サイバーセキュリティの知識体系 (CyBOK)のトレーニングコース

この講師主導のライブトレーニング（オンラインまたはオンサイト）は、システム管理者が 389 ディレクトリ サーバーを使用して LDAP ベースの認証と認可を設定および管理することを目指しています。

このトレーニング終了時には、参加者は以下のことができます：

• 389 ディレクトリ サーバーをインストールし、構成する。
• 389 ディレクトリ サーバーの機能とアーキテクチャを理解する。
• Web コンソールと CLI を使用してディレクトリ サーバーを構成する方法を学ぶ。
• 高可用性と負荷分散のためにレプリケーションを設定し、監視する。
• SSSD を使用して LDAP 認証を管理し、パフォーマンスを向上させる。
• 389 ディレクトリ サーバーを Microsoft Active Directory と統合する。

このインストラクター主導のライブトレーニング（オンラインまたはオンサイト）は、Microsoft Active Directory を使用してデータアクセスを管理および保護したいシステム管理者向けです。

このトレーニング終了後、参加者は以下ができます：

• Active Directory のセットアップと構成を行います。
• ドメインの設定を行い、ユーザーとデバイスのアクセス権を定義します。
• グループポリシーを使用してユーザーとマシンを管理します。
• ファイルサーバーへのアクセスを制御します。
• 証明書サービスのセットアップと証明書の管理を行います。
• 暗号化、証明書、認証などのサービスを実装および管理します。

この3日間のコースでは、メモリ管理や入力処理における脆弱性を悪用する悪意のあるユーザーから C/C++ コードを保護する基本について学びます。セキュアコードの作成に関する原則もカバーします。

経験豊富な Java プログラマでさえ、Java が提供するさまざまなセキュリティサービスを完全に理解しているわけではなく、Java で書かれた Web アプリケーションに関連する異なる脆弱性についても十分に認識していない場合があります。

このコースでは、Standard Java Edition のセキュリティコンポーネントの紹介に加えて、Java Enterprise Edition (JEE) と Web サービスのセキュリティ問題を取り扱います。特定のサービスの説明は、暗号化と安全な通信の基礎から始まります。さまざまな演習では、JEE の宣言的およびプログラム的なセキュリティ技術が扱われ、Web サービスのトランスポート層とエンドツーエンドのセキュリティについても議論されます。すべてのコンポーネントの使用方法は、参加者が実際に議論された API とツールを試すことができる実践的な演習を通じて紹介されます。

また、このコースでは、Java 言語およびプラットフォームと Web 関連の脆弱性に関する最も頻繁で深刻なプログラミングの欠陥について説明します。Java プログラマが犯しやすい典型的なバグに加えて、紹介されるセキュリティ上の脆弱性には言語特有の問題と実行時の環境から生じる問題が含まれます。すべての脆弱性と関連する攻撃は、理解しやすい演習を通じて示され、その後、推奨されるコーディングガイドラインと対策技術について説明します。

このコースに参加すると、次のことができます

• セキュリティ、IT セキュリティ、安全なコーディングの基本概念を理解する
• OWASP Top Ten 以外の Web 脆弱性について学び、それらを避ける方法を知る
• Web サービスのセキュリティ概念を理解する
• Java 開発環境のさまざまなセキュリティ機能を使用する方法を学ぶ
• 暗号化の実践的な理解を得る
• Java EE のセキュリティソリューションを理解する
• 典型的なコーディングミスとそれを避ける方法について学ぶ
• Java フレームワークの最近の脆弱性に関する情報を得る
• セキュリティテストツールを使用する実践的な知識を得る
• 安全なコーディング慣行についての情報源とさらなる読み物を得る

対象者

開発者

説明

Java言語とランタイム環境（JRE）は、C/C++など他の言語で一般的に発生する最も問題のある一般的なセキュリティ脆弱性から自由であるように設計されました。しかし、ソフトウェア開発者やアーキテクトは、Java環境のさまざまなセキュリティ機能を使用する方法（ポジティブセキュリティ）を知るだけでなく、Java開発に関連する多くの脆弱性（ネガティブセキュリティ）についても認識しておく必要があります。

セキュリティサービスの導入に先立ち、適用可能なコンポーネントの目的と動作を理解するための暗号学の基礎の概要が提供されます。これらのコンポーネントの使用は、参加者が実際に議論されたAPIを試すことができるいくつかの実践的な演習を通じて説明されます。

このコースでは、Java言語とプラットフォームで最も頻繁かつ深刻なプログラミングの欠陥について説明し、Java開発者が犯しがちな典型的なバグや、言語および環境固有の問題についてもカバーします。すべての脆弱性と関連する攻撃は、理解しやすい演習を通じて示され、その後に推奨されるコーディングガイドラインと可能な軽減技術が続きます。

このコースに参加する受講者は

• セキュリティ、ITセキュリティ、安全なコーディングの基本概念を理解する
• OWASPトップテンを超えるWeb脆弱性について学び、それらを避ける方法を知る
• Java開発環境のさまざまなセキュリティ機能を使用する方法を学ぶ
• 暗号技術に実践的な理解を得る
• 典型的なコーディングミスとそれを避ける方法について学ぶ
• Javaフレームワークの最近の脆弱性について得る
• 安全なコーディングプラクティスに関する情報源や追加の読み物を得る

対象者

開発者

現在、多くのプログラミング言語が .NET および ASP.NET フレームワーク用にコードをコンパイルするために利用できます。この環境は強力なセキュリティ開発の手段を提供していますが、開発者はアーキテクチャレベルとコーディングレベルのプログラミング技術をどのように適用すれば、望まれるセキュリティ機能を実装し、脆弱性を回避またはその悪用を制限できるかを知る必要があります。

このコースの目的は、開発者が多数のハンズオン演習を通じて信頼されていないコードが特権アクションを行うことを防止する方法、強力な認証と認可によりリソースを保護する方法、リモートプロシージャコールを提供する方法、セッションを処理する方法、特定の機能に対する異なる実装を導入する方法などについて学ぶことです。

さまざまな脆弱性の紹介は、.NET を使用する際に犯される典型的なプログラミング問題から始まります。ASP.NET の脆弱性の議論では、環境設定とその影響についても扱います。最後に、ASP.NET 特有の脆弱性に関するトピックは、一般的な Web アプリケーションセキュリティの課題だけでなく、ViewState への攻撃や文字列終端攻撃などの特殊な問題と攻撃方法についても取り上げます。

このコースに参加する受講者は

• セキュリティ、IT セキュリティ、および安全なコーディングの基本概念を理解します
• OWASP Top Ten 以外の Web 脆弱性について学び、それらを回避する方法を知ります
• .NET 開発環境のさまざまなセキュリティ機能を使用する方法を学びます
• セキュリティテストツールの使用に関する実践的な知識を得ます
• 典型的なコーディングミスとそれを回避する方法について学びます
• .NET および ASP.NET の最近の脆弱性に関する情報を得ます
• 安全なコーディング実践に関する情報源や追加の読み物を得ます

対象者

開発者

統合SDLコアトレーニングでは、Microsoft Secure Development Lifecycle (SDL) を通じて安全なソフトウェア設計、開発、テストに関する洞察を提供します。SDLの基本的な構成要素について100レベルの概要を説明し、開発プロセスの初期段階で欠陥を検出および修正するためのデザイン手法について解説します。

開発フェーズでは、マネージドコードとネイティブコードの一般的なセキュリティ関連のプログラミングバグの概要を提供します。議論された脆弱性に対する攻撃手法とその対策技術についても説明し、多数の実践的な演習を通じて参加者がライブハッキングの楽しさを味わえるようにしています。さまざまなセキュリティテスト方法の紹介に続き、異なるテストツールの効果性が示されます。参加者は、これらのツールを既に議論された脆弱なコードに適用する実践的な演習を通じてツールの動作を理解できます。

このコースに参加する人は

セキュリティ、ITセキュリティ、安全なコーディングの基本概念を理解します

Microsoft Secure Development Lifecycle の主要なステップについて知ることができます

安全なデザインと開発の手法を学びます

安全な実装の原則を学びます

セキュリティテストの方法論を理解します

• 安全なコーディング手法に関する情報源とさらに読むべき書籍について得られます

対象者

開発者、管理者

脆弱性と攻撃手法に慣れてから、参加者はセキュリティテストの一般的なアプローチや方法論、特定の脆弱性を明らかめるために適用できる技術について学びます。セキュリティテストは、システム（ToC、つまり評価対象）に関する情報収集から始まり、その後彻底的な脅威モデリングによりすべての脅威が明らかにされ、評価され、最も適切なリスク分析に基づくテスト計画に到達します。

セキュリティ評価はSDLCの様々な段階で実施される可能性があり、そのため設計レビュー、コードレビュー、システムに関する偵察と情報収集、実装のテスト、および安全なデプロイメントのための環境のテストと強化について議論します。多くのセキュリティテスト技術が詳細に紹介され、たとえば汚染分析やヒューリスティックベースのコードレビュー、静的コード解析、動的なWeb脆弱性テスト、またはFuzzingなどが含まれます。ソフトウェア製品のセキュリティ評価を自動化するために適用できる様々な種類のツールが紹介され、これらを既に議論された脆弱なコードを分析するための多数の演習でサポートされています。多くの実際の事例研究により、さまざまな脆弱性についてよりよく理解できます。

このコースでは、テスト担当者とQAスタッフがセキュリティテストを適切に計画し、正確に実行し、最も適切なツールや技術を選択して使用し、隠れたセキュリティ欠陥を見つけるための重要な実践的なスキルを身につけていただけます。これらのスキルは翌日からすぐに仕事で活用できます。

このコースに参加する受講者は

• セキュリティ、ITセキュリティ、および安全なコーディングの基本概念を理解します
• OWASP Top Tenを超えるWeb脆弱性について学び、それらを回避する方法を知ります
• クライアントサイドの脆弱性と安全なコーディング実践について学びます
• セキュリティテストの手法や方法論を理解します
• セキュリティテスト技術とツールを使用するための実践的な知識を得ます
• 安全なコーディング実践に関する情報源とさらなる読み物を得ます

対象者

開発者、テスタ

ウェブ経由でアクセス可能なアプリケーションを保護するには、常に最新の攻撃手法とトレンドを把握している十分に準備されたセキュリティ専門家が必要です。快適なウェブアプリケーション開発を可能にする多くの技術や環境が存在します。これらのプラットフォームに関連するセキュリティ問題だけでなく、使用する開発ツールに関係なく適用されるすべての一般的な脆弱性についても認識しておくべきです。

このコースでは、ウェブアプリケーションに適用可能なセキュリティソリューションの概要を提供し、特に重要な暗号化技術の理解に重点を置きます。サーバー側（OWASP Top Ten に従って）とクライアント側のさまざまなウェブアプリケーション脆弱性が、関連する攻撃と共に紹介され、これらの問題を回避するための推奨されるコーディング技術と緩和方法についても説明します。セキュアコーディングのトピックは、入力検証、セキュリティ機能の不適切な使用、およびコード品質に関する典型的なプログラミングの誤りを議論することで締めくくられます。

テストは、ウェブアプリケーションのセキュリティと堅牢性を確保するために非常に重要な役割を果たします。上位レベルの監査からペネトレーションテスト、エシカルハッキングまで、さまざまなアプローチが適用され、異なるタイプの脆弱性を見つけ出すことができます。しかし、簡単な低 Hanging Fruits を超えて進む場合は、セキュリティテストは適切に計画し、適切に実行されるべきです。记住：セキュリティテスターは理想的にはすべてのバグを見つける必要がありますが、攻撃者にとっては一つの利用可能な脆弱性を見つけ出すだけで十分です。

実践的な演習を通じて、ウェブアプリケーションの脆弱性、プログラミングの誤り、特に緩和技術を理解します。さらに、セキュリティスキャナ、スニファ、プロキシサーバ、FUZZINGツールから静的ソースコード解析ツールまで、さまざまなテストツールの手動試験も行われます。このコースでは、次の日に職場で適用できる重要な実践的なスキルが提供されます。

このコースに参加する受講者は

• セキュリティ、IT セキュリティ、およびセキュアコーディングの基本概念を理解します
• OWASP Top Ten を超えるウェブ脆弱性について学び、それらを回避する方法を知ります
• クライアント側の脆弱性とセキュアコーディングの実践を学びます
• 暗号化の実践的な理解を得ます
• セキュリティテストの手法とアプローチを理解します
• セキュリティテスト技術とツールを使用する実践的な知識を得ます
• さまざまなプラットフォーム、フレームワーク、およびライブラリでの最近の脆弱性について知ります
• セキュアコーディングの実践に関する情報源とさらなる読み物を入手します

対象者

開発者、テストエンジニア

この講師主導のライブトレーニング（オンラインまたはオンサイト）は、組織のユーザー、グループ、およびマシンの認証、認可、アカウント情報をFreeIPAを使って一元化したいシステム管理者を対象としています。

このトレーニング終了時には、参加者は以下のことが Able to できるようになります:

• FreeIPAをインストールおよび構成する。
• Linuxユーザーとクライアントを単一の一元化された場所から管理する。
• FreeIPAのCLI、Web UI、RPCインターフェースを使用して権限を設定および管理する。
• すべてのシステム、サービス、アプリケーションでのシングルサインオン認証を有効にする。
• FreeIPAとWindows Active Directoryを統合する。
• FreeIPAサーバーのバックアップ、レプリケーション、移行を行う。

このインストラクター主導のライブトレーニング（オンラインまたはオンサイト）は、システム管理者向けに設計されており、Oktaをアイデンティティおよびアクセス管理に使用することを目指しています。

このトレーニング終了時には、参加者は以下のことができます：

• Oktaを設定、統合、管理する
• 既存のアプリケーションにOktaを統合する
• 多要素認証を使用してセキュリティを実装する

このインストラクター主導のライブトレーニング（オンラインまたはオンサイト）では、中級レベルのシステム管理者および IT プロフェッショナルを対象としています。OpenLDAP を使用して LDAP ディレクトリをインストール、構成、管理、およびセキュアにする方法を学びます。

このトレーニング終了時には、参加者は以下のことができます：

• LDAP ディレクトリの構造と動作を理解する
• さまざまな展開環境で OpenLDAP をインストールおよび設定する
• アクセス制御、認証、およびレプリケーションメカニズムを実装する
• OpenLDAP をサードパーティのサービスやアプリケーションと連携させる

このインストラクター主導のライブトレーニング（オンラインまたはオンサイト）は、システム管理者がOpenAMを使用してウェブアプリケーションのアイデンティティおよびアクセス制御を管理することを目指しています。

このトレーニング終了時には、参加者は以下のことができるようになります：

• 認証とアクセス制御の設定に必要なサーバ環境をセットアップする。
• シングルサインオン（SSO）、マルチファクタ認証（MFA）、およびユーザーのセルフサービス機能をウェブアプリケーションで実装する。
• フェデレーションサービス（OAuth 2.0、OpenID、SAML v2.0など）を使用して、異なるシステムやアプリケーション間でのアイデンティティ管理を安全に拡張する。
• REST APIを通じて認証、認可、およびアイデンティティサービスにアクセスし、管理する。

このインストラクター主導の実践的なトレーニング（オンラインまたは対面）は、システム管理者が生産環境でOpenDJを使用して組織のユーザーキャッシュを管理したい場合に向けられています。

このトレーニングの終了時には、参加者は以下のことが able になります：

• OpenDJのインストールと設定。
• サーバーの監視、トラブルシューティング、パフォーマンスの最適化を含むOpenDJサーバーの維持管理。
• 複数のOpenDJデータベースの作成と管理。
• OpenDJサーバーのバックアップと移行。