調査をしたセキュリティ専門家の70%が、組織は重要なWebアプリケーションのセキュリティと保護に資源を十分に配分していないと考えている
緊急の脆弱性の34%が未修正
38%が、1件の脆弱性の修正を開発者がするのに20時間超かかると考えている
回答者の55%が、開発者は忙しすぎてセキュリティ問題に対応できていないと考えている
また、シスコ社が2014年1月16日に発表したレポートでは、攻撃の91%の主な原因はJavaにあると報告されている
Javaに対する攻撃リスクTOP10
1位
セキュリティの設定ミス
2位
クロスサイトスクリプティング(XSS)
3位
SQLインジェクション
4位
クロスサイトリクエストフォージェリ(CSRF)
5位
URLアクセス制限の不備
6位
トランスポート層の保護が不十分
7位
リダイレクトとフォーワードの確認の不備
8位
安全ではないオブジェクトの直接参照
9位
認証のセキュリティ侵害
10位
安全ではない暗号化データの保管
Javaアプリケーションのセキュリティを左右するのは、設計/コード化段階のプログラマの警戒度。
Javaアプリケーションのセキュリティは、潜在的なセキュリティ脅威がないか、アプリケーションを絶えずチェックすることで維持できる。
アプリケーションの初期設計はセキュアアプリケーションの作成で重要な役目を果たす。
セキュアコーディングとは、考えうる、あらゆる種類の攻撃に必ず耐えることができる、セキュリティホールのない堅牢なソフトのプログラムを書くこと。
論理的なエクスプロイトとプログラムクラッシュによる盗み取りや改ざんからデータを守る一助となります。
米国CERT/CCの脆弱性報告書によると「小さなプログラミングミスが、アプリケーションの深刻な脆弱性を生む可能性がある」としている。
セキュリティホールのあるプログラムは、攻撃者がサーバやユーザのパソコンを乗っ取り、DoS、IDの盗み取り、マルウェア攻撃等、様々なタイプのホスト/ネットワーク攻撃を開始する際に利用される恐れがある。
コード全体の構築段階におけるセキュリティの原則(特権)の適用不備
セキュリティ問題を取り上げないプログラミングカリキュラムが多い
設計段階での、欠陥のある入力データの取り扱いの不備
十分な試験が行われず、試験段階で一部欠陥が見逃されたこと
コードの軽微な欠陥が、様々な脆弱性を生む余地を与え、これが深刻なシステムの障害につながる
セキュアコードを書くには、時間、コスト、労力が余分にかかる
その上、プロジェクト開発の各段階で、セキュアコーディングに関する適切な指導がコード開発者に対して行われていない
セキュアコーディング研修が重要な理由
CASE JAVAは、Javaのセキュリティ機能、セキュリティポリシー、長所と短所をカバーした実践的トレーニングを行う統合型コースです。
開発者が、安全で堅牢なJavaアプリケーションのプログラムの書き方を理解する手助けをするとともに、悪意とバグのあるコードを効果的に阻止できる、Javaのセキュア開発の様々な側面に関する高度な知識を提供します。
セキュリティに配慮してJavaコーディングを行うことで、貴重な労力、資金、時間を使わなくてすみ、場合によっては、Javaアプリケーションを使う組織の評判を落とす心配もなくなります。
| 受講対象者 | Windows/WebベースのセキュアアプリケーションをJavaの設計 、構築を担うプログラマ、エンジニア、Javaアプリケーションの開発に携わるエンジニア | ||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 前提条件 | プログラミング言語Javaを理解していること(Oracle認定資格 Java Silver 相当の知識を有する方)。 | ||||||||||||||||||||
| 目的 |
このコースを修了すると次のことができるようになります。 ・セキュア開発ライフサイクルに目を向け、セキュアアプリケーションを一から築き上げていくことが求められている現状をきちんと理解できる ・プログラミングの基本的なスキルにとどまらず、ソフトウェア開発ライフサイクル全体に適用できる、確かなプロセスと手法を身につけることができる ・セキュアコーディングのベストプラクティスに従わないとどのような結果を招く恐れがあるかを説明できる |
||||||||||||||||||||
| アウトライン |
☞ セキュアソフトウェア開発 ☞ エラー処理とロギング ☞ 認証と承認 ☞ Javaセキュリティ概論 ☞ 入力チェック ☞ Javaの並行処理 / セッション管理 ☞ Java暗号化 ☞ ファイルの入出力とシリアライズ ☞ JAAS ☞ Javaアプリケーションの脆弱性 |
||||||||||||||||||||
| 受講期間 |
3日間(09:20~16:30) 注:必要に応じて、講師と研修センターがクラスの時間帯を調整する場合があります。 |
||||||||||||||||||||
| 受講場所 |
弊社パートナーセミナールーム 開催日程により異なりますので、下記スケジュールをご確認ください。 |
||||||||||||||||||||
| 受講料金 |
298,000円(税抜) 受講料金には、コース座学、iLabsのID(6か月間有効)認定資格試験(コース開始後1年以内に受験が必要)バウチャを含みます。認定資格試験はコースの受講期間とは別に設定されています。 |
||||||||||||||||||||
| 受講日程 |
|
セキュア開発ライフサイクルに目を向けることで、セキュアアプリケーションを一から築き上げていくことが求められている現状を受講者がきちんと理解できる内容になっています。。
プログラミングの基本的なスキルにとどまらず、深く掘り下げて、ソフトウェア開発ライフサイクル全体に適用できる、確かなプロセスと手法をJava開発者に伝授します。
セキュアコーディングのベストプラクティスに従わないと、どのような結果を招く恐れがあるかを示す、最新の実例を紹介します。
実際に即したラボが、実際の攻撃とその対策で、Javaのセキュリティコンセプトを強調します。
コード例を実際に使って学ぶことで、問題にフォーカスし、解決に導きます。
完全に実践重視のコース
Javaアプリケーションに存在する、最新の脆弱性をリアルタイムにカバー
アプリケーション攻撃の最新トレンド
Javaプログラミングミスと設定ミスを実践的に説明
セキュアプログラミングに集中しない場合の“たとえ話”をして、
Java開発者のやる気を刺激
知識の長期的な保持を目的に、全トピックで実習を採用
受講者の関心をそらさないため、独自の工夫で実習と講義資料が
密接に絡み合う内容にしている
セキュアソフトウェア開発
エラー処理とロギング
認証と承認
Javaセキュリティ概論
入力チェック
Javaの並行処理/
セッション管理
Java暗号化
ファイルの入出力と
シリアライズ
JAAS
Javaアプリケーションの脆弱性
本コースの受講者は、次の分野の知識を習得
Javaセキュリティの原則とセキュアコーディングの方法
Javaセキュリティプラットフォーム、サンドボックス、JVM、クラスローディング、バイトコードベリファイア、セキュリティマネジャ、セキュリティポリシー、Javaセキュリティの枠組み
セキュアソフトウェア開発のライフサイクル、脅威のモデル化、ソフトウェアセキュリティの枠組み、セキュアソフトウェアのアーキテクチャ
セキュアファイルの入出力とシリアライズのベストプラクティスと基準/ガイドライン
Java入力チェックのテクニック、チェックミス、ベストプラクティス
Javaの例外、誤動作、これを処理または回避するためのベストプラクティス
セキュア認証と承認プロセス
コーディング試験とレビューのテクニックと手法
