セキュリスト(SecuriST)®

セキュリスト|セキュアWebアプリケーション設計士

セキュアWebアプリケーション設計士は、インターネットまたは内部ネットワーク向けに公開するWebアプリケーションをセキュアに構築するための要件や設計を学ぶ、短期集中の1日トレーニングコースです。Webシステムの発注担当者やWebアプリケーションの設計・開発に関わる人におすすめです。PCI DSS等で要求されるOWASP Top10にもとづいた安全なコーディング技法のためのトレーニングとしても最適です。

セキュアWebアプリケーション設計士は、インターネットまたは内部ネットワーク向けに公開するWebアプリケーションをセキュアに構築するための要件や設計を学ぶ、短期集中の1日トレーニングコースです。Webシステムの発注担当者やWebアプリケーションの設計・開発に関わる人におすすめです。PCI DSS等で要求されるOWASP Top10にもとづいた安全なコーディング技法のためのトレーニングとしても最適です。

セキュアなWebアプリケーション設計がサイバー攻撃の大半を防ぐ

Webアプリケーションをセキュアに構築するためのセオリーがあることをご存知でしょうか。Webアプリケーションにおいては新しい攻撃方法が次々に登場するわけではないため、攻撃に対応した安全なWebサイトを構築するためのセキュリティ要件は明確になっています。そのセキュリティ要件に則って設計・実装することで、サイバー攻撃の大半は防ぐことができるのです。
セキュリティの問題を修正する場合、開発後のフェーズになるほどコストが大きくなります。要件定義や設計段階の不備が後の全フェーズに影響し、修正範囲が広くなるためです。つまり、設計段階におけるセキュリティ対策が重要なのです。
01

セキュアWebアプリケーション設計士は、インターネットまたは内部ネットワーク向けに公開するWebアプリケーションを構築する際の「セキュリティ要件」や「正しい設計」を学ぶトレーニングコースです。

02

トレーニングカリキュラムは、「脆弱性診断士スキルマッププロジェクト」が公開している「Webシステム/Webアプリケーションセキュリティ要件書」にもとづいています。

03

Webサイトを取り巻く現状、Webシステムに対する攻撃手段とその仕組みなどを学んだあと、セキュアなWebアプリケーション開発に必要な要件と設計について具体例を踏まえて学びます。

  • 情報セキュリティに精通した事業者が開発した実践型トレーニング

    情報セキュリティに精通した事業者が開発した実践型トレーニング

    情報セキュリティ領域で事業を展開するGSX、トライコーダが開発した実践的なトレーニングプログラムです。

  • Webアプリケーションの正しい設計を学べる

    Webアプリケーションの正しい設計を学べる

    「Webアプリケーションのセキュリティ要件は、頻繁かつ大きく変化するものではありません。一度理解すれば末永く使えてあらゆるWebアプリケーションに活用できます。

  • 正しいセキュリティ知識があるから、無駄なコストや時間がかからない

    正しいセキュリティ知識があるから、無駄なコストや時間がかからない

    Webアプリケーションにおける正しいセキュリティ要件を理解しているから、社内開発でも外部発注でも無駄な手戻りやコストが発生することがありません。

脆弱性診断の第一人者である
トライコーダ 上野 宣 氏が全面監修

自身も腕利きの脆弱性診断士でありぺネストレーションテスターでもある、脆弱性診断の第一人者・上野 宣 氏が全面監修したトレーニングコースです。同氏が代表を務めるJNSA-ISOG-JのセキュリティオペレーションガイドラインWG(WG1)、およびOWASP Japan主催の共同ワーキンググループである「脆弱性診断士スキルマッププロジェクト」が公開している「Webシステム/Webアプリケーションセキュリティ要件書」にもとづいています。 上野 宣 氏のプロフィールはこちら

上野 宣 氏

「要件定義」と「設計」でセキュリティを考慮することが最良の選択肢

システムの開発工程は要件定義、設計、実装、テスト、運用といったように分かれていて、セキュリティ上の脅威となる事象の原因は開発工程のどこかで作り込まれます。その中でも上流工程の要件定義・設計段階で作り込まれた脆弱性やセキュリティ上の不備は後の工程に大きく影響を及ぼします。後になって要件定義の段階での問題に気が付いた場合には大きな手戻りが必要になります。

要件定義・設計段階でセキュリティに掛けるにコスト比べて、実装段階で手戻りすると6.5倍、テスト段階では15倍、運用開始後だと60倍以上掛かるという研究結果もあります。

コストの問題だけではありません。たとえば認証やアクセス制御などの問題は要件定義や設計の時点でセキュアか否かが決まることもあります。実装や運用開始後の場当たり的な対策でカバーできるものではないのです。

要件定義と設計でセキュリティを考慮するということの重要さは、ウォーターフォールモデルだろうがアジャイルモデルだろうが変わりません。
プロジェクトライフサイクルと品質の相関

Webアプリケーションのセキュリティ要件には
「正解」がある

システムのセキュリティ要件というと、サイバーセキュリティの専門家ではない人にとっては難しく感じるのではないでしょうか。その理由としては、新たな事件や問題が次々に起きていくので、必要なセキュリティ施策をキャッチアップしきれないと考えているのかもしれません。

しかし、実はWebアプリケーションに必要なセキュリティ要件はそれほど頻繁に更新されるものではないのです。私がOWASPのプロジェクトで作っている汎用的に利用できる「Webシステム/Webアプリケーションセキュリティ要件書」は約3年に1度アップデートしていますが、要件定義の大半には大きな変化はありません。1度理解すれば末永く使えてあらゆるWebアプリケーションに活用できるのです。

「正しい設計」を知ろう

セキュリティ要件は、大半のWebアプリケーションで共通のものが適用できますが、設計については機能要件や環境などによって異なってきます。セキュリティ要件に基づいてどのように正しく設計すべきかということを知る必要があります。もちろん、その後の実装段階においても同様です。

「正しい設計」はWebアプリケーションごとに異なる機能はもちろん、利用する言語やシステム環境が異なっても不変のものです。

この「セキュアWebアプリケーション設計士」講座ではセキュアなWebアプリケーションに必要な「正しい設計」を学ぶことができます。「正しい設計」を知ることで、安全なWebアプリケーションを作れるようになりましょう。

「セキュリスト(SecuriST)® - セキュアWebアプリケーション設計士」は、安全なWebアプリケーション開発のために必要な要件と設計の具体例を学ぶ、短期集中の1日トレーニングです。
セキュアWebアプリケーション設計士 トレーニング
Secure Web application Designer

安全なWebアプリケーション開発のために必要な要件と設計の具体例を学ぶ、短期集中の1日トレーニングです。

イントラネット/内部ネットワーク向けのWebシステム/Webアプリケーションに関わる下記の方が主な対象者となります。

● Webシステムの発注者
● Webアプリケーションの設計者・開発者


PCI DSSなどで要求されるOWASP Top 10などに基づいた安全なコーディング技法に関するトレーニングが 要求されている場合などにも最適です。

本講座では下記のスキルを習得することができます。

  • セキュアなWebシステム/Webアプリケーションを構築するために必要な知識
  • 発注者・開発者に必要なWebシステム/Webアプリケーションのセキュリティ要件
  • 上記セキュリティ要件を満たす設計の具体例
セキュリティ要件
・セキュリティ要件の原則
・Webアプリケーションのセキュリティ要件


セキュアWebアプリケーションの構築
・認証の目的
・NIST SP800-63B、Authenticatorのタイプ、AAL
・Webアプリケーションで使う主な認証の種類
・BASIC認証、DIGEST認証
・フォームベース認証
・認証を行うべき箇所
・強いパスワードとは
・パスワードのハッシュ化、salt、ストレッチング
・パスワードの作成について
・ユーザーへのパスワード通知方法
・パスワードの変更機能
・パスワードリセット機能
・秘密の質問について
・認証実行時のエラー処理、ログ記録
・アカウントロック
・パスワードリスト攻撃対策
・二要素認証、リスクベース認証


認可
・認可の目的
・アクセス制御の失敗例
・アクセス制御方法
・OpenID, OAuth, シングルサインオン
・限定公開URL
・FIDO認証
セッション管理
・セッションIDの役割
・Cookie
・設定すべきCookieの属性値
・セッションIDを利用した攻撃を防ぐ設計
・セッションタイムアウトの設計
・ログアウト機能
・セッションIDの生成
・CSRF対策
・トークン方式
・SameSite属性


入力処理
・クライアント側での入力値チェック
・Webアプリケーション側でのチェック
・パラメーターについて
・入力値の文字種や文字長の検証
・文字エンコーディングの統一
・入力値としてファイルを扱う場合
・XMLファイルを扱う場合
・デシリアライズについて


出力処理
・出力処理で必要なこと
・特殊文字のエスケープ処理
・HTMLを生成する際の処理
・HTMLのエスケープ処理
・その他のスクリプト埋め込み原因の排除
・クライアント側でHTMLを生成する際の処理
・SQL文を組み立てる際の処理
・JSONの生成
・OSコマンドを呼び出す処理
・HTTPレスポンスヘッダーについて
・リダイレクタを使う際の注意事項
HTTPS
・SSL/TLS
・HTTPSの仕組み
・証明書に対する攻撃
・HTTPSを使う際の注意
・証明書の種類、用途による使い分け
・安全なプロトコルと暗号アルゴリズム
・フィッシングサイトに対抗するには?


その他
・エラーメッセージハンドリング
・暗号アルゴリズムと乱数について
・疑似乱数生成器
・言語・フレームワーク・ミドルウェア・ライブラリなどの選定
・ログの記録
・ユーザーへの通知
・Access-Control-Allow-Originヘッダーについて
・クリックジャッキング対策
・キャッシュ制御について
・CAPTCHAについて
・言語環境のセキュリティ設定
・用意すべきドキュメント

2022年6月30日



セキュアWebアプリケーション設計士は、2022年7月開講分から「Webシステム/Webアプリケーションセキュリティ要件書」Ver4.0の内容に基づき、講義開催しております。


セキュアWebアプリケーション設計士のトレーニング内容は、下記の「Webシステム/Webアプリケーションセキュリティ要件書」に基づいており、今月Ver4.0に改訂されました。
https://github.com/OWASP/www-chapter-japan/tree/master/secreq

GSXのトレーニング講座では、7月の講座よりこちらのVer4.0の内容に基づき、講義を開催いたします。

受験概要

主催 グローバルセキュリティエキスパート株式会社
受講料 132,000円(税込)
開催場所 オンライン(ライブ配信)
開催期間 1日間|10:00~18:00
定員 50名/回(最小遂行人数5名)
備考
  • 専用テキスト配布

2022年4月13日(水)受付終了

2022年5月13日(金)受付終了

2022年6月15日(水)受付終了

2022年7月15日(金)受付終了

2022年8月17日(水)受付終了

2022年9月14日(水)空席あり

申し込む
【日立ソリューションズ×NEC×GSX】今の時代に求められる「セキュリティ人財」とは いまや「ゼロトラスト」は“企業の武器”だ――エンジニアも営業職も いま企業がセキュリティを学ぶワケ

コースのご案内

お問い合わせはこちら

お問い合わせ

セキュリティに関するどのようなご支援をご希望ですか?
ご質問・ご相談・お見積りなど、お気軽にお問い合わせください。