セキュリスト|認定セキュアWebアプリケーション設計士
認定セキュアWebアプリケーション設計士は、インターネットまたは内部ネットワーク向けに公開するWebアプリケーションをセキュアに構築するための要件や設計を学ぶ、短期集中の1日トレーニングコースです。Webシステムの発注担当者やWebアプリケーションの設計・開発に関わる人におすすめです。PCI DSS等で要求されるOWASP Top10にもとづいた安全なコーディング技法のためのトレーニングとしても最適です。
認定セキュアWebアプリケーション設計士は、インターネットまたは内部ネットワーク向けに公開するWebアプリケーションをセキュアに構築するための要件や設計を学ぶ、短期集中の1日トレーニングコースです。Webシステムの発注担当者やWebアプリケーションの設計・開発に関わる人におすすめです。PCI DSS等で要求されるOWASP Top10にもとづいた安全なコーディング技法のためのトレーニングとしても最適です。
セキュアなWebアプリケーション設計がサイバー攻撃の大半を防ぐ
セキュリティの問題を修正する場合、開発後のフェーズになるほどコストが大きくなります。要件定義や設計段階の不備が後の全フェーズに影響し、修正範囲が広くなるためです。つまり、設計段階におけるセキュリティ対策が重要なのです。
認定セキュアWebアプリケーション設計士は、インターネットまたは内部ネットワーク向けに公開するWebアプリケーションを構築する際の「セキュリティ要件」や「正しい設計」を学ぶトレーニングコースです。
トレーニングカリキュラムは、「脆弱性診断士スキルマッププロジェクト」が公開している「Webシステム/Webアプリケーションセキュリティ要件書」にもとづいています。
Webサイトを取り巻く現状、Webシステムに対する攻撃手段とその仕組みなどを学んだあと、セキュアなWebアプリケーション開発に必要な要件と設計について具体例を踏まえて学びます。
-
情報セキュリティに精通した事業者が開発した実践型トレーニング
情報セキュリティ領域で事業を展開するGSX、トライコーダが開発した実践的なトレーニングプログラムです。
-
Webアプリケーションの正しい設計を学べる
Webアプリケーションのセキュリティ要件は、頻繁かつ大きく変化するものではありません。一度理解すれば末永く使えてあらゆるWebアプリケーションに活用できます。
-
正しいセキュリティ知識があるから、無駄なコストや時間がかからない
Webアプリケーションにおける正しいセキュリティ要件を理解しているから、社内開発でも外部発注でも無駄な手戻りやコストが発生することがありません。
脆弱性診断の第一人者である
トライコーダ 上野 宣 氏が全面監修
自身も腕利きの脆弱性診断士でありぺネストレーションテスターでもある、脆弱性診断の第一人者・上野 宣 氏が全面監修したトレーニングコースです。同氏が代表を務めるJNSA-ISOG-JのセキュリティオペレーションガイドラインWG(WG1)、およびOWASP Japan主催の共同ワーキンググループである「脆弱性診断士スキルマッププロジェクト」が公開している「Webシステム/Webアプリケーションセキュリティ要件書」にもとづいています。 上野 宣 氏のプロフィールはこちら
「要件定義」と「設計」でセキュリティを考慮することが最良の選択肢
要件定義・設計段階でセキュリティに掛けるにコスト比べて、実装段階で手戻りすると6.5倍、テスト段階では15倍、運用開始後だと60倍以上掛かるという研究結果もあります。
コストの問題だけではありません。たとえば認証やアクセス制御などの問題は要件定義や設計の時点でセキュアか否かが決まることもあります。実装や運用開始後の場当たり的な対策でカバーできるものではないのです。
要件定義と設計でセキュリティを考慮するということの重要さは、ウォーターフォールモデルだろうがアジャイルモデルだろうが変わりません。
Webアプリケーションのセキュリティ要件には
「正解」がある
システムのセキュリティ要件というと、サイバーセキュリティの専門家ではない人にとっては難しく感じるのではないでしょうか。その理由としては、新たな事件や問題が次々に起きていくので、必要なセキュリティ施策をキャッチアップしきれないと考えているのかもしれません。
しかし、実はWebアプリケーションに必要なセキュリティ要件はそれほど頻繁に更新されるものではないのです。私がOWASPのプロジェクトで作っている汎用的に利用できる「Webシステム/Webアプリケーションセキュリティ要件書」は約3年に1度アップデートしていますが、要件定義の大半には大きな変化はありません。1度理解すれば末永く使えてあらゆるWebアプリケーションに活用できるのです。
「正しい設計」を知ろう
セキュリティ要件は、大半のWebアプリケーションで共通のものが適用できますが、設計については機能要件や環境などによって異なってきます。セキュリティ要件に基づいてどのように正しく設計すべきかということを知る必要があります。もちろん、その後の実装段階においても同様です。
「正しい設計」はWebアプリケーションごとに異なる機能はもちろん、利用する言語やシステム環境が異なっても不変のものです。
この「認定セキュアWebアプリケーション設計士」講座ではセキュアなWebアプリケーションに必要な「正しい設計」を学ぶことができます。「正しい設計」を知ることで、安全なWebアプリケーションを作れるようになりましょう。
安全なWebアプリケーション開発のために必要な要件と設計の具体例を学ぶ、短期集中の1日トレーニングです。
イントラネット/内部ネットワーク向けのWebシステム/Webアプリケーションに関わる下記の方が主な対象者となります。
● Webシステムの発注者
● Webアプリケーションの設計者・開発者
PCI DSSなどで要求されるOWASP Top 10などに基づいた安全なコーディング技法に関するトレーニングが 要求されている場合などにも最適です。
本講座では下記のスキルを習得することができます。
- セキュアなWebシステム/Webアプリケーションを構築するために必要な知識
- 発注者・開発者に必要なWebシステム/Webアプリケーションのセキュリティ要件
- 上記セキュリティ要件を満たす設計の具体例
・セキュリティ要件の原則
・Webアプリケーションのセキュリティ要件
セキュアWebアプリケーションの構築
・認証の目的
・NIST SP800-63B、Authenticatorのタイプ、AAL
・Webアプリケーションで使う主な認証の種類
・BASIC認証、DIGEST認証
・フォームベース認証
・認証を行うべき箇所
・強いパスワードとは
・パスワードのハッシュ化、salt、ストレッチング
・パスワードの作成について
・ユーザーへのパスワード通知方法
・パスワードの変更機能
・パスワードリセット機能
・秘密の質問について
・認証実行時のエラー処理、ログ記録
・アカウントロック
・パスワードリスト攻撃対策
・二要素認証、リスクベース認証
認可
・認可の目的
・アクセス制御の失敗例
・アクセス制御方法
・OpenID, OAuth, シングルサインオン
・限定公開URL
・FIDO認証
・セッションIDの役割
・Cookie
・設定すべきCookieの属性値
・セッションIDを利用した攻撃を防ぐ設計
・セッションタイムアウトの設計
・ログアウト機能
・セッションIDの生成
・CSRF対策
・トークン方式
・SameSite属性
入力処理
・クライアント側での入力値チェック
・Webアプリケーション側でのチェック
・パラメーターについて
・入力値の文字種や文字長の検証
・文字エンコーディングの統一
・入力値としてファイルを扱う場合
・XMLファイルを扱う場合
・デシリアライズについて
出力処理
・出力処理で必要なこと
・特殊文字のエスケープ処理
・HTMLを生成する際の処理
・HTMLのエスケープ処理
・その他のスクリプト埋め込み原因の排除
・クライアント側でHTMLを生成する際の処理
・SQL文を組み立てる際の処理
・JSONの生成
・OSコマンドを呼び出す処理
・HTTPレスポンスヘッダーについて
・リダイレクタを使う際の注意事項
・SSL/TLS
・HTTPSの仕組み
・証明書に対する攻撃
・HTTPSを使う際の注意
・証明書の種類、用途による使い分け
・安全なプロトコルと暗号アルゴリズム
・フィッシングサイトに対抗するには?
その他
・エラーメッセージハンドリング
・暗号アルゴリズムと乱数について
・疑似乱数生成器
・言語・フレームワーク・ミドルウェア・ライブラリなどの選定
・ログの記録
・ユーザーへの通知
・Access-Control-Allow-Originヘッダーについて
・クリックジャッキング対策
・キャッシュ制御について
・CAPTCHAについて
・言語環境のセキュリティ設定
・開発プロセスやパイプラインのセキュリティ
・用意すべきドキュメント
2022年6月30日
認定セキュアWebアプリケーション設計士は、2022年7月開講分から「Webシステム/Webアプリケーションセキュリティ要件書」Ver4.0の内容に基づき、講義開催しております。
認定セキュアWebアプリケーション設計士のトレーニング内容は、下記の「Webシステム/Webアプリケーションセキュリティ要件書」に基づいており、今月Ver4.0に改訂されました。
https://github.com/OWASP/www-chapter-japan/tree/master/secreq
GSXのトレーニング講座では、7月の講座よりこちらのVer4.0の内容に基づき、講義を開催いたします。
受験概要
| 主催 | グローバルセキュリティエキスパート株式会社 | |
|---|---|---|
| 受講料 | 132,000円(税込) | |
| 開催場所 | オンライン(ライブ配信) | |
| 開催期間 | 1日間|10:00~17:30 ※進行状況により、終了時間が前後する場合がございます。 |
|
| 定員 | 50名/回(最小遂行人数5名) | |
| 備考 |
|
|
試験のみ受験される方
| 受験料 | 29,700円(税込) | |
|---|---|---|
| 試験問題数 | 30問 | |
| 試験時間 | 60分 | |
| 試験会場 | 全国のテストセンター(株式会社シー・ビー・ティ・ソリューションズ(CBT-Solutions) ) | |
| 資格有効期限 | 3年 | |
| 出題範囲 | 認定セキュアWebアプリケーション設計士 公式トレーニングのテキスト、および脆弱性診断士スキルマッププロジェクトが策定する、「Webシステム/Webアプリケーションセキュリティ要件書」に記載の項目が出題範囲となります。 | |
| 試験申込 |
※2022年10月28日より下記の「申し込む」のボタンより申込受付を開始いたします。 ※試験の日程は、2022年10月31日以降の日程から空き状況に応じて選択いただけます。 |
|
|
認定セキュアWebアプリケーション設計士試験 |
||
| 申し込む | ||
コースのご案内
-
認定脆弱診断士
認定脆弱性診断士は、情報システムのセキュリティテスト(脆弱性診断)の知識や技術の習得と、そのスキルを客観的に証明する国内初、唯一の認定資格です。 「認定Webアプリケーション脆弱性診断士」「認定ネットワーク脆弱性診断士」の2コースがあり、企業の情報セキュリティ対策に必要な脆弱性診断士の育成を目的に開発された教育カリキュラムです。
-
ゼロトラストコーディネーター
「ゼロトラスト」の概念を理解した上で、課題の克服と持続可能で管理されたセキュリティ運用を実現するためのステップをリードし、実践できることを目的としています。営業・企画職、セールスエンジニアやフィールドエンジニアの方におすすめです。
-
メール安全利用検定
従業員が日常業務でメールを安全に利用するための基本的な知識とスキルを習得し、フィッシング詐欺や標的型攻撃から身を守る方法を学びます。
-
認定メール安全管理士
システム管理者向けに、メールシステムのセキュリティを強化するための高度な知識と技術を提供します。これには、メール経由での攻撃対策、メール送受信の仕組みや暗号化手法、ドメイン認証やサーバーのセキュア化などが含まれます。
