セキュア開発トレーニング | 株式会社神戸デジタル・ラボ　Kobe Digital Labo（KDL）

開発者のための「セキュリティの原理原則」を学ぶ
トレーニング

神戸デジタル・ラボがセキュア開発に取り組んできた実績から企画・開発された実践的なトレーニングです。開発者が受講することで、プロジェクトの初期段階から脆弱性を作りこまないセキュア開発の手法を身に付けることができます。ECサイトや業務システムなど、主に個人情報や機密情報を扱うシステムの開発者にはぜひ取り組んでいただきたいセキュア開発ですが、なかなか全社で取り組むことが難しいという声をよく伺います。当社のセキュア開発トレーニングでは、セキュア開発への取り組み方も解説。セキュア開発への取り組みの第一歩としてもご活用ください。

トレーニングは、初めて取り組む方向けの基礎編、ある程度知識はある方向けの実践編をご用意しており、どちらか片方、または両方をお選びいただけます。

特徴

参加しやすい
オンライントレーニング

テレワーク推進企業にも嬉しい、オンライントレーニングです。

理解度に応じて選べる
２プラン

自社の成熟度に応じて、基礎編と実践編をお選びいただけます。

脆弱性診断の指摘が
30％減の実績

当社内で実施したトレーニングで既に実績が出ている、確かな品質のカリキュラムです。

こんなお悩みはありませんか？

セキュア開発の進め方がわからない

セキュア開発の重要性はわかるし取り組みたいが、どのように始めたらいいのかわからない、といったお悩みを聞くことがあります。トレーニングを通して、なぜセキュア開発に取り組むのか、まず何から始めればいいのかからお伝えしますので、自社での取り組みへの第一歩としてもご検討ください。

知識はあるが実践で取り組めていない

実践編では、実際のシステム実装時の具体的な設定や制御の方法、その必要性などについて学べます。テーマごとの講義や質疑応答に加え、途中何度かの理解度テストを実施し、受講者の理解度を評価しながら進めます。

脆弱性診断で同じようなところばかり指摘される

当社で実施したトレーニングでは、トレーニング実施1年後、リリース前の脆弱性診断で修正の指摘を受けることが30%減。リリース直前の対応が減り、安全かつスムーズにリリースできるようになった、実績あるプログラムです。

トレーニング概要

カリキュラム

基礎編と実践編を通じて学習する内容です。どちらかの受講の場合は含まれない項目もございますので、予めご了承ください。

1章なぜセキュア開発に取り組むのか？	・セキュア開発とは何か？・近年のサイバー攻撃とセキュア開発の関係・トレーニングの概要・OWASP Top 10概要
2章入力値検証	・値の有効性を定義する方法・特殊なInput Validation
3章エンコードとエスケープ	・エンコードとエスケープの必要性・ XSSの脆弱性を悪用した攻撃・アンチパターン
4章サードパーティ製コンポーネントの脆弱性	・コンポーネントとは・サードパーティ製コンポーネントの脆弱性とは？・脆弱性診断とツールについて・サードパーティ製コンポーネントの脆弱性への対処
5章データの保護	・保護すべきデータとその必要性・機密データの保護の方法
6章アクセス制御の基礎	・アクセス制御とは？・制御のタイプ別事例・アクセス制御の不備の事例・実装時のポイント
7章認証のセキュリティ要件	・ユーザ認証のセキュリティ要件・認証の種類
8章セッション管理	・セッション管理の重要性・セッショントークンのライフサイクル・実装のポイント・セッションに対する攻撃
9章認可	・認可の原則・認可の不備による事例・実装時の注意
10章シークレット管理	・シークレット管理の考慮点・シークレット管理の方法
11章ロギングの基本	・ログの必要性・ログの種類・ログに残すべきポイント・実装時のポイント
12章モニタリング	・モニタリングとは・モニタリングツール・何をどこまでやるべきか

受講期間・形式

受講スケジュール	基礎編／実践編各4時間（2時間×2回での実施もご相談可能です。※30日以内）
内容	知識から実践までを体系的に学びたい方は基礎編／応用編通しての受講をおすすめしています。基礎のみ、または実践のみをご希望の場合は、内容のご希望やレベル感をお伺いしています。お気軽にご相談ください。
受講形式	オンライン（Zoom）
受講者数	最大20人（同時接続）