セキュリスト(SecuriST)R|セキュアWebアプリケーション設計士
概要
| 研修グループ名 | セキュリスト(SecuriST)R|セキュアWebアプリケーション設計士 | 研修タイプ | オンライン(ライブ)研修 |
|---|
| 研修グループ名 |
|---|
| セキュリスト(SecuriST)R|セキュアWebアプリケーション設計士 |
| 研修タイプ |
| オンライン(ライブ)研修 |
研修内容
本トレーニングで学ぶことができる要件や設計方針は、特定非営利活動法人日本ネットワークセキュリティ協会の日本セキュリティオペレーション事業者協議会のセキュリティオペレーションガイドラインWG(WG1)と、OWASP Japan主催の共同ワーキンググループである『脆弱性診断士スキルマッププロジェクト』が公開している『Webシステム/Webアプリケーションセキュリティ要件書』に基づいています。
安全なWebアプリケーション開発のために必要な要件と設計の具体例を学ぶ、短期集中の1日トレーニングです。インターネットまたは内部ネットワーク向けに公開するWebアプリケーションをセキュアに構築するための要件や設計を学ぶことを目的としています。
セキュリティ要件
・セキュリティ要件の原則
・Webアプリケーションのセキュリティ要件
セキュアWebアプリケーションの構築
・認証の目的
・NIST SP800-63B、Authenticatorのタイプ、AAL
・Webアプリケーションで使う主な認証の種類
・BASIC認証、DIGEST認証
・フォームベース認証
・認証を行うべき箇所
・強いパスワードとは
・パスワードのハッシュ化、salt、ストレッチング
・パスワードの作成について
・ユーザーへのパスワード通知方法
・パスワードの変更機能
・パスワードリセット機能
・秘密の質問について
・認証実行時のエラー処理、ログ記録
・アカウントロック
・パスワードリスト攻撃対策
・二要素認証、リスクベース認証
認可
・認可の目的
・アクセス制御の失敗例
・アクセス制御方法
・OpenID, OAuth, シングルサインオン
・限定公開URL
・FIDO認証
セッション管理
・セッションIDの役割
・Cookie
・設定すべきCookieの属性値
・セッションIDを利用した攻撃を防ぐ設計
・セッションタイムアウトの設計
・ログアウト機能
・セッションIDの生成
・CSRF対策
・トークン方式
・SameSite属性
入力処理
・クライアント側での入力値チェック
・Webアプリケーション側でのチェック
・パラメーターについて
・入力値の文字種や文字長の検証
・文字エンコーディングの統一
・入力値としてファイルを扱う場合
・XMLファイルを扱う場合
・デシリアライズについて
出力処理
・出力処理で必要なこと
・特殊文字のエスケープ処理
・HTMLを生成する際の処理
・HTMLのエスケープ処理
・その他のスクリプト埋め込み原因の排除
・クライアント側でHTMLを生成する際の処理
・SQL文を組み立てる際の処理
・JSONの生成
・OSコマンドを呼び出す処理
・HTTPレスポンスヘッダーについて
・リダイレクタを使う際の注意事項
HTTPS
・SSL/TLS
・HTTPSの仕組み
・証明書に対する攻撃
・HTTPSを使う際の注意
・証明書の種類、用途による使い分け
・安全なプロトコルと暗号アルゴリズム
・フィッシングサイトに対抗するには?
その他
・エラーメッセージハンドリング
・暗号アルゴリズムと乱数について
・疑似乱数生成器
・言語・フレームワーク・ミドルウェア・ライブラリなどの選定
・ログの記録
・ユーザーへの通知
・Access-Control-Allow-Originヘッダーについて
・クリックジャッキング対策
・キャッシュ制御について
・CAPTCHAについて
・言語環境のセキュリティ設定
・用意すべきドキュメント
効果(到達目標)
このコースを修了すると次のことができるようになります。
本講座では下記のスキルを習得することができます。
・セキュアなWebシステム/Webアプリケーションを構築するために必要な知識
・発注者・開発者に必要なWebシステム/Webアプリケーションのセキュリティ要件
・上記セキュリティ要件を満たす設計の具体例
対象
イントラネット/内部ネットワーク向けのWebシステム/Webアプリケーションに関わる下記の方が主な対象者となります。
・Webシステムの発注者
・Webアプリケーションの設計者・開発者
PCI DSSなどで要求されるOWASP Top 10などに基づいた安全なコーディング技法に関するトレーニングが 要求されている場合などにも最適です。
教材
本講座では、テキストをPDF形式にてご提供いたします。
ご受講前にご案内する受講票にありますリンク先より、トレーニングに使用するテキストをダウンロードすることができます。
前提知識
ご受講に際して特に前提条件はございませんが、下記のようなご経験がありますとよりこのコースの理解度が高まります。
・開発言語を使ったプログラム経験(例:VB, C++, PHPなど)
・OSのインストール経験(例:WindowsやLinux、MacOSなど)
・ホームルーターの設定経験
関連サイト
ー
開催情報
お申し込みはこちらから
セキュリスト(SecuriST)R|セキュアWebアプリケーション設計士 2024/4/15 (オンライン)(開催日:2024年4月15日)
概要
| スケジュールコード | 15528 | 研修コード | 02GGG015 | 研修タイプ | オンライン(ライブ)研修 |
|---|---|---|---|---|---|
| 研修名 | セキュリスト(SecuriST)R|セキュアWebアプリケーション設計士 2024/4/15 (オンライン) | ||||
| カテゴリ | 芝大門技術塾/ネットワーク・セキュリティ | 価格(税込) | 132,000円 | 定員(名) | 4 |
| 受講実施日数(日) | 1 | 履修時間(H) | 6 | 開催日程(期間) | 2024/04/15 |
| 開催時間 | 10:00~17:00 | 開場時間 | 9:30 | 会場 | 主催元手配 |
| スケジュールコード |
|---|
| 15528 |
| 研修コード |
| 02GGG015 |
| 研修タイプ |
| オンライン(ライブ)研修 |
| 研修名 |
| セキュリスト(SecuriST)R|セキュアWebアプリケーション設計士 2024/4/15 (オンライン) |
| カテゴリ |
| 芝大門技術塾/ネットワーク・セキュリティ |
| 価格(税込) |
| 132,000円 |
| 定員(名) |
| 4 |
| 受講実施日数(日) |
| 1 |
| 履修時間(H) |
| 6 |
| 開催日程(期間) |
| 2024/04/15 |
| 開催時間 |
| 10:00~17:00 |
| 開場時間 |
| 9:30 |
| 会場 |
| 主催元手配 |
研修内容
本トレーニングで学ぶことができる要件や設計方針は、特定非営利活動法人日本ネットワークセキュリティ協会の日本セキュリティオペレーション事業者協議会のセキュリティオペレーションガイドラインWG(WG1)と、OWASP Japan主催の共同ワーキンググループである『脆弱性診断士スキルマッププロジェクト』が公開している『Webシステム/Webアプリケーションセキュリティ要件書』に基づいています。
安全なWebアプリケーション開発のために必要な要件と設計の具体例を学ぶ、短期集中の1日トレーニングです。インターネットまたは内部ネットワーク向けに公開するWebアプリケーションをセキュアに構築するための要件や設計を学ぶことを目的としています。
セキュリティ要件
・セキュリティ要件の原則
・Webアプリケーションのセキュリティ要件
セキュアWebアプリケーションの構築
・認証の目的
・NIST SP800-63B、Authenticatorのタイプ、AAL
・Webアプリケーションで使う主な認証の種類
・BASIC認証、DIGEST認証
・フォームベース認証
・認証を行うべき箇所
・強いパスワードとは
・パスワードのハッシュ化、salt、ストレッチング
・パスワードの作成について
・ユーザーへのパスワード通知方法
・パスワードの変更機能
・パスワードリセット機能
・秘密の質問について
・認証実行時のエラー処理、ログ記録
・アカウントロック
・パスワードリスト攻撃対策
・二要素認証、リスクベース認証
認可
・認可の目的
・アクセス制御の失敗例
・アクセス制御方法
・OpenID, OAuth, シングルサインオン
・限定公開URL
・FIDO認証
セッション管理
・セッションIDの役割
・Cookie
・設定すべきCookieの属性値
・セッションIDを利用した攻撃を防ぐ設計
・セッションタイムアウトの設計
・ログアウト機能
・セッションIDの生成
・CSRF対策
・トークン方式
・SameSite属性
入力処理
・クライアント側での入力値チェック
・Webアプリケーション側でのチェック
・パラメーターについて
・入力値の文字種や文字長の検証
・文字エンコーディングの統一
・入力値としてファイルを扱う場合
・XMLファイルを扱う場合
・デシリアライズについて
出力処理
・出力処理で必要なこと
・特殊文字のエスケープ処理
・HTMLを生成する際の処理
・HTMLのエスケープ処理
・その他のスクリプト埋め込み原因の排除
・クライアント側でHTMLを生成する際の処理
・SQL文を組み立てる際の処理
・JSONの生成
・OSコマンドを呼び出す処理
・HTTPレスポンスヘッダーについて
・リダイレクタを使う際の注意事項
HTTPS
・SSL/TLS
・HTTPSの仕組み
・証明書に対する攻撃
・HTTPSを使う際の注意
・証明書の種類、用途による使い分け
・安全なプロトコルと暗号アルゴリズム
・フィッシングサイトに対抗するには?
その他
・エラーメッセージハンドリング
・暗号アルゴリズムと乱数について
・疑似乱数生成器
・言語・フレームワーク・ミドルウェア・ライブラリなどの選定
・ログの記録
・ユーザーへの通知
・Access-Control-Allow-Originヘッダーについて
・クリックジャッキング対策
・キャッシュ制御について
・CAPTCHAについて
・言語環境のセキュリティ設定
・用意すべきドキュメント
効果(到達目標)
このコースを修了すると次のことができるようになります。
本講座では下記のスキルを習得することができます。
・セキュアなWebシステム/Webアプリケーションを構築するために必要な知識
・発注者・開発者に必要なWebシステム/Webアプリケーションのセキュリティ要件
・上記セキュリティ要件を満たす設計の具体例
対象
イントラネット/内部ネットワーク向けのWebシステム/Webアプリケーションに関わる下記の方が主な対象者となります。
・Webシステムの発注者
・Webアプリケーションの設計者・開発者
PCI DSSなどで要求されるOWASP Top 10などに基づいた安全なコーディング技法に関するトレーニングが 要求されている場合などにも最適です。
教材
本講座では、テキストをPDF形式にてご提供いたします。
ご受講前にご案内する受講票にありますリンク先より、トレーニングに使用するテキストをダウンロードすることができます。
前提知識
ご受講に際して特に前提条件はございませんが、下記のようなご経験がありますとよりこのコースの理解度が高まります。
・開発言語を使ったプログラム経験(例:VB, C++, PHPなど)
・OSのインストール経験(例:WindowsやLinux、MacOSなど)
・ホームルーターの設定経験
関連サイト
ー
備考
キャンセルされる場合はコース開始日の14営業日前までに、日程変更をされる場合は13営業日前までに[芝大門塾 事務局]までご連絡ください。
それ以降のキャンセル及び日程変更につきましては、全額ご請求させていただきます。
トレーニングで使用するLinuxなどの演習環境へのアクセスは、すべてブラウザ経由で行う仕組みを提供しております。Zoomによるオンライン研修です。
演習環境のシステムは、HTML5ベースで構築されています。OSに関係なく一般的なブラウザであれば利用可能となっております。
もし正常に動作しないように見える場合には、ブラウザを変更するなどをお試しください。
セキュリスト(SecuriST)R|セキュアWebアプリケーション設計士 2024/5/15 (オンライン)(開催日:2024年5月15日)
概要
| スケジュールコード | 15529 | 研修コード | 02GGG015 | 研修タイプ | オンライン(ライブ)研修 |
|---|---|---|---|---|---|
| 研修名 | セキュリスト(SecuriST)R|セキュアWebアプリケーション設計士 2024/5/15 (オンライン) | ||||
| カテゴリ | 芝大門技術塾/ネットワーク・セキュリティ | 価格(税込) | 132,000円 | 定員(名) | 4 |
| 受講実施日数(日) | 1 | 履修時間(H) | 6 | 開催日程(期間) | 2024/05/15 |
| 開催時間 | 10:00~17:00 | 開場時間 | 9:30 | 会場 | 主催元手配 |
| スケジュールコード |
|---|
| 15529 |
| 研修コード |
| 02GGG015 |
| 研修タイプ |
| オンライン(ライブ)研修 |
| 研修名 |
| セキュリスト(SecuriST)R|セキュアWebアプリケーション設計士 2024/5/15 (オンライン) |
| カテゴリ |
| 芝大門技術塾/ネットワーク・セキュリティ |
| 価格(税込) |
| 132,000円 |
| 定員(名) |
| 4 |
| 受講実施日数(日) |
| 1 |
| 履修時間(H) |
| 6 |
| 開催日程(期間) |
| 2024/05/15 |
| 開催時間 |
| 10:00~17:00 |
| 開場時間 |
| 9:30 |
| 会場 |
| 主催元手配 |
研修内容
本トレーニングで学ぶことができる要件や設計方針は、特定非営利活動法人日本ネットワークセキュリティ協会の日本セキュリティオペレーション事業者協議会のセキュリティオペレーションガイドラインWG(WG1)と、OWASP Japan主催の共同ワーキンググループである『脆弱性診断士スキルマッププロジェクト』が公開している『Webシステム/Webアプリケーションセキュリティ要件書』に基づいています。
安全なWebアプリケーション開発のために必要な要件と設計の具体例を学ぶ、短期集中の1日トレーニングです。インターネットまたは内部ネットワーク向けに公開するWebアプリケーションをセキュアに構築するための要件や設計を学ぶことを目的としています。
セキュリティ要件
・セキュリティ要件の原則
・Webアプリケーションのセキュリティ要件
セキュアWebアプリケーションの構築
・認証の目的
・NIST SP800-63B、Authenticatorのタイプ、AAL
・Webアプリケーションで使う主な認証の種類
・BASIC認証、DIGEST認証
・フォームベース認証
・認証を行うべき箇所
・強いパスワードとは
・パスワードのハッシュ化、salt、ストレッチング
・パスワードの作成について
・ユーザーへのパスワード通知方法
・パスワードの変更機能
・パスワードリセット機能
・秘密の質問について
・認証実行時のエラー処理、ログ記録
・アカウントロック
・パスワードリスト攻撃対策
・二要素認証、リスクベース認証
認可
・認可の目的
・アクセス制御の失敗例
・アクセス制御方法
・OpenID, OAuth, シングルサインオン
・限定公開URL
・FIDO認証
セッション管理
・セッションIDの役割
・Cookie
・設定すべきCookieの属性値
・セッションIDを利用した攻撃を防ぐ設計
・セッションタイムアウトの設計
・ログアウト機能
・セッションIDの生成
・CSRF対策
・トークン方式
・SameSite属性
入力処理
・クライアント側での入力値チェック
・Webアプリケーション側でのチェック
・パラメーターについて
・入力値の文字種や文字長の検証
・文字エンコーディングの統一
・入力値としてファイルを扱う場合
・XMLファイルを扱う場合
・デシリアライズについて
出力処理
・出力処理で必要なこと
・特殊文字のエスケープ処理
・HTMLを生成する際の処理
・HTMLのエスケープ処理
・その他のスクリプト埋め込み原因の排除
・クライアント側でHTMLを生成する際の処理
・SQL文を組み立てる際の処理
・JSONの生成
・OSコマンドを呼び出す処理
・HTTPレスポンスヘッダーについて
・リダイレクタを使う際の注意事項
HTTPS
・SSL/TLS
・HTTPSの仕組み
・証明書に対する攻撃
・HTTPSを使う際の注意
・証明書の種類、用途による使い分け
・安全なプロトコルと暗号アルゴリズム
・フィッシングサイトに対抗するには?
その他
・エラーメッセージハンドリング
・暗号アルゴリズムと乱数について
・疑似乱数生成器
・言語・フレームワーク・ミドルウェア・ライブラリなどの選定
・ログの記録
・ユーザーへの通知
・Access-Control-Allow-Originヘッダーについて
・クリックジャッキング対策
・キャッシュ制御について
・CAPTCHAについて
・言語環境のセキュリティ設定
・用意すべきドキュメント
効果(到達目標)
このコースを修了すると次のことができるようになります。
本講座では下記のスキルを習得することができます。
・セキュアなWebシステム/Webアプリケーションを構築するために必要な知識
・発注者・開発者に必要なWebシステム/Webアプリケーションのセキュリティ要件
・上記セキュリティ要件を満たす設計の具体例
対象
イントラネット/内部ネットワーク向けのWebシステム/Webアプリケーションに関わる下記の方が主な対象者となります。
・Webシステムの発注者
・Webアプリケーションの設計者・開発者
PCI DSSなどで要求されるOWASP Top 10などに基づいた安全なコーディング技法に関するトレーニングが 要求されている場合などにも最適です。
教材
本講座では、テキストをPDF形式にてご提供いたします。
ご受講前にご案内する受講票にありますリンク先より、トレーニングに使用するテキストをダウンロードすることができます。
前提知識
ご受講に際して特に前提条件はございませんが、下記のようなご経験がありますとよりこのコースの理解度が高まります。
・開発言語を使ったプログラム経験(例:VB, C++, PHPなど)
・OSのインストール経験(例:WindowsやLinux、MacOSなど)
・ホームルーターの設定経験
関連サイト
ー
備考
キャンセルされる場合はコース開始日の14営業日前までに、日程変更をされる場合は13営業日前までに[芝大門塾 事務局]までご連絡ください。
それ以降のキャンセル及び日程変更につきましては、全額ご請求させていただきます。
トレーニングで使用するLinuxなどの演習環境へのアクセスは、すべてブラウザ経由で行う仕組みを提供しております。Zoomによるオンライン研修です。
演習環境のシステムは、HTML5ベースで構築されています。OSに関係なく一般的なブラウザであれば利用可能となっております。
もし正常に動作しないように見える場合には、ブラウザを変更するなどをお試しください。
セキュリスト(SecuriST)R|セキュアWebアプリケーション設計士 2024/6/14 (オンライン)(開催日:2024年6月14日)
概要
| スケジュールコード | 15530 | 研修コード | 02GGG015 | 研修タイプ | オンライン(ライブ)研修 |
|---|---|---|---|---|---|
| 研修名 | セキュリスト(SecuriST)R|セキュアWebアプリケーション設計士 2024/6/14 (オンライン) | ||||
| カテゴリ | 芝大門技術塾/ネットワーク・セキュリティ | 価格(税込) | 132,000円 | 定員(名) | 4 |
| 受講実施日数(日) | 1 | 履修時間(H) | 6 | 開催日程(期間) | 2024/06/14 |
| 開催時間 | 10:00~17:00 | 開場時間 | 9:30 | 会場 | 主催元手配 |
| スケジュールコード |
|---|
| 15530 |
| 研修コード |
| 02GGG015 |
| 研修タイプ |
| オンライン(ライブ)研修 |
| 研修名 |
| セキュリスト(SecuriST)R|セキュアWebアプリケーション設計士 2024/6/14 (オンライン) |
| カテゴリ |
| 芝大門技術塾/ネットワーク・セキュリティ |
| 価格(税込) |
| 132,000円 |
| 定員(名) |
| 4 |
| 受講実施日数(日) |
| 1 |
| 履修時間(H) |
| 6 |
| 開催日程(期間) |
| 2024/06/14 |
| 開催時間 |
| 10:00~17:00 |
| 開場時間 |
| 9:30 |
| 会場 |
| 主催元手配 |
研修内容
本トレーニングで学ぶことができる要件や設計方針は、特定非営利活動法人日本ネットワークセキュリティ協会の日本セキュリティオペレーション事業者協議会のセキュリティオペレーションガイドラインWG(WG1)と、OWASP Japan主催の共同ワーキンググループである『脆弱性診断士スキルマッププロジェクト』が公開している『Webシステム/Webアプリケーションセキュリティ要件書』に基づいています。
安全なWebアプリケーション開発のために必要な要件と設計の具体例を学ぶ、短期集中の1日トレーニングです。インターネットまたは内部ネットワーク向けに公開するWebアプリケーションをセキュアに構築するための要件や設計を学ぶことを目的としています。
セキュリティ要件
・セキュリティ要件の原則
・Webアプリケーションのセキュリティ要件
セキュアWebアプリケーションの構築
・認証の目的
・NIST SP800-63B、Authenticatorのタイプ、AAL
・Webアプリケーションで使う主な認証の種類
・BASIC認証、DIGEST認証
・フォームベース認証
・認証を行うべき箇所
・強いパスワードとは
・パスワードのハッシュ化、salt、ストレッチング
・パスワードの作成について
・ユーザーへのパスワード通知方法
・パスワードの変更機能
・パスワードリセット機能
・秘密の質問について
・認証実行時のエラー処理、ログ記録
・アカウントロック
・パスワードリスト攻撃対策
・二要素認証、リスクベース認証
認可
・認可の目的
・アクセス制御の失敗例
・アクセス制御方法
・OpenID, OAuth, シングルサインオン
・限定公開URL
・FIDO認証
セッション管理
・セッションIDの役割
・Cookie
・設定すべきCookieの属性値
・セッションIDを利用した攻撃を防ぐ設計
・セッションタイムアウトの設計
・ログアウト機能
・セッションIDの生成
・CSRF対策
・トークン方式
・SameSite属性
入力処理
・クライアント側での入力値チェック
・Webアプリケーション側でのチェック
・パラメーターについて
・入力値の文字種や文字長の検証
・文字エンコーディングの統一
・入力値としてファイルを扱う場合
・XMLファイルを扱う場合
・デシリアライズについて
出力処理
・出力処理で必要なこと
・特殊文字のエスケープ処理
・HTMLを生成する際の処理
・HTMLのエスケープ処理
・その他のスクリプト埋め込み原因の排除
・クライアント側でHTMLを生成する際の処理
・SQL文を組み立てる際の処理
・JSONの生成
・OSコマンドを呼び出す処理
・HTTPレスポンスヘッダーについて
・リダイレクタを使う際の注意事項
HTTPS
・SSL/TLS
・HTTPSの仕組み
・証明書に対する攻撃
・HTTPSを使う際の注意
・証明書の種類、用途による使い分け
・安全なプロトコルと暗号アルゴリズム
・フィッシングサイトに対抗するには?
その他
・エラーメッセージハンドリング
・暗号アルゴリズムと乱数について
・疑似乱数生成器
・言語・フレームワーク・ミドルウェア・ライブラリなどの選定
・ログの記録
・ユーザーへの通知
・Access-Control-Allow-Originヘッダーについて
・クリックジャッキング対策
・キャッシュ制御について
・CAPTCHAについて
・言語環境のセキュリティ設定
・用意すべきドキュメント
効果(到達目標)
このコースを修了すると次のことができるようになります。
本講座では下記のスキルを習得することができます。
・セキュアなWebシステム/Webアプリケーションを構築するために必要な知識
・発注者・開発者に必要なWebシステム/Webアプリケーションのセキュリティ要件
・上記セキュリティ要件を満たす設計の具体例
対象
イントラネット/内部ネットワーク向けのWebシステム/Webアプリケーションに関わる下記の方が主な対象者となります。
・Webシステムの発注者
・Webアプリケーションの設計者・開発者
PCI DSSなどで要求されるOWASP Top 10などに基づいた安全なコーディング技法に関するトレーニングが 要求されている場合などにも最適です。
教材
本講座では、テキストをPDF形式にてご提供いたします。
ご受講前にご案内する受講票にありますリンク先より、トレーニングに使用するテキストをダウンロードすることができます。
前提知識
ご受講に際して特に前提条件はございませんが、下記のようなご経験がありますとよりこのコースの理解度が高まります。
・開発言語を使ったプログラム経験(例:VB, C++, PHPなど)
・OSのインストール経験(例:WindowsやLinux、MacOSなど)
・ホームルーターの設定経験
関連サイト
ー
備考
キャンセルされる場合はコース開始日の14営業日前までに、日程変更をされる場合は13営業日前までに[芝大門塾 事務局]までご連絡ください。
それ以降のキャンセル及び日程変更につきましては、全額ご請求させていただきます。
トレーニングで使用するLinuxなどの演習環境へのアクセスは、すべてブラウザ経由で行う仕組みを提供しております。Zoomによるオンライン研修です。
演習環境のシステムは、HTML5ベースで構築されています。OSに関係なく一般的なブラウザであれば利用可能となっております。
もし正常に動作しないように見える場合には、ブラウザを変更するなどをお試しください。
セキュリスト(SecuriST)R|セキュアWebアプリケーション設計士 2024/7/8 (オンライン)(開催日:2024年7月8日)
概要
| スケジュールコード | 15531 | 研修コード | 02GGG015 | 研修タイプ | オンライン(ライブ)研修 |
|---|---|---|---|---|---|
| 研修名 | セキュリスト(SecuriST)R|セキュアWebアプリケーション設計士 2024/7/8 (オンライン) | ||||
| カテゴリ | 芝大門技術塾/ネットワーク・セキュリティ | 価格(税込) | 132,000円 | 定員(名) | 4 |
| 受講実施日数(日) | 1 | 履修時間(H) | 6 | 開催日程(期間) | 2024/07/08 |
| 開催時間 | 10:00~17:00 | 開場時間 | 9:30 | 会場 | 主催元手配 |
| スケジュールコード |
|---|
| 15531 |
| 研修コード |
| 02GGG015 |
| 研修タイプ |
| オンライン(ライブ)研修 |
| 研修名 |
| セキュリスト(SecuriST)R|セキュアWebアプリケーション設計士 2024/7/8 (オンライン) |
| カテゴリ |
| 芝大門技術塾/ネットワーク・セキュリティ |
| 価格(税込) |
| 132,000円 |
| 定員(名) |
| 4 |
| 受講実施日数(日) |
| 1 |
| 履修時間(H) |
| 6 |
| 開催日程(期間) |
| 2024/07/08 |
| 開催時間 |
| 10:00~17:00 |
| 開場時間 |
| 9:30 |
| 会場 |
| 主催元手配 |
研修内容
本トレーニングで学ぶことができる要件や設計方針は、特定非営利活動法人日本ネットワークセキュリティ協会の日本セキュリティオペレーション事業者協議会のセキュリティオペレーションガイドラインWG(WG1)と、OWASP Japan主催の共同ワーキンググループである『脆弱性診断士スキルマッププロジェクト』が公開している『Webシステム/Webアプリケーションセキュリティ要件書』に基づいています。
安全なWebアプリケーション開発のために必要な要件と設計の具体例を学ぶ、短期集中の1日トレーニングです。インターネットまたは内部ネットワーク向けに公開するWebアプリケーションをセキュアに構築するための要件や設計を学ぶことを目的としています。
セキュリティ要件
・セキュリティ要件の原則
・Webアプリケーションのセキュリティ要件
セキュアWebアプリケーションの構築
・認証の目的
・NIST SP800-63B、Authenticatorのタイプ、AAL
・Webアプリケーションで使う主な認証の種類
・BASIC認証、DIGEST認証
・フォームベース認証
・認証を行うべき箇所
・強いパスワードとは
・パスワードのハッシュ化、salt、ストレッチング
・パスワードの作成について
・ユーザーへのパスワード通知方法
・パスワードの変更機能
・パスワードリセット機能
・秘密の質問について
・認証実行時のエラー処理、ログ記録
・アカウントロック
・パスワードリスト攻撃対策
・二要素認証、リスクベース認証
認可
・認可の目的
・アクセス制御の失敗例
・アクセス制御方法
・OpenID, OAuth, シングルサインオン
・限定公開URL
・FIDO認証
セッション管理
・セッションIDの役割
・Cookie
・設定すべきCookieの属性値
・セッションIDを利用した攻撃を防ぐ設計
・セッションタイムアウトの設計
・ログアウト機能
・セッションIDの生成
・CSRF対策
・トークン方式
・SameSite属性
入力処理
・クライアント側での入力値チェック
・Webアプリケーション側でのチェック
・パラメーターについて
・入力値の文字種や文字長の検証
・文字エンコーディングの統一
・入力値としてファイルを扱う場合
・XMLファイルを扱う場合
・デシリアライズについて
出力処理
・出力処理で必要なこと
・特殊文字のエスケープ処理
・HTMLを生成する際の処理
・HTMLのエスケープ処理
・その他のスクリプト埋め込み原因の排除
・クライアント側でHTMLを生成する際の処理
・SQL文を組み立てる際の処理
・JSONの生成
・OSコマンドを呼び出す処理
・HTTPレスポンスヘッダーについて
・リダイレクタを使う際の注意事項
HTTPS
・SSL/TLS
・HTTPSの仕組み
・証明書に対する攻撃
・HTTPSを使う際の注意
・証明書の種類、用途による使い分け
・安全なプロトコルと暗号アルゴリズム
・フィッシングサイトに対抗するには?
その他
・エラーメッセージハンドリング
・暗号アルゴリズムと乱数について
・疑似乱数生成器
・言語・フレームワーク・ミドルウェア・ライブラリなどの選定
・ログの記録
・ユーザーへの通知
・Access-Control-Allow-Originヘッダーについて
・クリックジャッキング対策
・キャッシュ制御について
・CAPTCHAについて
・言語環境のセキュリティ設定
・用意すべきドキュメント
効果(到達目標)
このコースを修了すると次のことができるようになります。
本講座では下記のスキルを習得することができます。
・セキュアなWebシステム/Webアプリケーションを構築するために必要な知識
・発注者・開発者に必要なWebシステム/Webアプリケーションのセキュリティ要件
・上記セキュリティ要件を満たす設計の具体例
対象
イントラネット/内部ネットワーク向けのWebシステム/Webアプリケーションに関わる下記の方が主な対象者となります。
・Webシステムの発注者
・Webアプリケーションの設計者・開発者
PCI DSSなどで要求されるOWASP Top 10などに基づいた安全なコーディング技法に関するトレーニングが 要求されている場合などにも最適です。
教材
本講座では、テキストをPDF形式にてご提供いたします。
ご受講前にご案内する受講票にありますリンク先より、トレーニングに使用するテキストをダウンロードすることができます。
前提知識
ご受講に際して特に前提条件はございませんが、下記のようなご経験がありますとよりこのコースの理解度が高まります。
・開発言語を使ったプログラム経験(例:VB, C++, PHPなど)
・OSのインストール経験(例:WindowsやLinux、MacOSなど)
・ホームルーターの設定経験
関連サイト
ー
備考
キャンセルされる場合はコース開始日の14営業日前までに、日程変更をされる場合は13営業日前までに[芝大門塾 事務局]までご連絡ください。
それ以降のキャンセル及び日程変更につきましては、全額ご請求させていただきます。
トレーニングで使用するLinuxなどの演習環境へのアクセスは、すべてブラウザ経由で行う仕組みを提供しております。Zoomによるオンライン研修です。
演習環境のシステムは、HTML5ベースで構築されています。OSに関係なく一般的なブラウザであれば利用可能となっております。
もし正常に動作しないように見える場合には、ブラウザを変更するなどをお試しください。
セキュリスト(SecuriST)R|セキュアWebアプリケーション設計士 2024/8/21 (オンライン)(開催日:2024年8月21日)
概要
| スケジュールコード | 15532 | 研修コード | 02GGG015 | 研修タイプ | オンライン(ライブ)研修 |
|---|---|---|---|---|---|
| 研修名 | セキュリスト(SecuriST)R|セキュアWebアプリケーション設計士 2024/8/21 (オンライン) | ||||
| カテゴリ | 芝大門技術塾/ネットワーク・セキュリティ | 価格(税込) | 132,000円 | 定員(名) | 4 |
| 受講実施日数(日) | 1 | 履修時間(H) | 6 | 開催日程(期間) | 2024/08/21 |
| 開催時間 | 10:00~17:00 | 開場時間 | 9:30 | 会場 | 主催元手配 |
| スケジュールコード |
|---|
| 15532 |
| 研修コード |
| 02GGG015 |
| 研修タイプ |
| オンライン(ライブ)研修 |
| 研修名 |
| セキュリスト(SecuriST)R|セキュアWebアプリケーション設計士 2024/8/21 (オンライン) |
| カテゴリ |
| 芝大門技術塾/ネットワーク・セキュリティ |
| 価格(税込) |
| 132,000円 |
| 定員(名) |
| 4 |
| 受講実施日数(日) |
| 1 |
| 履修時間(H) |
| 6 |
| 開催日程(期間) |
| 2024/08/21 |
| 開催時間 |
| 10:00~17:00 |
| 開場時間 |
| 9:30 |
| 会場 |
| 主催元手配 |
研修内容
本トレーニングで学ぶことができる要件や設計方針は、特定非営利活動法人日本ネットワークセキュリティ協会の日本セキュリティオペレーション事業者協議会のセキュリティオペレーションガイドラインWG(WG1)と、OWASP Japan主催の共同ワーキンググループである『脆弱性診断士スキルマッププロジェクト』が公開している『Webシステム/Webアプリケーションセキュリティ要件書』に基づいています。
安全なWebアプリケーション開発のために必要な要件と設計の具体例を学ぶ、短期集中の1日トレーニングです。インターネットまたは内部ネットワーク向けに公開するWebアプリケーションをセキュアに構築するための要件や設計を学ぶことを目的としています。
セキュリティ要件
・セキュリティ要件の原則
・Webアプリケーションのセキュリティ要件
セキュアWebアプリケーションの構築
・認証の目的
・NIST SP800-63B、Authenticatorのタイプ、AAL
・Webアプリケーションで使う主な認証の種類
・BASIC認証、DIGEST認証
・フォームベース認証
・認証を行うべき箇所
・強いパスワードとは
・パスワードのハッシュ化、salt、ストレッチング
・パスワードの作成について
・ユーザーへのパスワード通知方法
・パスワードの変更機能
・パスワードリセット機能
・秘密の質問について
・認証実行時のエラー処理、ログ記録
・アカウントロック
・パスワードリスト攻撃対策
・二要素認証、リスクベース認証
認可
・認可の目的
・アクセス制御の失敗例
・アクセス制御方法
・OpenID, OAuth, シングルサインオン
・限定公開URL
・FIDO認証
セッション管理
・セッションIDの役割
・Cookie
・設定すべきCookieの属性値
・セッションIDを利用した攻撃を防ぐ設計
・セッションタイムアウトの設計
・ログアウト機能
・セッションIDの生成
・CSRF対策
・トークン方式
・SameSite属性
入力処理
・クライアント側での入力値チェック
・Webアプリケーション側でのチェック
・パラメーターについて
・入力値の文字種や文字長の検証
・文字エンコーディングの統一
・入力値としてファイルを扱う場合
・XMLファイルを扱う場合
・デシリアライズについて
出力処理
・出力処理で必要なこと
・特殊文字のエスケープ処理
・HTMLを生成する際の処理
・HTMLのエスケープ処理
・その他のスクリプト埋め込み原因の排除
・クライアント側でHTMLを生成する際の処理
・SQL文を組み立てる際の処理
・JSONの生成
・OSコマンドを呼び出す処理
・HTTPレスポンスヘッダーについて
・リダイレクタを使う際の注意事項
HTTPS
・SSL/TLS
・HTTPSの仕組み
・証明書に対する攻撃
・HTTPSを使う際の注意
・証明書の種類、用途による使い分け
・安全なプロトコルと暗号アルゴリズム
・フィッシングサイトに対抗するには?
その他
・エラーメッセージハンドリング
・暗号アルゴリズムと乱数について
・疑似乱数生成器
・言語・フレームワーク・ミドルウェア・ライブラリなどの選定
・ログの記録
・ユーザーへの通知
・Access-Control-Allow-Originヘッダーについて
・クリックジャッキング対策
・キャッシュ制御について
・CAPTCHAについて
・言語環境のセキュリティ設定
・用意すべきドキュメント
効果(到達目標)
このコースを修了すると次のことができるようになります。
本講座では下記のスキルを習得することができます。
・セキュアなWebシステム/Webアプリケーションを構築するために必要な知識
・発注者・開発者に必要なWebシステム/Webアプリケーションのセキュリティ要件
・上記セキュリティ要件を満たす設計の具体例
対象
イントラネット/内部ネットワーク向けのWebシステム/Webアプリケーションに関わる下記の方が主な対象者となります。
・Webシステムの発注者
・Webアプリケーションの設計者・開発者
PCI DSSなどで要求されるOWASP Top 10などに基づいた安全なコーディング技法に関するトレーニングが 要求されている場合などにも最適です。
教材
本講座では、テキストをPDF形式にてご提供いたします。
ご受講前にご案内する受講票にありますリンク先より、トレーニングに使用するテキストをダウンロードすることができます。
前提知識
ご受講に際して特に前提条件はございませんが、下記のようなご経験がありますとよりこのコースの理解度が高まります。
・開発言語を使ったプログラム経験(例:VB, C++, PHPなど)
・OSのインストール経験(例:WindowsやLinux、MacOSなど)
・ホームルーターの設定経験
関連サイト
ー
備考
キャンセルされる場合はコース開始日の14営業日前までに、日程変更をされる場合は13営業日前までに[芝大門塾 事務局]までご連絡ください。
それ以降のキャンセル及び日程変更につきましては、全額ご請求させていただきます。
トレーニングで使用するLinuxなどの演習環境へのアクセスは、すべてブラウザ経由で行う仕組みを提供しております。Zoomによるオンライン研修です。
演習環境のシステムは、HTML5ベースで構築されています。OSに関係なく一般的なブラウザであれば利用可能となっております。
もし正常に動作しないように見える場合には、ブラウザを変更するなどをお試しください。
セキュリスト(SecuriST)R|セキュアWebアプリケーション設計士 2024/9/13 (オンライン)(開催日:2024年9月13日)
概要
| スケジュールコード | 15533 | 研修コード | 02GGG015 | 研修タイプ | オンライン(ライブ)研修 |
|---|---|---|---|---|---|
| 研修名 | セキュリスト(SecuriST)R|セキュアWebアプリケーション設計士 2024/9/13 (オンライン) | ||||
| カテゴリ | 芝大門技術塾/ネットワーク・セキュリティ | 価格(税込) | 132,000円 | 定員(名) | 4 |
| 受講実施日数(日) | 1 | 履修時間(H) | 6 | 開催日程(期間) | 2024/09/13 |
| 開催時間 | 10:00~17:00 | 開場時間 | 9:30 | 会場 | 主催元手配 |
| スケジュールコード |
|---|
| 15533 |
| 研修コード |
| 02GGG015 |
| 研修タイプ |
| オンライン(ライブ)研修 |
| 研修名 |
| セキュリスト(SecuriST)R|セキュアWebアプリケーション設計士 2024/9/13 (オンライン) |
| カテゴリ |
| 芝大門技術塾/ネットワーク・セキュリティ |
| 価格(税込) |
| 132,000円 |
| 定員(名) |
| 4 |
| 受講実施日数(日) |
| 1 |
| 履修時間(H) |
| 6 |
| 開催日程(期間) |
| 2024/09/13 |
| 開催時間 |
| 10:00~17:00 |
| 開場時間 |
| 9:30 |
| 会場 |
| 主催元手配 |
研修内容
本トレーニングで学ぶことができる要件や設計方針は、特定非営利活動法人日本ネットワークセキュリティ協会の日本セキュリティオペレーション事業者協議会のセキュリティオペレーションガイドラインWG(WG1)と、OWASP Japan主催の共同ワーキンググループである『脆弱性診断士スキルマッププロジェクト』が公開している『Webシステム/Webアプリケーションセキュリティ要件書』に基づいています。
安全なWebアプリケーション開発のために必要な要件と設計の具体例を学ぶ、短期集中の1日トレーニングです。インターネットまたは内部ネットワーク向けに公開するWebアプリケーションをセキュアに構築するための要件や設計を学ぶことを目的としています。
セキュリティ要件
・セキュリティ要件の原則
・Webアプリケーションのセキュリティ要件
セキュアWebアプリケーションの構築
・認証の目的
・NIST SP800-63B、Authenticatorのタイプ、AAL
・Webアプリケーションで使う主な認証の種類
・BASIC認証、DIGEST認証
・フォームベース認証
・認証を行うべき箇所
・強いパスワードとは
・パスワードのハッシュ化、salt、ストレッチング
・パスワードの作成について
・ユーザーへのパスワード通知方法
・パスワードの変更機能
・パスワードリセット機能
・秘密の質問について
・認証実行時のエラー処理、ログ記録
・アカウントロック
・パスワードリスト攻撃対策
・二要素認証、リスクベース認証
認可
・認可の目的
・アクセス制御の失敗例
・アクセス制御方法
・OpenID, OAuth, シングルサインオン
・限定公開URL
・FIDO認証
セッション管理
・セッションIDの役割
・Cookie
・設定すべきCookieの属性値
・セッションIDを利用した攻撃を防ぐ設計
・セッションタイムアウトの設計
・ログアウト機能
・セッションIDの生成
・CSRF対策
・トークン方式
・SameSite属性
入力処理
・クライアント側での入力値チェック
・Webアプリケーション側でのチェック
・パラメーターについて
・入力値の文字種や文字長の検証
・文字エンコーディングの統一
・入力値としてファイルを扱う場合
・XMLファイルを扱う場合
・デシリアライズについて
出力処理
・出力処理で必要なこと
・特殊文字のエスケープ処理
・HTMLを生成する際の処理
・HTMLのエスケープ処理
・その他のスクリプト埋め込み原因の排除
・クライアント側でHTMLを生成する際の処理
・SQL文を組み立てる際の処理
・JSONの生成
・OSコマンドを呼び出す処理
・HTTPレスポンスヘッダーについて
・リダイレクタを使う際の注意事項
HTTPS
・SSL/TLS
・HTTPSの仕組み
・証明書に対する攻撃
・HTTPSを使う際の注意
・証明書の種類、用途による使い分け
・安全なプロトコルと暗号アルゴリズム
・フィッシングサイトに対抗するには?
その他
・エラーメッセージハンドリング
・暗号アルゴリズムと乱数について
・疑似乱数生成器
・言語・フレームワーク・ミドルウェア・ライブラリなどの選定
・ログの記録
・ユーザーへの通知
・Access-Control-Allow-Originヘッダーについて
・クリックジャッキング対策
・キャッシュ制御について
・CAPTCHAについて
・言語環境のセキュリティ設定
・用意すべきドキュメント
効果(到達目標)
このコースを修了すると次のことができるようになります。
本講座では下記のスキルを習得することができます。
・セキュアなWebシステム/Webアプリケーションを構築するために必要な知識
・発注者・開発者に必要なWebシステム/Webアプリケーションのセキュリティ要件
・上記セキュリティ要件を満たす設計の具体例
対象
イントラネット/内部ネットワーク向けのWebシステム/Webアプリケーションに関わる下記の方が主な対象者となります。
・Webシステムの発注者
・Webアプリケーションの設計者・開発者
PCI DSSなどで要求されるOWASP Top 10などに基づいた安全なコーディング技法に関するトレーニングが 要求されている場合などにも最適です。
教材
本講座では、テキストをPDF形式にてご提供いたします。
ご受講前にご案内する受講票にありますリンク先より、トレーニングに使用するテキストをダウンロードすることができます。
前提知識
ご受講に際して特に前提条件はございませんが、下記のようなご経験がありますとよりこのコースの理解度が高まります。
・開発言語を使ったプログラム経験(例:VB, C++, PHPなど)
・OSのインストール経験(例:WindowsやLinux、MacOSなど)
・ホームルーターの設定経験
関連サイト
ー
備考
キャンセルされる場合はコース開始日の14営業日前までに、日程変更をされる場合は13営業日前までに[芝大門塾 事務局]までご連絡ください。
それ以降のキャンセル及び日程変更につきましては、全額ご請求させていただきます。
トレーニングで使用するLinuxなどの演習環境へのアクセスは、すべてブラウザ経由で行う仕組みを提供しております。Zoomによるオンライン研修です。
演習環境のシステムは、HTML5ベースで構築されています。OSに関係なく一般的なブラウザであれば利用可能となっております。
もし正常に動作しないように見える場合には、ブラウザを変更するなどをお試しください。
※お問い合わせ先で「芝大門塾」を選択してお問い合わせください。
050-3180-7424
お問い合わせフォームはこちら
