ホーム > セキュリスト(SecuriST)(R)|セキュアWebアプリケーション設計士

セキュリスト(SecuriST)(R)|セキュアWebアプリケーション設計士


期間  1日間 時間  10:00~18:00
価格(税込)  132,000円(税込) 主催  グローバルセキュリティエキスパート株式会社
コース種別  集合研修  
形式  講義(Virtual Classroom) コースコード  SCC0332R
日程 会場 空席状況 実施状況 選択

2024年11月11日(月) ~ 2024年11月11日(月)

GSX(ライブ配信)

  お問い合わせください

2024年12月9日(月) ~ 2024年12月9日(月)

GSX(ライブ配信)

  お申し込み後確認

2025年1月20日(月) ~ 2025年1月20日(月)

GSX(ライブ配信)

  お申し込み後確認

2025年2月21日(金) ~ 2025年2月21日(金)

GSX(ライブ配信)

  お申し込み後確認

2025年3月26日(水) ~ 2025年3月26日(水)

GSX(ライブ配信)

  お申し込み後確認

※「キャンセル待ち」でお申し込みの方には、別途メールにてご連絡いたします。
※「実施確定」表示のない日程は、お申し込み状況により開催中止になる場合がございます。
※ お申込期日が過ぎた日程は、「お問い合わせください」と表示されます。
※ トレノケート主催コース以外の空席状況は、残席数に関わらず「お申し込み後確認」と表示されます。
※ トレノケート主催コース以外では、主催会社のお席を確保した後に受付確定となります。
お申込みに関するお問い合わせはこちらから

ワンポイントアドバイス

・本講座はライブ配信のみとなり、後日の録画配信等はいたしません。ご了承下さい。
・ご欠席または途中参加・退出される場合、講座初日の9:30までにGSX事務局までメールにてご連絡ください。
・講座中に、講師から受講者様に質問などを投げかけることがございます。
 マイクのご用意が可能な方は、出来る限り音声でお答えいただければと存じます。

・弊社経由で他社主催研修へお申込みの場合、弊社が「訓練の実施機関」ではないため、人材開発支援助成金の申請書類にトレノケートは署名できません。「主催」欄をご確認ください。本研修コースはトレノケート経由のお申込では人材開発支援助成金の申請ができない旨を予めご了承のうえ、お申込みください。

重要なご連絡・ご確認事項

▼グローバルセキュリティエキスパート株式会社のSecuriST紹介動画を是非ご覧ください。

※ブラウザの関係によりこのページ上で表示されない場合は、こちらを参照ください。

対象者情報

対象者
・Webシステムの発注者
・Webアプリケーションの設計者・開発者
PCI DSSなどで要求されるOWASP Top 10などに基づいた安全なコーディング技法に関するトレーニングが 要求されている場合などにも最適です。
前提条件
Webアプリケーションの設計・開発経験
※上記のご経験がない方もご受講いただけます

学習内容の詳細

コース概要
Webアプリケーションにおいては新しい攻撃手法が次々に登場するわけではないため、セキュアに構築するためのセオリーがあります。つまり、攻撃に対応した安全なWebサイトを構築するためのセキュリティ要件は明確になっていて、それに対応した設計を施し、実装することで、攻撃の大半は防ぐことができます。
セキュリティの問題を修正する場合、開発後のフェーズになるほど高いコストが必要になってきます。要件定義や、設計段階での不備は、後の全フェーズに影響します。そのため、セキュリティの問題は設計段階までには解消しておくことが重要です。
セキュアWebアプリケーション設計士トレーニングでは、インターネットまたは内部ネットワーク向けに公開するWebアプリケーションをセキュアに構築するための要件や設計を学ぶことを目的としています。
学習目標
● セキュアなWebシステム/Webアプリケーションを構築するために必要な知識を得る
● 発注者・開発者に必要なWebシステム/Webアプリケーションのセキュリティ要件が判る
● 上記セキュリティ要件を満たす設計の具体例を知る
学習内容
1. セキュリティ要件
  - セキュリティ要件の原則
  - Webアプリケーションのセキュリティ要件

2. セキュアWebアプリケーションの構築
  - 認証の目的
  - NIST SP800-63B、Authenticatorのタイプ、AAL
  - Webアプリケーションで使う主な認証の種類
  - BASIC認証、DIGEST認証
  - フォームベース認証
  - 認証を行うべき箇所
  - 強いパスワードとは
  - パスワードのハッシュ化、salt、ストレッチング
  - パスワードの作成について
  - ユーザーへのパスワード通知方法
  - パスワードの変更機能
  - パスワードリセット機能
  - 秘密の質問について
  - 認証実行時のエラー処理、ログ記録
  - アカウントロック
  - パスワードリスト攻撃対策
  - 二要素認証、リスクベース認証

3. 認可
  - 認可の目的
  - アクセス制御の失敗例
  - アクセス制御方法
  - OpenID, OAuth, シングルサインオン
  - 限定公開URL
  - FIDO認証

4. セッション管理
  - セッションIDの役割
  - Cookie
  - 設定すべきCookieの属性値
  - セッションIDを利用した攻撃を防ぐ設計
  - セッションタイムアウトの設計
  - ログアウト機能
  - セッションIDの生成
  - CSRF対策
  - トークン方式
  - SameSite属性

5. 入力処理
  - クライアント側での入力値チェック
  - Webアプリケーション側でのチェック
  - パラメーターについて
  - 入力値の文字種や文字長の検証
  - 文字エンコーディングの統一
  - 入力値としてファイルを扱う場合
  - XMLファイルを扱う場合
  - デシリアライズについて

6. 出力処理
  - 出力処理で必要なこと
  - 特殊文字のエスケープ処理
  - HTMLを生成する際の処理
  - HTMLのエスケープ処理
  - その他のスクリプト埋め込み原因の排除
  - クライアント側でHTMLを生成する際の処理
  - SQL文を組み立てる際の処理
  - JSONの生成
  - OSコマンドを呼び出す処理
  - HTTPレスポンスヘッダーについて
  - リダイレクタを使う際の注意事項

7. HTTPS
  - SSL/TLS
  - HTTPSの仕組み
  - 証明書に対する攻撃
  - HTTPSを使う際の注意
  - 証明書の種類、用途による使い分け
  - 安全なプロトコルと暗号アルゴリズム
  - フィッシングサイトに対抗するには?

8. その他
  - エラーメッセージハンドリング
  - 暗号アルゴリズムと乱数について
  - 疑似乱数生成器
  - 言語  - フレームワーク  - ミドルウェア  - ライブラリなどの選定
  - ログの記録
  - ユーザーへの通知
  - Access-Control-Allow-Originヘッダーについて
  - クリックジャッキング対策
  - キャッシュ制御について
  - CAPTCHAについて
  - 言語環境のセキュリティ設定
  - 用意すべきドキュメント

実習/演習内容詳細

ソフトウェア
ハードウェア
なし
演習/デモ内容
なし

ご注意・ご連絡事項

・本コースはグローバルセキュリティエキスパート株式会社が開催いたします。
・グローバルセキュリティエキスパート株式会社開催コースのお申込み、キャンセル、日程変更は、コース開始日の11営業日前までとさせていただきます。
受講者変更は9営業日前までとさせていただきます。

受講者の声

●全体的に非常に勉強になる内容でした。システム開発の経験が少ない方でも十分理解できる内容かと思います。
●実際にあったインシデントを例に出しながら解説いただいたので、なぜその要件が必要なのか、イメージすることができました。また、セキュリティガイドラインを引用しつつ話が展開するので、非常に納得感がありました。
●「セキュリティ」という特性上、どうしても広範囲な話題になってしまうと思いますが、ひとつひとつの項目について丁寧に分かりやすく説明頂け、説明範囲・内容、どれをとっても非常に満足しました。