GSX、セキュリスト(SecuriST)(R) シリーズの新コースウェア「セキュアWebアプリケーション設計士」をリリース
GSX
増加するWebアプリの脆弱性を突く攻撃への対策としてシステムの要件定義から設計フェーズのセキュリティを学習
グローバルセキュリティエキスパート株式会社(本社:東京都港区海岸1-15-1、代表取締役社長:青柳 史郎、https://www.gsx.co.jp/、以下、GSX)は、本日9月16日、セキュリスト(SecuriST)(R) シリーズの新コースウェア『セキュアWebアプリケーション設計士』をリリースいたします。
グローバルセキュリティエキスパート株式会社(本社:東京都港区海岸1-15-1、代表取締役社長:青柳 史郎、https://www.gsx.co.jp/、以下、GSX)は、本日9月16日、セキュリスト(SecuriST)(R) シリーズの新コースウェア『セキュアWebアプリケーション設計士』をリリースいたします。
セキュリスト(SecuriST)(R) セキュアWebアプリケーション設計士とは
認定脆弱性診断士は、国内初のセキュリティ資格「セキュリスト(SecuriST)(R)」の認定試験を受験し、合格することで認定されます。セキュリスト(SecuriST)(R) 認定脆弱性診断士のコースは、情報システムのセキュリティテスト(脆弱性診断)に必要な技術やスキルなどをハンズオンを含むトレーニングで身につけ、さらに、そのスキルを認定する仕組みとなっています。
今回リリースする『セキュアWebアプリケーション設計士』では、Webアプリケーションをセキュアに構築するための要件や設計を学ぶことを目的としています。講座では、Webサイトを取り巻く現状を学ぶことから始まり、Webシステムに対する攻撃手段とその仕組み、安全なWebアプリケーション開発のための必要な要件と設計の具体例を学ぶことが可能です。
増加するWebアプリケーションの脆弱性を突く攻撃とそれらを防ぐセキュリティ人材の育成
近年、Webアプリケーションの脆弱性を突く不正アクセスなどの攻撃は、増加の一途を辿るばかりです。中には攻撃によって引き起こされる情報漏えい事故まで発生しているケースも見受けられます。IPAが公開している「ソフトウェア等の脆弱性関連情報に関する届出状況」において、Weサイト(Webアプリケーション)の脆弱性の届出件数は、約3年間で120%増加していることが示されています。このような状況を踏まえ、脆弱性診断を実施する企業が増えており、新年度カットオーバータイミングに合わせたWebアプリケーションリリースニーズ(システム出荷前テスト)や定期診断におけるベンダローテーションなどの慣習が根付き始めています。
【出典】IPA JPCERT/CC|ソフトウェア等の脆弱性関連情報に関する届出状況[2021年第2四半期(4月~6月)]
https://www.ipa.go.jp/files/000092739.pdf
Webアプリケーションの脆弱性を払拭するためには、開発の上流工程である要件定義や設計の段階から、セキュリティ対策を適切に行うことが必要です。今回リリースする『セキュアWebアプリケーション設計士』は、Webアプリケーションをセキュアに構築するための要件や設計を学ぶことを目的としています。Webアプリケーションの開発に必要な要件と設計のポイントを学ぶことで、脆弱性の潜在的なリスクを最小化します。
また、増加する脆弱性を突く攻撃への対峙策として、「脆弱性の無いシステム」という観点そのものを「設計」することが挙げられます。これには、技術側面とヒト側面での対策が有効です。技術側面対策とは、上流工程でのセキュアな設計と脆弱性診断の網羅性を実現することです。今回リリースする『セキュアWebアプリケーション』により、脆弱性診断の必要な技術とスキルを身につけるセキュリスト(SecuriST)(R) シリーズがさらに充実しました。そして、ヒト側面対策とは、ユーザー企業において本来の業務を行う中でセキュリティスキルも必要となる「プラス・セキュリティ人材」を育成することです。セキュリティ人材の不足を解消するためには、セキュリティに特化した専門家を育成することが必要だと考えられていましたが、実際には、卸売業・小売業や医療・福祉業などの業種における人材の不足感が高いことが報告されています*。これらの業種で必要となるのが「プラス・セキュリティ人材」です。セキュリスト(SecuriST)(R) シリーズの対象には、もちろん「プラス・セキュリティ人材」も含まれています。今回リリースする『セキュアWebアプリケーション設計士』を受講いただくことで、日本のセキュリティ人材育成の一助となればと考えています。
*【出典】セキュリティ人材育成の最前線 ~ NICT におけるセキュリティ人材育成事業 ~
国立研究開発法人情報通信研究機構(NICT)|https://www.soumu.go.jp/main_content/000675194.pdf
セキュリスト(SecuriST)(R) セキュアWebアプリケーション設計士のご案内
この度リリースするセキュリスト(SecuriST)(R) セキュアWebアプリケーション設計士は、「1日間の講座とハンズオンのトレーニング」+「1回分の認定資格試験」をセットでご提供します。
セキュリスト(SecuriST)(R) セキュアWebアプリケーション設計士 公式トレーニング
(Certified SecuriST for Web application Designer)
セキュアなWebシステム/Webアプリケーション構築に必要な脆弱性診断技術を、実施方法やツールの使い方、レポートの書き方などを、実践・実習を通して具体的に学びます。認定資格取得のための試験もセットになったプランです。
■トレーニング詳細及び開講スケジュールなど、詳しくはこちらからご覧ください。
https://www.gsx.co.jp/academy/SecureWebApplicationDesigner.html
受講料金について
受講料金:132,000円(税込)
※トレーニングはオンライン(ライブ配信)でご提供します
認定脆弱性診断士 全面監修 上野 宣 氏からのメッセージ
「要件定義」と「設計」でセキュリティを考慮することが最良の選択肢
システムの開発工程は要件定義、設計、実装、テスト、運用といったように分かれていて、セキュリティ上の脅威となる事象の原因は開発工程のどこかで作り込まれます。その中でも上流工程の要件定義・設計段階で作り込まれた脆弱性やセキュリティ上の不備は後の工程に大きく影響を及ぼします。
後になって要件定義の段階での問題に気が付いた場合には大きな手戻りが必要になります。要件定義・設計段階でセキュリティに掛けるにコスト比べて、実装段階で手戻りすると6.5倍、テスト段階では15倍、運用開始後だと60倍以上掛かるという研究結果もあります。
コストの問題だけではありません。たとえば認証やアクセス制御などの問題は要件定義や設計の時点でセキュアか否かが決まることもあります。実装や運用開始後の場当たり的な対策でカバーできるものではないのです。
要件定義と設計でセキュリティを考慮するということの重要さは、ウォーターフォールモデルだろうがアジャイルモデルだろうが変わりません。
Webアプリケーションのセキュリティ要件には「正解」がある
システムのセキュリティ要件というと、サイバーセキュリティの専門家ではない人にとっては難しく感じるのではないでしょうか。その理由としては、新たな事件や問題が次々に起きていくので、必要なセキュリティ施策をキャッチアップしきれないと考えているのかもしれません。
しかし、実はWebアプリケーションに必要なセキュリティ要件はそれほど頻繁に更新されるものではないのです。私がOWASPのプロジェクトで作っている汎用的に利用できる「Webシステム/Webアプリケーションセキュリティ要件書(https://github.com/OWASP/www-chapter-japan/tree/master/secreq)」は約3年に1度アップデートしていますが、要件定義の大半には大きな変化はありません。1度理解すれば末永く使えてあらゆるWebアプリケーションに活用できるのです。
「正しい設計」を知ろう
セキュリティ要件は、大半のWebアプリケーションで共通のものが適用できますが、設計については機能要件や環境などによって異なってきます。セキュリティ要件に基づいてどのように正しく設計すべきかということを知る必要があります。もちろん、その後の実装段階においても同様です。「正しい設計」はWebアプリケーションごとに異なる機能はもちろん、利用する言語やシステム環境が異なっても不変のものです。
この「セキュアWebアプリケーション設計士」講座ではセキュアなWebアプリケーションに必要な「正しい設計」を学ぶことができます。「正しい設計」を知ることで、安全なWebアプリケーションを作れるようになりましょう。
上野 宣 氏(UENO Sen)のご紹介
2006年に株式会社トライコーダを設立。企業や官公庁などにサイバーセキュリティ教育やトレーニングを提供。OWASP Japan 代表、JNSA ISOG-JセキュリティオペレーションガイドラインWG(WG1)リーダー、情報処理安全確保支援士 集合講習講師、一般社団法人セキュリティ・キャンプ協議会GM、情報セキュリティ専門誌ScanNetSecurity編集長、Hardening Project実行委員、SECCON実行委員、東京2020オリンピック・パラリンピック競技大会向けサイバー攻撃・防御演習NICTサイバーコロッセオ推進委員、NICT実戦的サイバー防御演習CYDER推進委員、Flatt Security社外取締役などを務める。
主な著書に『Webセキュリティ担当者のための脆弱性診断スタートガイド 上野宣が教える情報漏えいを防ぐ技術』、『HTTPの教科書』、『めんどうくさいWebセキュリティ』、『今夜わかるシリーズ(TCP/IP, HTTP, メール)』など他多数。
第16回「情報セキュリティ文化賞」、(ISC)2 第11回アジア・パシフィック情報セキュリティ・リーダーシップ・アチーブメント(ISLA)受賞。
セキュリスト(SecuriST)(R) セキュアWebアプリケーション設計士 受講者のコメント
株式会社アクシス様にセキュリスト(SecuriST)(R) セキュアWebアプリケーション設計士を受講いただいた感想を6名様からお伺いしました。一部ご紹介させていただきます。
―設計・製造担当エンジニア E氏―
アクシスは「医療現場をITでつなぐ」企業として、医療事業と開発事業の2つの軸を展開しています。例えば医療業務では、調剤薬局向けSaaSの提供と受託開発を行っています。
今までセキュリティについて体系だてて学んだことがなかったのですが、今回、本コースを受講して、安全に対する知識が深まりました。どんな時に問題が発生するのか、イメージが掴みやすかったと感じています。難しい内容もありましたが、今後必ず活きる内容だと感じました。
本コースは、設計、製造に携わるエンジニアには必要な知識だと思いますので、積極的に受講されることをおすすめします。
―開発本部マネージャー P氏―
今回、本コースを受講してみて感じたことは、既に知っている脆弱性であっても、スクリプトの記述レベルでの良し悪しまで噛み砕いた話をしていただいたので、納得感がありました。全体的な講義のレベル感は、優しいように感じました。
エンジニアにとって気をつけるべき事柄を網羅的に受講することができます。仕事の品質を高めたい方は、是非、受講をおすすめします。
■セキュリスト(SecuriST)(R) セキュアWebアプリケーション設計士
株式会社アクシス様受講者インタビュー(6名様受講)
https://www.gsx.co.jp/academy/WebAppNWSecurityTesting/casestudy/mediaxis.html
GSXが提供しているサイバーセキュリティ資格の位置づけ
GSXでは各種コースウェアについて、縦軸に「攻撃視点」~「防御視点」、横軸に「マネジメント向け」~「技術者向け」のマッピング定義をしております。
国内のセキュリティ資格保持者は「防御視点」かつ「マネジメント向け」のセグメントに資格保持者が集中しており、セキュリティ人材が豊富な状況です。一方、「技術者向け」かつ「防御視点」エリアにおける技術者や実務者層が大幅に不足しています。そのような市場環境を変えるべく、また、中間層ともいえるプラス・セキュリティ人材の育成にも注力しております。
セキュリスト(SecuriST)(R) 認定脆弱性診断士とは
認定脆弱性診断士は、情報システムのセキュリティテスト(脆弱性診断)に必要な技術やスキルをハンズオン含むトレーニングで身に着け、さらにそのスキルを認定試験で認定する仕組みになります。
本認定は、JNSA配下の日本セキュリティオペレーション事業者協議会(ISOG-J:Information Security Operation providers Group Japan)のセキュリティオペレーションガイドラインWG(WG1)、および、OWASP Japan主催の共同ワーキンググループである脆弱性診断士スキルマッププロジェクト(代表 上野 宣 氏)で定義しているスキルマップの「Silver」レベル相当の知識、技術を身に着けていることを認定するものです。認定試験を受験し、合格することで「脆弱性診断士」として認定されますので、人事や発注に関する定性的な評価にもご活用いただけます。
https://www.gsx.co.jp/academy/WebAppNWSecurityTesting.html
■セキュリスト(SecuriST)(R)シリーズご紹介動画はこちらから
https://youtu.be/7KvdJ7Fl4wk/
セキュリスト(SecuriST)(R)認定脆弱性診断士の受講者実績について
昨年以降の開講以来、エンドユーザー企業様をはじめ、SIer企業様、官公庁様、セキュリティ専業企業様など、数多くの企業様にご受講いただいています。
■ 認定 Webアプリケーションおよび認定ネットワーク脆弱性診断士公式トレーニング
受講者インタビュー詳細はこちらから
https://www.gsx.co.jp/academy/WebAppNWSecurityTesting/casestudy/
グローバルセキュリティエキスパート株式会社について
社名:グローバルセキュリティエキスパート株式会社
東京本社:〒105-0022 東京都港区海岸1-15-1 スズエベイディアム4F
西日本支社:〒541-0047 大阪市中央区淡路町3-1-9 淡路町ダイビル8F
西日本支社名古屋オフィス:〒451-6040 愛知県名古屋市西区牛島町6-1名古屋ルーセントタワー40F
代表者:代表取締役社長 青柳 史郎
資本金:636,244,690円(資本準備金含む)
設立 :2000年4月
コーポレートサイト:https://www.gsx.co.jp/
GSXは、サイバーセキュリティ教育カンパニーです
わたしたちは、情報セキュリティ・サイバーセキュリティに特化した専門会社です。高い継続率を誇るセキュリティコンサルティングや、長年のノウハウを踏襲した脆弱性診断、豊富なサイバーセキュリティソリューションをはじめ、日本初のセキュリティ全体像を網羅した教育サービスをご提供しています。
DXが加速し、サイバーセキュリティニーズが拡大する市場で各事業の軸に「教育」と「グローバル」を据え、日本の情報セキュリティレベル向上に貢献します。また、GSXは、中堅企業や地方企業を中心としたユーザー様に対し、それぞれに最適なサービスを提供し、サイバーセキュリティの知見・ノウハウをお伝えすることで、日本全国の企業の自衛力向上をご支援します。
■ コンサルティング
・マネジメントコンサルティング
お客様が抱える情報セキュリティに関する課題について、現状の可視化から、解決に向けた計画策定・体制構築に至るまで、一貫した支援をご提供します。
・テクニカルコンサルティング
ハッカーと同様の技術を持つ専門エンジニア(ホワイトハッカー)が、お客様のネットワークシステムに擬似攻撃を行い、脆弱性の有無を診断して、対策措置、結果報告書までをご提供します。
■セキュリティ教育
・企業向けセキュリティ訓練
業界シェアNo.1*であるトラップメール(GSX標的型メール訓練サービス)や、ITセキュリティeラーニングサービスのMina Secure(R)によって従業員のセキュリティリテラシー向上をご支援します。
*出典:ITR「ITR Market View:サイバー・セキュリティ・コンサルティング・サービス市場2020」標的型攻撃メール訓練サービス市場-従業員1,000~5,000人未満:ベンダー別売上金額シェア(2019年度)
*出典:ITR「ITR Market View:サイバー・セキュリティ・コンサルティング・サービス市場2020」標的型攻撃メール訓練サービス市場-流通業:ベンダー別売上金額シェア(2019年度)
・エンジニア向け教育講座
セキュリティ全体像を網羅した教育サービスをご提供します。EC-Councilセキュリティエンジニア養成講座、日本発のセキュリティ人材資格「セキュリスト(SecuriST)(R) 認定脆弱性診断士」などで、セキュリティ人材を育成します。
■ ITソリューション
・バイリンガルITプロフェッショナルサービス
バイリンガルのIT人材リソースをご提供します。グローバル拠点への対応はじめ、国内のバイリンガル対応を必要とするお客様へのIT+サイバーセキュリティサービスをご提供します。
■セキュリティソリューション
・サイバーセキュリティ製品導入・運用サービス
最新の脅威や攻撃手法などに対して有効なサイバーセキュリティ製品・サービスを、実装・運用を組み合わせたワンストップソリューションでご提供します。
※本文中に記載の会社名、製品名は、それぞれの会社の商標もしくは登録商標です。