カード情報を持たざるを得ない全ての業種の方々へ
本トレーニングの特徴
PCI DSS 要件11で定められた脆弱性スキャンおよびネットワークペネトレーションテストの手順とレポート作成をハンズオン形式で学びます。
対象
- 自社内でテスト実施を検討中の企業の方
- PCI DSS準拠を希望するお客様対応が必要なベンダーの方
特長
- PCI Security Standards Councilが発行する「Penetration Testing Guidance」に沿って弊社が独自に作成した研修コースです。
- PCI DSS 要件11.2(脆弱性スキャン)、11.3(ペネトレーションテスト)で要求される水準の検査と診断について学びます。
- 1人1台の演習環境で、ツールを使用した検査と診断レポート作成の実習を行います。
各コースの概要
| コース名 | コース① PCI DSS 脆弱性スキャン/ネットワークおよびセグメンテーション(境界)ペネトレーションテスト研修コース |
コース② PCI DSS Webアプリケーションペネトレーションテスト研修コース |
|---|---|---|
| 到達目標 |
|
|
| 前提知識・経験 |
|
|
| 期間 | 2日間 | 2日間 |
| 日程 | 現在調整中 | 現在調整中 |
| 使用ツール | OpenVAS、Nmap、Metasploit Framework など | OWASP ZAP など |
| 受講料 | 1名 180,000円(税別) | 1名 180,000円(税別) |
| 受講会場 | GSX本社 トレーニングルーム(浜松町/竹芝) | |
| 備考 | 主催:GSX 協力:fjコンサルティング 演習環境は弊社にてご提供します。 |
|
コース① 講義内容
PCI DSS 脆弱性スキャン/ネットワークおよびセグメンテーション(境界)ペネトレーションテスト研修コース
1日目(10:00~18:00)
- 1. イントロダクション
- 2. PCI DSSにおける診断
- (1)要件の解説と診断の概要
- (2)PCI DSS Penetration Testing Guidance
- (3)診断の流れ
- 3. 内部脆弱性スキャンの実践
- (1)内部脆弱性スキャンのシナリオ作成
- (2)内部脆弱性スキャンの環境構築
- (3)演習①:OpenVASを使⽤した内部脆弱性スキャンの実施
- (4)演習②:内部脆弱性スキャンのレポート作成
2日目(10:00~17:00)
- 4. ネットワークペネトレーションテストの実践
- (1)ネットワークペネトレーションテストのシナリオ作成
- (2)ネットワークペネトレーションテストの流れと使⽤するツール
- (3)演習③:ツールを使⽤したネットワークペネトレーションテストの実施(Nmap、Metasploit Framework)
- (4)演習④:⼿動ネットワークペネトレーションテストの実施
- (5)ネットワークペネトレーションテストのレポート作成
- 5. セグメンテーション(境界)ペネトレーションテストの実践
- (1)セグメンテーション(境界)ペネトレーションテストのシナリオ作成
- (2)演習⑤:セグメンテーション(境界)ペネトレーションテストの実施
- (3)セグメンテーション(境界)ペネトレーションテストのレポート作成
コース② 講義内容
PCI DSS Webアプリケーションペネトレーションテスト研修コース
1日目(10:00~18:00)
- 1. イントロダクション
- 2. PCI DSSにおける診断について
- (1)要件の解説と診断の概要
- (2) PCI DSS Penetration Testing Guidance解説
- (3)診断の流れ
- (4)診断時の注意事項
- (5)シナリオ作成の考え方
- 3. Webアプリケーション脆弱性
- (1)OWASP TOP10の概要
- (2)主要な脆弱性(※)
- 4. Webアプリケーションペネトレーションテストの実践(i)
- (1)OWASP ZAPの操作
- (2)演習①:ツールを使用した検査
2日目(10:00~17:00)
- 5. Webアプリケーションペネトレーションテストの実践(ii)
- (1)手動検査の手順
- (2)演習②:手動ペネトレーション検査
- 6. 演習③:検査結果レポートの作成
- 7. 検査結果の評価
※主要な脆弱性
OWASP TOP 10に含まれる脆弱性について、それぞれの内容、危険度、検出方法などを解説します
OWASP TOP 10に含まれる脆弱性について、それぞれの内容、危険度、検出方法などを解説します