自社で取り組む
Webアプリケーション脆弱性診断

セキュアなWebサイト構築のために、セキュリティテストとして、適切なWebアプリケーション脆弱性診断の実施が必要なことは知られてきました。しかし、脆弱性診断を自動化するツールはさまざまなものがありますが、ツールが発見した脆弱性を修正するだけでは不十分です。これは多くの脆弱性診断会社の診断サービスが、いまだに経験を積んだ診断員の手作業を交えて診断を行っていることからもわかるかと思います。本コースは、自社で脆弱性診断に取り組もうとした場合の以下のような悩みを解決します。

  •  Webシステム・Webアプリケーション脆弱性についての知識がない
  •  脆弱性を発見するための手段やツールについての知識がない
  •  脆弱性かどうかを判定する基準が判らない
  •  発見した脆弱性をどのように報告すればよいか判らない

■講師:上野 宣(うえの せん)

講師:上野 宣

株式会社トライコーダ 代表取締役

奈良先端科学技術大学院大学で情報セキュリティを専攻、eコマース開発ベンチャーで東証マザーズ上場などを経て、2006年に株式会社トライコーダを設立。企業や官公庁などにサイバーセキュリティ教育や演習、脆弱性診断、ペネトレーションテストなどを提供。

情報セキュリティ専門誌『ScanNetSecurity』編集長。OWASP Japan Chapter リーダー、Hardening プロジェクト実行委員、JNSA ISOG-J WG1リーダー、SECCON 実行委員、セキュリティキャンプ講師主査、独立行政法人情報処理推進機構 セキュリティセンター研究員などを務める

◇主な著書

「Webセキュリティ担当者のための脆弱性診断スタートガイド - 上野宣が教える情報漏えいを防ぐ技術」「HTTPの教科書(日本語、簡体字、ハングル)」「今夜わかるシリーズ(TCP/IP, HTTP, メール)」「めんどうくさいWebセキュリティ」他多数


受講対象者

  • 脆弱性診断の技術を身につけたいが何から初めて良いかわからないといった悩みを持っている企業や組織
    • 脆弱性診断の内製化に取り組みたい開発会社など
    • 脆弱性診断要員を教育を外注化したい開発会社や診断会社
  • イントラネット/インターネット向けのWebシステム/Webアプリケーションに関わる下記の方
    • Webアプリケーションの開発者
    • Webアプリケーションのテスト担当者
    • 品質管理担当者

学習目的

  • 自社内でWebアプリケーション脆弱性診断に取り組むために必要な攻撃技術の知識、診断技術や脆弱性判定の基準などを身につけること

受講によるメリット

  • Webシステム/Webアプリケーションの脆弱性診断の技術を身につけることができる
  • Webシステムに対して発生しうる脅威・攻撃手法についての理解

 


コース内容

セキュアなWebシステム/Webアプリケーション構築に必要な脆弱性診断技術を、実施方法やツールの使い方、レポートの書き方などを、実践・実習を通して具体的に学びます。また、脆弱性診断を身につけてもらうために理解が必要な、昨今のWebに対する脅威や攻撃の具体例なども説明いたします。

 

■Webアプリケーションの脅威とその攻撃手法

代表的なWebアプリケーションに対する攻撃手法とその仕組みについてデモや実習を交えながら学びます。

  • 脆弱性とセキュリティ機能の不足
  • Webサイトへの攻撃とその特徴
  • Webアプリケーションへの攻撃手法

 

■脆弱性診断の実施

自社で脆弱性診断を行うためには、どういう診断を実施すればよいか。どこまで診断を実施すればよいか。脆弱性判定の基準は何か、レポートはどう書けばよいのかといったことを学びます。

  • Webアプリケーション脆弱性診断の実施手順
  • 自動と手動の診断手法
  • 自動診断ツールの得意分野と不得意分野
  • 注意すべき診断ツールの設定
  • 診断結果の検証
  • 診断リスト(テストケース)の作成
  • 脆弱性診断の診断方法と脆弱性の有無の判定方法について
  • 脆弱性診断の診断対象の選び方
  • 報告書の作成
  • 診断会社の業務における脆弱性診断

 

■脆弱性診断演習

オープンソースソフトウェア(OSS)やフリーウェアなどを中心に使用して実際の診断方法を学んでいきます。

  • 診断ツールのセットアップ
  • 自動診断ツールの使い方
  • 手動診断補助ツールの使い方
  • 各脆弱性に対応した診断方法
  • 実際の診断業務を想定した演習

 


コース(受講料)に含まれるもの

  • 研修テキスト
  • 昼食
  • 受講証明
    コースの受講者には、「受講証」を発行させていただきます。