「シフトレフト」を実現するセキュリティイニシアチブ・トレーニング


設計・開発段階からセキュリティの機能を組み込む「セキュアプログラミング」の教養が欠けている – 山口英

この言葉は、初代内閣官房初代情報セキュリティ補佐官を務められた山口教授が述べた、昨今のサイバーセキュリティ被害を鑑みた根本原因を示した言葉です。

この示唆のとおり、脆弱なシステムの原因の85%は、設計と実装コードの問題であり、完成してから後付けするのは困難を極めます。この状況を放置することにより発生している、数々のセキュリティ事故による経済的損失は、我が国でも1事件あたり1-3億円を見積もらなければなりません。

しかし、試算によると、開発者ひとりあたり、年間5-10万円の投資により、このリスクが激減することは、お調べになられましたか。

システムのセキュリティ確保は、「シフトレフト」による実装を強化することが最も効率的です。

シフトレフト

弊社は、開発、運用、またビジネス現場におけるセキュリティイニシアチブ・トレーニングを提供しています。それぞれのサイバーセキュリティリスクにビジネスの現場で対応するキーマンあるいはそのチームをトレーニングするコースを提供しています。ビジネスイネーブラーとしてのセキュリティイニシアチブが身につけておくべき事柄をOff-JTとなるトレーニング、ワークショップ、また、OJTのアプローチで提供します。

効果の上がる、セキュリティイニシアチブ・トレーニングの対象は以下のとおりです

  • CIO、CTO、CISO職、あるいはそのアシスタント(補佐官)やアドバイザ
  • 発注側のマネージャ、ソフトウェア検収担当
  • 開発者・アーキテクト・プロダクトマネージャ
  • CSIRT、インシデントレスポンス担当者

シリーズA: 発注者・マネージャ向け セキュリティ設計コース 8コースバンドル(合計5H)

  • 米国Aspect Security社とアスタリスク・リサーチによる共同制作コースです。
  • 100 アプリケーションセキュリティの基礎
  • 102 セキュリティ開発ライフサイクルの基礎
  • 103 アプリケーションセキュリティ管理の基礎
  • 120 アクセス制御
  • 140 エラー処理とセキュリティログ
  • 150 機微情報の保護
  • 273 安全なコンポーネントの使用
  • 420 脅威モデリングとセキュアアーキテクチャレビュー

シリーズC: 開発者向け セキュア開発実装コース: 5コースバンドル (合計5H)

  • 米国最大のAppSecコンサルティング会社Cigitalによる制作コースです。
  • ソフトウェアセキュリティの基礎 (40min)
  • OWASP Top 10 (1h 20)
  • PCI-DSS に対応したセキュアな開発 (1h)
  • セキュア開発の基礎:JAVA (45min)
  • セキュア開発の基礎.NET (1h)

シリーズD: セキュア開発イニシアチブブートキャンプ (14H)

  • オンサイト・トレーニングです。セキュア開発ブートキャンプ 2 DAYSの形式で実施しています。
UNIT タイトル 概要
D1 サイバーセキュリティ情勢とビルトイン・セキュリティの意義
  • サイバーセキュリティ情勢とビルトイン・セキュリティの意義
D2 セキュリティ原則とアプリケーションセキュリティ
  • セキュリティ原則とアプリケーション
  • 顕在化する脅威の類型
D3 ソフトウェアの脆弱性、脅威と基本的な対策
  • ソフトウェアの脆弱性、脅威と対策
    OWASP Top 10, SANS 25
D4 脆弱性の発生を防ぐ手法

設計、コーディング

  • 設計・コーディング
    プロアクティブコントロール
D5 脆弱性の発生を防ぐ手法

検証標準、リスクベーステストの設計

  • 検証標準
    ASVS
D6 SDLプロセス・スコアリング
  • ソフトウェア開発ライフサイクルにかかわる情報収集とアクションBSIMM、OpenSAMM
H4 ハンズオン

セキュアコーディングチェックハンズオン(1DAY / 6H)

  • セキュア開発の対象となる資産のコーディングチェックとメンテナンス
    OWASP Coding Practices / Checklist

特徴 – 総合的、魅力的、実践的です。

  • ソフトウェアセキュリティ専門企業のコンサルティングとケースの成果を集約した実践的な内容。
  • 開発言語に特化した内容もあり、多様な役割を持つチームメンバーに向きます。
  • ナレッジチェックも多く、モジュール形式を活用した柔軟なインタラクティブフォーマット。
  • OWASPの成果物として、OWASP Top 10などを幅広くガイドとして活用しています。
  • さらにコンプライアンス・標準への準拠PCI-DSS Training, OWASP Top Ten, HIPAA, SOX など
  • CPE Credit: ISACA, (ISC)² などの専門資格のCPEにカウントできます。

お問い合わせ

すべてのコースはデモンストレーションがご覧になれます。最小導入人数は20名よりとなっており、コンパクトに導入できます。
お問い合わせください。