ASCII STARTUPについて

メルマガはこちらから

PAGE
TOP

  1. ASCII STARTUP
  2. 【アップデート】攻撃者目線から学ぶ「サイバーセキュリティ教育 MicroHACCON」、Webアプリの脆弱性も加えたバージョン1.1版、2021年9月9、10日に開催
  • はてなブックマーク シェアボタン
  • LinkedIn シェアボタン

【アップデート】攻撃者目線から学ぶ「サイバーセキュリティ教育 MicroHACCON」、Webアプリの脆弱性も加えたバージョン1.1版、2021年9月9、10日に開催

PR TIMES

株式会社FYF
FYF(本社・千葉県柏市)は9月9、10日に、Webアプリの脆弱性を加えたアップデート版、サイバーセキュリティ教育講座「Micro HACCON v1.1」を同社内で開講します。

サイバーセキュリティ教育講座「Micro HACCON」の最大の特長は、受講者がサイバー攻撃を体験できることです。これにより犯罪者の心理が理解できるようになります。 「Micro HACCON」は企業のエンジニアなどを対象にしていて、受講すると自社のプラットフォームの守るスキルが身につきます。 そして今回の「Micro HACCON v1.1」では、これまでのプラットフォーム向けの講義に加え、新たにWebアプリの脆弱性についても講義します。 多くの企業は自社の公式サイトやサービスサイトにWebアプリを使用しています。使い勝手がよい優れたWebアプリが次々誕生していて、この流れは今後も続くでしょう。 ところがWebアプリをサイトに搭載するとシステムが複雑になるため、どうしても「隙」が生まれます。 サイバー犯罪集団はそこを突いてきます。 本教育講座では、Webアプリの脆弱性の見つけ方や対策の立て方などを具体的に指導します。



■御社のエンジニアを「鍛えます」


「Micro HACCON v1.1」は「サーバーセキュリティ講座」ではなく「サイバーセキュリティ教育講座」としました。
教育の2文字が入っているところが、一般的な講座と大きく異なる点です。
次のような悩みを持つ企業に有益な内容になっています。

●社内のエンジニアにセキュリティを教える教育体制がない
●セキュリティ教育をしてきたつもりだが有事に頼りになるか不安
●セキュリティ教育を始めたいが何から着手したらよいのかわからない

「Micro HACCON v1.1」は2日間、計14時間で、企業のエンジニアを徹底的に鍛え上げます。

■実際にサイバー攻撃をして敵の心理をつかむ



「Micro HACCON v1.1」では、受講者にサイバー攻撃をしていただきます。
受講者はまず、架空の企業のプラットフォームの脆弱性を探して攻撃案を策定します。そのうえでKali Linuxという侵入テスト用のOSを使って、攻撃を仕掛けます。

企業のエンジニアがサイバー攻撃を体験すると、「自分ならこの企業のプラットフォームやサイトはここを攻める」というイメージを持つことができるようになります。
企業のエンジニアが攻めたいと思った場所こそが、自社のセキュリティ上の弱点になるので、エンジニアはそこを重点的に改良することができます。
敵の心理をつかむことができれば、効率的に守りを固められます。

■Webアプリは例えばこのように攻撃される

サイバー犯罪者がWebアプリを攻撃するときに使う方法に、クロスサイトスクリプティング(XSS)があります。
サイバー犯罪者は企業のサイトの弱い部分を探します。Webアプリはその対象にやすい部分です。
脆弱な部分をみつけると、サイバー犯罪者はそこに罠をしかけます。
顧客が企業のサイトを訪れ、罠が仕掛けられたWebアプリを操作すると、顧客の個人情報が盗み取られてしまいます。
罠には1)フィッシング、2)セッションハイジャック、3)不正な書き込み、などがあります。
「Micro HACCON v1.1」では、XSS以外にも、CSRFやディレクトリトラバーサルなどの、サイトやWebアプリの脆弱性をついた攻撃を学びます。

●今回学ぶことができるWeb攻撃

・XSS
企業サイトに罠をしかけ、サイトの訪問者の個人情報を盗みます。

・CSRF
クロスサイトリクエストフォージェリ(CSRF)は、サイトの訪問者がログインをしてWebアプリを使っているときに攻撃を仕掛けます。サイバー犯罪者が仕掛けたURLをクリックすると、訪問者の情報が流出します。

・ディレクトリトラバーサル
ディレクトリトラバーサルは、企業にとってアクセスしてほしくないファイルを攻撃する手法です。公開ファイルから非公開ファイルに簡単に移動できるようにします。

■体系型学習と体験型学習の2本立て

「Micro HACCON v1.1」では、体系型学習と体験型学習の2本立てて受講者を指導します。

体系型学習では、サイバー攻撃の手法や仕組みを学んだうえで、実際に手を動かして攻撃ソフトを動かします。

体験型学習では、架空の企業のネットワークに、サイバー犯罪者たちが使っている技術を駆使して侵入を試みます。これをペネトレーションテスト(侵入テスト)といい、社内のエンジニアを短期間で鍛え上げるのに有効なトレーニング方法です。

■ホワイトハッカーが教育プログラムを策定


(CEHのロゴマーク)

「Micro HACCON v1.1」の教育プログラムは、株式会社FYFの認定ホワイトハッカー(サーティファイド・エシカル・ハッカー、CEH)の有資格者が策定しました。
講師は、陸上自衛隊通信学校や沖縄の在日米軍でセキュリティ・セミナーを開催している竹下恵氏です。
竹下氏の略歴は以下のとおりです。

●竹下恵氏
上智大学卒業後、ネットワーク機器ベンダーを経て独立し、2020年に「いけりりネットワークサービス株式会社」(本社・鹿児島市)を設立、代表取締役に就任。同社の主な事業はサイバーセキュリティの教育、講演、セミナーなど。

■2日間の教育講座内容

「Micro HACCON v1.1」は、1回で2日間の日程になっています。
学ぶ内容を紹介します。

●1日目(10:00~18:00)午前も午後も体系型学習
・Kali Linuxについて
・MACアドレス偽装
・ポートスキャン
・MitM攻撃
・脆弱性スキャン・攻撃
・DoS攻撃

●2日目(10:00~18:00)午前は体系型学習、午後は体験型学習
・パスワードクラック
・無線LAN(WPA2)攻撃
・Webアプリの脆弱性(新規追加)
・Captur the Flag (体験型学習)

※講義の進捗によって、多少変更する場合があります。

■受講料は88,000円~、申し込みはサイトから

「Micro HACCON v1.1」の概要と申し込み方法は以下のとおりです。

●申し込み方法
下記のページから申し込んでください。
https://form.fyf-h.com/microhack202109

●受講対象者
・システム管理者
・ネットワークエンジニア
・初級ペネトレーションテスター
・その他セキュリティに興味のある方

●日時(2日間で1回です)
・2021年9月9日(木)~2021年9月10日(金)
・いずれも10:00~18:00(開場9:30)

●会場
株式会社FYFの会議室(千葉県柏市明原1-1-6)

●会場のコロナ対策
・来場時の検温
・消毒液の設置
・会場内の換気
・CO2センサーによる換気状況のモニタリング

●定員:12人
定員になり次第、申し込みを締め切ります。

●受講料(税込)
・通常申し込み:110,000円
・早期申し込み:88,000円(7月31日までのお申込み)

●持ち物
筆記用具だけご持参ください。パソコンなどはすべて用意します。

■株式会社FYFについて


●株式会社FYFの会社概要
・代表:吉澤智之
・設立、資本金、従業員数:2007年12月、800万円、50人
・本社住所:千葉県柏市明原1-1-6
・本社電話番号:04-7192-8927
・その他の拠点:関西支店(大阪府)、東北支店(宮城県)、九州支店(福岡県)

●事業内容
・セキュリティ講座の開催・セキュリティ対策・セキュリティコンサルティング
・ネットワーク設計・構築事業・ネットワーク運用保守事業・SEプロジェクト支援・電気通信工事事業