C/C++ 安全コーディングのトレーニングコース

この講師主導のライブトレーニング（オンラインまたはオンサイト）は、高度な C++ プログラミング技術を使用して複雑でセキュアかつ高性能なシステムやアプリケーションを開発したい開発者を対象としています。

このトレーニングの終了時には、参加者は次のことができるようになります：

• C++ のすべてのライブラリ、パッケージ、およびフレームワークを含む開発環境をセットアップする。
• C++ の機能、構成要素、および基本要素を理解する。
• 高度なプログラミング技術を使用して複雑な C++ アプリケーションを作成する。
• 読みやすく、高速で、セキュアな C++ コードの書き方を学ぶ。
• C++ 言語における一般的なセキュリティ上の問題点とその緩和方法を知る。
• コード品質とセキュリティ制御のためのテスト戦略を実装する。
• C++ 開発用の診断ツールとデバッグツールを使用する。

セキュアなネットワークアプリケーションの実装は、暗号化やデジタル署名などの暗号技術を過去に使用したことがある開発者にとっても困難です。このため、参加者がこれらの暗号プリミティブの役割と使用方法を理解できるよう、安全な通信の主な要件である「安全な確認」、「整合性」、「機密性」、「リモート認証」、「匿名性」について堅固な基礎を提供します。また、これらの要件に損傷を与える典型的な問題とその解決策についても説明します。

ネットワークセキュリティの重要な側面である暗号技術については、対称暗号、ハッシング、非対称暗号、および鍵共有に関する最も重要な暗号アルゴリズムについても議論します。数学的な詳細を深く説明するのではなく、これらの要素は開発者の視点から議論され、典型的なユースケースと暗号を使用する際の実践的な考慮事項（公開鍵基盤など）が示されます。多くのセキュリティプロトコルが導入され、IPSECやSSL/TLSなどの最も広く使用されているプロトコルファミリーについて詳しく議論します。

特定の暗号アルゴリズムや暗号プロトコルに関連する典型的な暗号脆弱性（BEAST、CRIME、TIME、BREACH、FREAK、Logjam、パディングオラクル、Lucky Thirteen、POODLEなど）についても議論します。それぞれの問題について、実践的な考慮事項と潜在的な影響が説明されますが、数学的な詳細には深く入りません。

最後に、XML技術はネットワークアプリケーション間でのデータ交換の中心的な役割を果たすため、XMLのセキュリティ側面についても説明します。これには、WebサービスやSOAPメッセージ内でのXMLの使用と、XML署名やXML暗号化などの保護措置の使用が含まれます。また、これらの保護措置の弱点やXML特有のセキュリティ問題（XMLインジェクション、XML外部エンティティ（XXE）攻撃、XMLボム、XPathインジェクションなど）についても説明します。

このコースに参加する受講者は

• セキュリティ、ITセキュリティ、安全なコーディングの基本概念を理解する
• 安全な通信の要件を理解する
• 異なるOSI層でのネットワーク攻撃と防御について学ぶ
• 実践的な暗号技術を理解する
• 重要なセキュリティプロトコルを理解する
• 最近の暗号システムに対する攻撃を理解する
• 関連する最近の脆弱性についての情報を得る
• Webサービスのセキュリティ概念を理解する
• 安全なコーディング実践に関する情報源と更なる読み物を得る

対象者

開発者、専門家

熟練したJavaプログラマーでさえ、Javaが提供するさまざまなセキュリティサービスを完全に習得できているとは限らず、Javaで書かれたWebアプリケーションに関連する多様な脆弱性についても理解していないことが少なくありません。

本コースでは、Standard Java Editionのセキュリティコンポーネントを紹介するほか、Java Enterprise Edition (JEE) およびWebサービスのセキュリティ問題についても扱います。特定のサービスに関する議論に先立ち、暗号学とセキュアな通信の基礎知識を学びます。JEEにおける宣言的および程序的セキュリティ技法について実践的な演習を通じて理解を深め、Webサービスのトランスポート層セキュリティとエンドツーエンドのセキュリティについても解説します。これらすべてのコンポーネントの使用法は、参加者が実際にディスカッションされたAPIやツールを試すことができる、いくつかの実践的な演習を通じて紹介されます。

さらに本コースでは、Java言語およびプラットフォーム、Web関連の最も頻繁かつ深刻なプログラミング欠陥や脆弱性について解説します。典型的なJavaプログラマーのミスに加え、紹介されるセキュリティ脆弱性には、言語固有の問題だけでなく、ランタイム環境に起因する問題も含まれます。すべての脆弱性と関連する攻撃は、分かりやすい演習を通じてデモンストレーションされ、その後、推奨されるコーディングガイドラインおよび緩和技法について説明します。

受講者が本コースを通じて得られる成果

• セキュリティ、ITセキュリティ、セキュアコーディングの基本概念を理解する
• OWASP Top Tenを越えるWeb脆弱性を学び、それらを回避する方法を知る
• Webサービスのセキュリティ概念を理解する
• Java開発環境のさまざまなセキュリティ機能を使用する方法を学ぶ
• 暗号学について実践的な理解を得る
• Java EEのセキュリティソリューションを理解する
• 典型的なコーディングミスとその回避方法について学ぶ
• Javaフレームワークの最新の脆弱性に関する情報を得る
• セキュリティテストツールの使用方法について実践的な知識を得る
• セキュアコーディングプラクティスに関する参考資料やさらなる学習リソースを得る

対象者

開発者

現在、.NET および ASP.NET フレームワークにコードをコンパイルするために使用できるプログラミング言語が多数存在します。この環境はセキュリティ開発において強力な手段を提供していますが、開発者はアーキテクチャレベルおよびコーディングレベルのプログラミング技術を適用する方法を理解し、望ましいセキュリティ機能を実装するとともに、脆弱性を回避するか、その悪用を制限する必要があります。

このコースの目的は、多くのハンズオン演習を通じて、信頼できないコードによる特権アクションの実行を防止する方法、強力な認証と認可を通じてリソースを保護する方法、リモートプロシージャーコールを提供する方法、セッションを処理する方法、特定機能に対する異なる実装を紹介する方法などを開発者に教授することです。

さまざまな脆弱性の紹介は、.NET を使用する際に犯される一般的なプログラミングの問題を取り上げることから始まります。また、ASP.NET の脆弱性に関する議論では、さまざまな環境設定とその影響も扱います。最後に、ASP.NET 固有の脆弱性のトピックは、一般的な Web アプリケーションのセキュリティ課題に取り組むだけでなく、ViewState への攻撃や文字列終端攻撃などの特殊的な問題や攻撃方法にも対処します。

このコースに参加する受講者は

• セキュリティ、ITセキュリティ、安全なコーディングの基本概念を理解する
• OWASP Top Ten を超える Web 脆弱性を学習し、それらを回避する方法を知る
• .NET 開発環境のさまざまなセキュリティ機能の使用법을学ぶ
• セキュリティテストツールの使用に関する実践的な知識を得る
• 典型的なコーディングミスとその回避方法を学ぶ
• .NET および ASP.NET の最近の脆弱性に関する情報を得る
• 安全なコーディングプラクティスに関する資料やさらなる読書リソースを得る

対象者

開発者

このコースでは、現代のインターネット攻撃に耐えるためのPHP開発者にとって必要な基本的なスキルを提供します。Webの脆弱性について、OWASPトップテン以上の範囲で、さまざまなインジェクション攻撃、スクリプトインジェクション、PHPのセッション管理に対する攻撃、不安全な直接オブジェクト参照、ファイルアップロードに関する問題などについて、PHPを基にした例を使って解説します。PHPに関連する脆弱性は、標準的な脆弱性タイプである入力検証の欠如や不適切さ、エラーと例外処理の誤り、セキュリティ機能の不適切な使用、時間と状態に関する問題に分けて紹介します。後者については、open_basedirの回避、magic floatによるサービス拒否攻撃、ハッシュテーブル衝突攻撃などの攻撃について解説します。これらのケースすべてで、参加者は列挙されたリスクを軽減するために使用できる最も重要な技術と関数に精通することができます。

クライアント側のセキュリティには特に重点が置かれており、JavaScript、Ajax、HTML5のセキュリティ問題について解説します。PHPの暗号化用のhash、mcrypt、OpenSSLや入力検証用のCtype、ext/filter、HTML Purifierなどのセキュリティ関連の拡張機能が紹介されます。また、php.iniの設定、Apache、サーバー全体に関する最良の強化実践方法も解説します。最後に、開発者とテスト者が使用できるさまざまなセキュリティテストツールや手法について概要を提供し、包括的なセキュリティスキャナーやペネトレーションテスト、エクスプロイトパック、スニッファ、プロキシサーバー、フジングツール、静的ソースコード解析ツールなどを含みます。

脆弱性の導入と設定実践は、成功した攻撃の結果を示し、軽減技術の適用方法を示すだけでなく、さまざまな拡張機能やツールの使用方法を紹介する多くのハンズオン演習によってサポートされています。

このコースに参加することで参加者は

• セキュリティ、ITセキュリティ、セキュアコーディングの基本概念を理解します
• OWASPトップテン以上のWeb脆弱性について学び、それらを回避する方法を知ります
• クライアント側の脆弱性とセキュアコーディングの実践方法を学びます
• 暗号化に関する実践的な理解を得ます
• PHPのさまざまなセキュリティ機能を使用する方法を学びます
• 一般的なコーディングミスとそれを回避する方法について学びます
• PHPフレームワークの最近の脆弱性に関する情報を得ます
• セキュリティテストツールを使用する実践的な知識を得ます
• セキュアコーディングの実践方法についての情報源とさらに読むべき文献を入手します

対象者

開発者

統合SDLコアトレーニングでは、Microsoft Secure Development Lifecycle (SDL) を通じて安全なソフトウェア設計、開発、テストに関する洞察を提供します。SDLの基本的な構成要素について100レベルの概要を説明し、開発プロセスの初期段階で欠陥を検出および修正するためのデザイン手法について解説します。

開発フェーズでは、マネージドコードとネイティブコードの一般的なセキュリティ関連のプログラミングバグの概要を提供します。議論された脆弱性に対する攻撃手法とその対策技術についても説明し、多数の実践的な演習を通じて参加者がライブハッキングの楽しさを味わえるようにしています。さまざまなセキュリティテスト方法の紹介に続き、異なるテストツールの効果性が示されます。参加者は、これらのツールを既に議論された脆弱なコードに適用する実践的な演習を通じてツールの動作を理解できます。

このコースに参加する人は

セキュリティ、ITセキュリティ、安全なコーディングの基本概念を理解します

Microsoft Secure Development Lifecycle の主要なステップについて知ることができます

安全なデザインと開発の手法を学びます

安全な実装の原則を学びます

セキュリティテストの方法論を理解します

• 安全なコーディング手法に関する情報源とさらに読むべき書籍について得られます

対象者

開発者、管理者

C++はマイクロコントローラーやリアルタイムオペレーティングシステムなどの組み込みシステムに適していますか？

マイクロコントローラーでオブジェクト指向プログラミングを使用すべきですか？

C++はハードウェアからあまりにも遠く離れてしまい、効率的ではないのでしょうか？

このインストラクター主導のライブトレーニングでは、これらの疑問に答えるとともに、ディスカッションと実践を通じてC++を使用して組み込みシステムを開発する方法を示します。参加者は、C++でサンプルの組み込みアプリケーションを作成することで理論を実践します。

このトレーニング終了時には、参加者は以下のことができるようになります：

• オブジェクト指向モデリング、組み込みソフトウェアプログラミング、リアルタイムプログラミングの原則を理解する
• 小さく、速く、安全なコードを作成する
• テンプレート、例外処理など言語機能によるコード肥大を避ける
• C++を使用して安全性が重要でリアルタイムシステムに関連する問題を理解する
• 対象デバイス上でC++プログラムのデバッグを行う

対象者

• 開発者
• デザイナー

コース形式

• 講義、ディスカッション、演習と実践的な作業を組み合わせたもの

これは、業界で新しい C++11 標準を適用することに興味のある C++ プログラマー向けの2日間のコースです。特に金融アプリケーション開発者にとって有用であり、実験室内で実行できるコーディング例とともにすべての新機能をカバーします。

この講師主導のライブコースでは、参加者は日本でDevOpsセキュリティへの挑戦に対処する適切なセキュリティ戦略を策定する方法を学びます。

EC-Council Certified DevSecOps Engineer (ECDE)は、プロフェッショナルがDevOpsライフサイクル全体にセキュリティを組み込むスキルを持つことを目指した実践的なコースです。これにより、計画からデプロイまで安全なソフトウェア開発が可能になります。

このインストラクター主導のライブトレーニング（オンラインまたはオンサイト）は、中級レベルのソフトウェアとDevOpsプロフェッショナルを対象としており、CI/CDパイプラインにセキュリティ実践を取り入れることで、安全で準拠したコードの提供を確保します。

このトレーニング終了時には、参加者は以下のことが Able to:

• DevSecOpsの原則と実践を理解する。
• 自動化されたツールを使用してCI/CDパイプラインの各段階を保護する。
• 安全なコーディング慣行と脆弱性スキャンを実装する。
• 実践的なラボとレビューを通じてECDE認定に備える。

コース形式

• 対話型の講義とディスカッション。
• シミュレートされたパイプラインでのDevSecOpsツールの実践的な使用。
• 安全な開発とデプロイに焦点を当てたガイダンス付き演習。

コースのカスタマイズオプション

• チームのワークフローやツールチェーンに基づいたこのコースのカスタムトレーニングをご希望の場合、ご連絡ください。

このトレーニングでは、オブジェクト指向の組み込みシステム開発にC++を適用する際の一般的な拡張としてC++を紹介します。C++はCを内包しているため、このトレーニングは自然な形でCからC++へと移行し、C++がどのように実装されているかを詳しく見ていきます。特に、リソース制限のある組み込み環境でのC++の適用において理解することが重要です。C++の標準規格は最近大幅な改訂を受け、C++11とも呼ばれ、新たな改訂であるC++14も進行中です。このコースでは、これらの改訂で導入された特に役立つトピックを扱います。例えば、高パフォーマンスのメモリ管理、マルチコア環境での並行処理、ハードウェアに近いプログラミングなどです。

目標/メリット

このクラスの主要な目的は、あなたがC++を「正しい方法」で使用できるようになることです。

• C++を組み込みシステムコンテキストでのオブジェクト指向言語として紹介する
• C言語との類似点と相違点を示す
• 異なるメモリ管理戦略、特にC++11で導入されたムーブセマンティクスを理解する
• C++のさまざまなパラダイムが機械コードにどのように影響するかを詳しく見ること
• ハードウェアに近いプログラミング（メモリマッピングI/Oや割り込み）のために型安全な高次の抽象化をテンプレートを使用して実現する、特にC++11で導入された可変長テンプレートを使用する
• 組み込みコンテキストに特に関連のあるいくつかの有用なデザインパターンを提供する
• いくつかの演習を通じて概念を練習する

対象/参加者

このトレーニングは、組み込みシステムコンテキストでC++を使用することを目指すC++プログラマ向けです。

前提知識

このコースには基本的なC++のプログラミングスキルが必要です。これには、私たちの「C++ - レベル1」と「C++ レベル2 - C++11の導入」トレーニングに相当する内容が含まれます。

実践演習

トレーニング中は、紹介された概念を数々の演習で練習します。オープンソースかつ無料の統合開発環境であるEclipseを使用します。

このインストラクター主導のライブトレーニング（オンラインまたはオンサイト）は、C++で関数型プログラミングを学びたいウェブ開発者向けです。

本トレーニング終了時には、参加者は以下のことが Able to できます：

• 関数型プログラミングのソリューションを使用してウェブアプリケーションのパフォーマンスを向上させる。
• データ変異と副作用を避けるために関数型プログラミングを利用する。
• 関数型プログラミングスタイルでウェブアプリケーションを作成する。

このコースは以下の点に焦点を当てます：

1. 開発者がセキュアコードの書き方の技術を習得することを支援すること
2. ソフトウェアテスト担当者がアプリケーションをプロダクション環境に公開する前にそのセキュリティをテストすることを支援すること
3. ソフトウェアアーキテクトがアプリケーションに関連するリスクを理解することを支援すること
4. チームリーダーが開発者向けのセキュリティ基準を設定することを支援すること
5. Web管理者がサーバーを誤った構成から守るように設定することを支援すること

このコースでは、Javaを使用して Open Web Application Security Project (OWASP) のテスト方法論を通じて、セキュアコーディングの概念と原則について学習します。Open Web Application Security Projectは、ウェブアプリケーションのセキュリティに関する分野で、無料で利用可能な記事、手法、文書、ツール、および技術を作成するオンラインコミュニティです。

このコースでは、Open Web Application Security Project (OWASP) のテスト手法を通じて、ASP.NETにおけるセキュアコーディングの概念と原則について学びます。OWASPは、ウェブアプリケーションのセキュリティ分野で無料の記事、手法、ドキュメント、ツール、およびテクノロジーを提供するオンラインコミュニティです。

このコースでは、.NET Framework のセキュリティ機能について探り、Webアプリケーションの保護方法を学びます。