに関わる下記の方が主な対象者となります。
 ● Webシステムの発注者
 ● Webアプリケーションの設計者・開発者


PCI DSSなどで要求されるOWASP Top 10などに基づいた安全なコーディング技法に関するトレーニングが 要求されている場合などにも最適です。

本講座では下記のスキルを習得することができます。

  • セキュアなWebシステム/Webアプリケーションを構築するために必要な知識
  • 発注者・開発者に必要なWebシステム/Webアプリケーションのセキュリティ要件
  • 上記セキュリティ要件を満たす設計の具体例
セキュリティ要件
・セキュリティ要件の原則
・Webアプリケーションのセキュリティ要件


セキュアWebアプリケーションの構築
・認証の目的
・NIST SP800-63B、Authenticatorのタイプ、AAL
・Webアプリケーションで使う主な認証の種類
・BASIC認証、DIGEST認証
・フォームベース認証
・認証を行うべき箇所
・強いパスワードとは
・パスワードのハッシュ化、salt、ストレッチング
・パスワードの作成について
・ユーザーへのパスワード通知方法
・パスワードの変更機能
・パスワードリセット機能
・秘密の質問について
・認証実行時のエラー処理、ログ記録
・アカウントロック
・パスワードリスト攻撃対策
・二要素認証、リスクベース認証


認可
・認可の目的
・アクセス制御の失敗例
・アクセス制御方法
・OpenID, OAuth, シングルサインオン
・限定公開URL
・FIDO認証
セッション管理
・セッションIDの役割
・Cookie
・設定すべきCookieの属性値
・セッションIDを利用した攻撃を防ぐ設計
・セッションタイムアウトの設計
・ログアウト機能
・セッションIDの生成
・CSRF対策
・トークン方式
・SameSite属性


入力処理
・クライアント側での入力値チェック
・Webアプリケーション側でのチェック
・パラメーターについて
・入力値の文字種や文字長の検証
・文字エンコーディングの統一
・入力値としてファイルを扱う場合
・XMLファイルを扱う場合
・デシリアライズについて


出力処理
・出力処理で必要なこと
・特殊文字のエスケープ処理
・HTMLを生成する際の処理
・HTMLのエスケープ処理
・その他のスクリプト埋め込み原因の排除
・クライアント側でHTMLを生成する際の処理
・SQL文を組み立てる際の処理
・JSONの生成
・OSコマンドを呼び出す処理
・HTTPレスポンスヘッダーについて
・リダイレクタを使う際の注意事項
HTTPS
・SSL/TLS
・HTTPSの仕組み
・証明書に対する攻撃
・HTTPSを使う際の注意
・証明書の種類、用途による使い分け
・安全なプロトコルと暗号アルゴリズム
・フィッシングサイトに対抗するには?


その他
・エラーメッセージハンドリング
・暗号アルゴリズムと乱数について
・疑似乱数生成器
・言語・フレームワーク・ミドルウェア・ライブラリなどの選定
・ログの記録
・ユーザーへの通知
・Access-Control-Allow-Originヘッダーについて
・クリックジャッキング対策
・キャッシュ制御について
・CAPTCHAについて
・言語環境のセキュリティ設定
・用意すべきドキュメント
受講概要
主催 グローバルセキュリティエキスパート株式会社
受講料 120,000円(税別)
開催場所 オンライン(ライブ配信)
開催期間 1日間|10:00~17:00
定員 50名/回(最小遂行人数5名)
備考
  • 専用テキスト配布
開催日程

2021年10月27日(水) 受付終了

2021年11月22日(月)受付終了

2021年12月20日(月)空席あり

申し込む

2022年1月12日(水)空席あり

申し込む

2022年2月21日(月)空席あり

申し込む

2022年3月22日(火)空席あり

申し込む
セキュリティに関するどのようなご支援をご希望ですか?
ご質問・ご相談・お見積りなど、お気軽にお問い合わせください。