あなたも「シフトレフト」を実現するセキュリティイニシアチブになろう


お急ぎください。シフトレフト・ブリーフィングが開催されます

サイバーセキュリティ月間となる3月は、どなたでもご参加いただける「シフトレフト」プラクティスを紹介するブリーフィングを展開しています。「脆弱性のないソフトウェアセキュリティ保証を実現するには」をご覧ください。

3月13日 ビジネスに最も深刻な影響を与える脆弱性とその防御 2018

既存のビジネス・システムがセキュリティ脆弱性を持っている割合は80%を超えるという状況では、情報漏洩問題は減る見込みがありません。ビジネスに大打撃となるこの問題の原因を特定するには、知識と仕組みがどのような有効なのでしょうか。ウェブサーバを保護するファイアウォール国内最大出荷数を誇るバラクーダネットワークスのエンジニアの観察も続々。3/13午後、聞きにくいことを聞こう – 「WAFでOWASP Top 10 2017は守れるのか」「脆弱性テストが役に立つには」「サイトが止まるを防ぐためにすべき最低限のこと」ほか
– 場所:ソラシティカンファレンスセンター・テラスルーム (東京都千代田区)
– 受講申込(無料): 3.13 事前登録(残席わずか)

シフトレフトとは?

設計・開発段階からセキュリティの機能を組み込む「セキュアプログラミング」の教養が欠けている – 初代内閣官房初代情報セキュリティ補佐官 山口英教授

この言葉は、昨今のサイバーセキュリティ被害を鑑みた根本原因を示しています。脆弱なシステムの原因の85%は「設計と実装コードの問題」であり、完成してから後付けしたファイアウォールの問題ではありません。

セキュリティは後付けできません。脆弱な状況を放置することにより発生している、数々のセキュリティ事故によるビジネスへの打撃は、甚大です。システムのセキュリティ確保には、より早期にセキュリティに着手すること ー 「シフトレフト」による開発プロセスの強化のプラクティスが有効です。

シフトレフト

OWASP – ソフトウェアを確かなものにするオープンなコミュニティ

開発工程の早期に、繰り返しセキュリティを実践すること。この実現に必要なことは、OWASP(オワスプ・Open Web Application Security Project)の勉強会や、成果物となるコンテンツから、いつでも、どなたでも学ぶことができます。

OWASPは、オープンで自由な、ソフトウェアセキュリティの世界最大のオープンソース・コミュニティです。国内でも東京、関西、九州、東北、沖縄などにチャプターがあり、自由に参加できる定期的なミーティングも開催されています。大勢のソフトウェアエンジニアからビジネスマネージャまで幅広く歓迎されています。

シフトレフトを企業として実践するには

弊社は、ハイリスクなシステムの開発や運用を、企業として実践すべき方々に向けて、セキュリティイニシアチブ向けのトレーニングやツール、またマネージドサービスを提供しています。これにより、それぞれのサイバーセキュリティリスクにビジネスの現場で対応するチームに必要なものを揃えることができ、企業としてビジネス・セキュリティを自分で実践することができます。

スピーディーに組織に実装するのに必要な、メソドロジ(方法論・ノウハウ)、ツール(誰でも使える)、トレーニング(訓練、情報共有、普及啓発)を提供しています。

関連記事:

コース例:イニシアチブブートキャンプ

  • 経営陣、すなわちCEO, CIO, CTO, CISO職そして、そのアシスタント(補佐官)
  • システム発注者としてのマネージャ、ソフトウェア検収担当
  • 開発アーキテクト・プロダクトマネージャ
  • 品質管理、CSIRT、SOC、インシデントレスポンス担当者
UNIT タイトル 概要
D1 サイバーセキュリティ情勢とビルトイン・セキュリティの意義
  • サイバーセキュリティ情勢とビルトイン・セキュリティの意義
D2 セキュリティ原則とアプリケーションセキュリティ
  • セキュリティ原則とアプリケーション
  • 顕在化する脅威の類型
D3 ソフトウェアの脆弱性、脅威と基本的な対策
  • ソフトウェアの脆弱性、脅威と対策
    OWASP Top 10, SANS 25
D4 脆弱性の発生を防ぐ手法

設計、コーディング

  • 設計・コーディング
    プロアクティブコントロール
D5 脆弱性の発生を防ぐ手法

検証標準、リスクベーステストの設計

  • 検証標準
    ASVS
D6 SDLプロセス・スコアリング
  • ソフトウェア開発ライフサイクルにかかわる情報収集とアクションBSIMM、OpenSAMM
H4 ハンズオン

セキュアコーディングチェックハンズオン(1DAY / 6H)

  • セキュア開発の対象となる資産のコーディングチェックとメンテナンス
    OWASP Coding Practices / Checklist

Eラーニング・パッケージ

例: 開発者向け セキュア開発実装コース: 5コースバンドル (合計5H)

  • ソフトウェアセキュリティの基礎 (40min)
  • OWASP Top 10 (1h 20)
  • PCI-DSS に対応したセキュアな開発 (1h)
  • セキュア開発の基礎:JAVA (45min)
  • セキュア開発の基礎.NET (1h)
  • オンラインコースはデモンストレーションがご覧になれます。

お問い合わせ

セミナー、企業研修、オープンな勉強会なども開催しています。
ぜひ、お気軽にお問い合わせください。