CASE JAVAコース詳細(認定アプリケーションセキュリティエンジニア)

CASE JAVAコース詳細(認定アプリケーションセキュリティエンジニア)

Webアプリケーションセキュリティの現状

調査をしたセキュリティ専門家の70%が、組織は重要なWebアプリケーションのセキュリティと保護に資源を十分に配分していないと考えている

緊急の脆弱性の34%が未修正

38%が、1件の脆弱性の修正を開発者がするのに20時間超かかると考えている

回答者の55%が、開発者は忙しすぎてセキュリティ問題に対応できていないと考えている

また、シスコ社が2014年1月16日に発表したレポートでは、攻撃の91%の主な原因はJavaにあると報告されている

Javaに対する攻撃リスクTOP10

  • 1位

    セキュリティの設定ミス

  • 2位

    クロスサイトスクリプティング(XSS)

  • 3位

    SQLインジェクション

  • 4位

    クロスサイトリクエストフォージェリ(CSRF)

  • 5位

    URLアクセス制限の不備

  • 6位

    トランスポート層の保護が不十分

  • 7位

    リダイレクトとフォーワードの確認の不備

  • 8位

    安全ではないオブジェクトの直接参照

  • 9位

    認証のセキュリティ侵害

  • 10位

    安全ではない暗号化データの保管

セキュアプログラミングを理解する

Javaアプリケーションのセキュリティ

プログラマの警戒度

Javaアプリケーションのセキュリティを左右するのは、設計/コード化段階のプログラマの警戒度

セキュリティ脅威

Javaアプリケーションのセキュリティは、潜在的なセキュリティ脅威がないか、アプリケーションを絶えずチェックすることで維持できる。

アプリケーション初期設計

アプリケーションの初期設計はセキュアアプリケーションの作成で重要な役目を果たす。




セキュアコーディングとは?

セキュアコーディングとは、考えうる、あらゆる種類の攻撃に必ず耐えることができる、セキュリティホールのない堅牢なソフトのプログラムを書くこと。
論理的なエクスプロイトとプログラムクラッシュによる盗み取りや改ざんからデータを守る一助となります。

米国CERT/CCの脆弱性報告書によると「小さなプログラミングミスが、アプリケーションの深刻な脆弱性を生む可能性がある」としている。
セキュリティホールのあるプログラムは、攻撃者がサーバやユーザのパソコンを乗っ取り、DoS、IDの盗み取り、マルウェア攻撃等、様々なタイプのホスト/ネットワーク攻撃を開始する際に利用される恐れがある。




セキュリティミスはなぜ起こるのか?

  • コード全体の構築段階におけるセキュリティの原則(特権)の適用不備

  • セキュリティ問題を取り上げないプログラミングカリキュラムが多い

  • 設計段階での、欠陥のある入力データの取り扱いの不備

  • 十分な試験が行われず、試験段階で一部欠陥が見逃されたこと

  • コードの軽微な欠陥が、様々な脆弱性を生む余地を与え、これが深刻なシステムの障害につながる

  • セキュアコードを書くには、時間、コスト、労力が余分にかかる

  • その上、プロジェクト開発の各段階で、セキュアコーディングに関する適切な指導がコード開発者に対して行われていない




セキュアコーディング研修が重要な理由

パッチリリースによるバグ修正は、 設計段階でのバグ修正に比べコストが60倍!

CASE(Certified Application Security Engineer)JAVAとは?

コース説明

CASE JAVAは、Javaのセキュリティ機能、セキュリティポリシー、長所と短所をカバーした実践的トレーニングを行う統合型コースです。

開発者が、安全で堅牢なJavaアプリケーションのプログラムの書き方を理解する手助けをするとともに、悪意とバグのあるコードを効果的に阻止できる、Javaのセキュア開発の様々な側面に関する高度な知識を提供します。
セキュリティに配慮してJavaコーディングを行うことで、貴重な労力、資金、時間を使わなくてすみ、場合によっては、Javaアプリケーションを使う組織の評判を落とす心配もなくなります。

受講対象者 Windows/WebベースのセキュアアプリケーションをJavaの設計 、構築を担うプログラマ、エンジニア、Javaアプリケーションの開発に携わるエンジニア
前提条件 プログラミング言語Javaを理解していること(Oracle認定資格 Java Silver 相当の知識を有する方)。
目的 このコースを修了すると次のことができるようになります。
・セキュア開発ライフサイクルに目を向け、セキュアアプリケーションを一から築き上げていくことが求められている現状をきちんと理解できる
・プログラミングの基本的なスキルにとどまらず、ソフトウェア開発ライフサイクル全体に適用できる、確かなプロセスと手法を身につけることができる
・セキュアコーディングのベストプラクティスに従わないとどのような結果を招く恐れがあるかを説明できる
アウトライン ☞  セキュアソフトウェア開発
☞  エラー処理とロギング
☞  認証と承認
☞  Javaセキュリティ概論
☞  入力チェック
☞  Javaの並行処理 / セッション管理
☞  Java暗号化
☞  ファイルの入出力とシリアライズ
☞  JAAS
☞  Javaアプリケーションの脆弱性
受講期間 3日間(09:20~16:30)
注:必要に応じて、講師と研修センターがクラスの時間帯を調整する場合があります。
受講場所 弊社パートナーセミナールーム
開催日程により異なりますので、下記スケジュールをご確認ください。
受講料金 298,000円(税抜)
受講料金には、コース座学、iLabsのID(6か月間有効)認定資格試験(コース開始後1年以内に受験が必要)バウチャを含みます。認定資格試験はコースの受講期間とは別に設定されています。
受講日程   
日程 主催 会場 空席状況
2019/08/20(火)~08/22(木)
09:30~16:30
Top Out Human Capital
株式会社:ATCパートナー

(東京)
受付終了
2019/11/25(月)~11/27(水)
09:30~16:30
Top Out Human Capital
株式会社:ATCパートナー
浜松町
(東京)
受付終了
2020/01/28(火)~01/30(木)
09:30~16:30
Top Out Human Capital
株式会社:ATCパートナー

(東京)
空席あり 申込む
※スケジュールは予告なく変更となる場合がございますので、あらかじめご了承ください。

CASE JAVAコースの特長

CASE JAVAコースの主な特長

  • セキュア開発ライフサイクルに目を向けることで、セキュアアプリケーションを一から築き上げていくことが求められている現状を受講者がきちんと理解できる内容になっています。。

  • プログラミングの基本的なスキルにとどまらず、深く掘り下げて、ソフトウェア開発ライフサイクル全体に適用できる、確かなプロセスと手法をJava開発者に伝授します。

  • セキュアコーディングのベストプラクティスに従わないと、どのような結果を招く恐れがあるかを示す、最新の実例を紹介します。

  • 実際に即したラボが、実際の攻撃とその対策で、Javaのセキュリティコンセプトを強調します。

  • コード例を実際に使って学ぶことで、問題にフォーカスし、解決に導きます。

他社の養成講座との差別要素

  • 完全に実践重視のコース

  • Javaアプリケーションに存在する、最新の脆弱性をリアルタイムにカバー

  • アプリケーション攻撃の最新トレンド

  • Javaプログラミングミスと設定ミスを実践的に説明

  • セキュアプログラミングに集中しない場合の“たとえ話”をして、
    Java開発者のやる気を刺激

  • 知識の長期的な保持を目的に、全トピックで実習を採用

  • 受講者の関心をそらさないため、独自の工夫で実習と講義資料が
    密接に絡み合う内容にしている

コース概略と受講内容

  • セキュアソフトウェア開発

  • エラー処理とロギング

  • 認証と承認

  • Javaセキュリティ概論

  • 入力チェック

  • Javaの並行処理/
    セッション管理

  • Java暗号化

  • ファイルの入出力と
    シリアライズ

  • JAAS

  • Javaアプリケーションの脆弱性

本コースの受講者は、次の分野の知識を習得

  • Javaセキュリティの原則とセキュアコーディングの方法

  • Javaセキュリティプラットフォーム、サンドボックス、JVM、クラスローディング、バイトコードベリファイア、セキュリティマネジャ、セキュリティポリシー、Javaセキュリティの枠組み

  • セキュアソフトウェア開発のライフサイクル、脅威のモデル化、ソフトウェアセキュリティの枠組み、セキュアソフトウェアのアーキテクチャ

  • セキュアファイルの入出力とシリアライズのベストプラクティスと基準/ガイドライン

  • Java入力チェックのテクニック、チェックミス、ベストプラクティス

  • Javaの例外、誤動作、これを処理または回避するためのベストプラクティス

  • セキュア認証と承認プロセス

  • コーディング試験とレビューのテクニックと手法