概要
セキュアなWebアプリケーションの開発ために脆弱性に対する理解を深める
セキュアなWebアプリケーション開発のためには、脆弱性についての理解は不可欠となります。どういった手法や原理で脆弱性を突いて攻撃がなされるか。その理解が脆弱性対策の近道となります。本トレーニングでは脆弱性を検出する具体的な手法をハンズオンのトレーニング形式で学び、Webアプリケーションにおけるセキュア開発を支援します。
開発工程における本サービスの位置づけ
Webセキュリティ成熟度モデル
当社ではWebアプリケーションのセキュリティレベルを確認する指標として、独自の「成熟度モデル」を作成しています。 到達目標をレベル2「ガイドラインに従って改善できる」とし、「Webアプリケーション診断トレーニング」を受講し、これまで外部ベンダにすべてを委託していた「診断作業」の一部を自社内で実施することで、診断コストの削減が可能となります。
セキュリティレベル:
| セキュリティレベル | 説明 |
|---|---|
| レベル0:何もしていない | 脆弱性の対策をしていない状態である。ガイドラインなどによるセキュリティ対策や、サービス開始前のセキュリティテストなどの対策が行われておらず、結果として脆弱性が大量に存在するWebサイトとなっている。 |
| レベル1:診断して修正する | 診断後、都度脆弱性を修正する状態である。この場合、開発工程での対策が十分考慮されていない可能性が高く、手戻り(診断後の修正作業)が多くなり、結果として時間とコストが多くかかることが予想される。 |
| レベル2:ガイドラインに従って改善できる | あらかじめ定めたガイドラインに従って設計・実装・構築時に対策を行い、併せてサービス開始前に診断を実施する状態である。このレベルは、レベル1と比べ手戻り(診断後の修正作業)が少なくなることが予想される。レベル1と同様にサービス開始前の診断については専門家に委託する必要があるが、診断項目・対象の絞り込みが可能であり、レベル1よりもコストが削減できる。 |
| レベル3:自ら改善できる | 自社内にセキュリティ専任部門を設置し、自らガイドライン改定などの運用も含めた継続的なセキュリティ対策を推進できる状態である。 |
サービス内容
Webアプリケーション診断トレーニング
Webアプリケーション診断の内製化による診断コストの削減を目的とし、実技トレーニングを実施します。
こちらは、「IPA(独立行政法人情報処理推進機構)」の「ウェブ健康診断」の仕様に基づいたトレーニングです。Webアプリケーションの脆弱性に関する根本的な理解を深めるとともに「ウェブ健康診断」レベルの診断を担当者自らで実施できることを目的に教育を実施します。
| メニュー |
|
|---|---|
| 期間 | 2日間 10:00~18:00(進行状況により多少前後) |
| 内容 | 「ウェブ健康診断」の診断項目 |
診断項目
| 記号 | 診断項目(脆弱性名) | 想定被害 | |||
|---|---|---|---|---|---|
| 情報漏えい | 改ざん | サービス妨害 | |||
| 登録情報の漏えい | その他情報漏えい (なりすまし、フィッシングなど) |
||||
| (A) | SQL インジェクション | ○ | ○ | ○ | |
| (B) | クロスサイト・スクリプティング (XSS) | ○ | △ | ||
| (C) | クロスサイト・リクエスト・フォージェリ (CSRF) | △ | ○ | ○ | |
| (D) | OS コマンドインジェクション | ○ | ○ | ○ | |
| (E) | ディレクトリ・リスティング | ○ | |||
| (F) | メールヘッダインジェクション | ○ | |||
| (G) | パストラバーサル | ○ | △ | ||
| (H) | 意図しないリダイレクト | ○ | |||
| (I) | HTTPヘッダインジェクション | ○ | △ | ||
| (J) | 認証 | ○ | ○ | ||
| (K) | セッション管理の不備 | ○ | ○ | ||
| (L) | アクセス制御の不備、欠落 | ○ | ○ | ||
価格
教育内容や対象人数、実施場所などに応じて価格が異なるため、当社営業までお問い合わせください。
エムオーテックス株式会社は、セキュリティブランド「SecureOWL」を展開しています。
鋭い眼光と広い視野で暗闇でも見通すフクロウ(OWL)をブランドのキャラクターとしました。お客様の環境を監視し、大切な情報を守るためのセキュリティソリューションを提供します。