お問い合わせを送信いただきありがとうございます!当社のスタッフがすぐにご連絡いたします。
予約を送信いただきありがとうございます!当社のスタッフがすぐにご連絡いたします。
コース概要
A01:2025 - アクセス制御の欠陥
A02:2025 - セキュリティ設定の不備
A03:2025 - ソフトウェアサプライチェーンの失敗
A04:2025 - 暗号化の失敗
A05:2025 - インジェクション攻撃
A06:2025 - 不安全な設計
A07:2025 - 認証の失敗
A08:2025 - ソフトウェアまたはデータの整合性の失敗
A09:2025 - セキュリティログとアラートの失敗
A10:2025 - 例外状態の不適切な処理
A01:2025 アクセス制御の欠陥 - アクセス制御は、ユーザーが予定された権限を超えて行動できないようにポリシーを強制します。失敗すると、通常は不正な情報開示、変更または削除、またはユーザーの限界を超えたビジネス機能の実行につながります。
A02:2025 セキュリティ設定の不備 - システム、アプリケーション、またはクラウドサービスがセキュリティ面で正しく設定されていないと、脆弱性が発生します。
A03:2025 ソフトウェアサプライチェーンの失敗 - ソフトウェアサプライチェーンの失敗は、ソフトウェアを構築、配布、または更新する過程での障害やその他の妥協を指します。これらは、システムが依存しているサードパーティコード、ツール、またはその他の依存関係に存在する脆弱性や悪意のある変更によって引き起こされることがよくあります。
A04:2025 暗号化の失敗 - 一般的には、すべてのデータはトランスポート層(OSIレイヤー4)で暗号化されるべきです。以前のハードルであるCPUパフォーマンスやプライベートキー/証明書管理は、現在ではCPUが暗号化を加速するための命令を備えている(例:AESサポート)ことと、LetsEncrypt.orgなどのサービスによってプライベートキーと証明書管理が簡素化されていることで解決されています。大手クラウドベンダーは、特定のプラットフォーム向けにさらに統合された証明書管理サービスを提供しています。トランスポート層の保護に加えて、静止データやアプリケーション層(OSIレイヤー7)での追加暗号化が必要なデータを決定することも重要です。例えば、パスワード、クレジットカード番号、健康記録、個人情報、ビジネス秘密は特別な保護が必要であり、特にそれらのデータがプライバシー法(例:EUの一般データ保護規則(GDPR)やPCIデータセキュリティ基準(PCI DSS))に該当する場合。
A05:2025 インジェクション攻撃 - インジェクション脆弱性は、システムの入力フィールドに攻撃者が悪意のあるコードやコマンド(SQLやシェルコードなど)を挿入できるシステムの欠陥です。これにより、システムがそのコードやコマンドをシステムの一部として実行するようだまされることになり、深刻な結果を招くことがあります。
A06:2025 不安全な設計 - 不安全な設計は、「制御設計の欠如または無効」を表す異なる弱点の広範なカテゴリーです。不安全な設計は他のトップテンリスクカテゴリーのすべての原因ではありません。設計と実装の違いに注意してください。その理由は、両者が異なる根本的な要因を持ち、開発プロセスの異なる時期に生じ、異なる対処方法があるからです。安全な設計であっても、実装上の欠陥により脆弱性が生じる可能性があります。不安全な設計では、必要なセキュリティ制御が存在しないため、特定の攻撃に対抗するための防御がありません。ソフトウェアやシステム開発におけるビジネスリスクプロファイルの不足が不安全な設計の一因となり、必要なセキュリティ設計レベルを決定できないことが原因となります。
A07:2025 認証の失敗 - 攻撃者が無効または不正なユーザーを正当なユーザーとして認識させる脆弱性が存在します。
A08:2025 ソフトウェアまたはデータの整合性の失敗 - ソフトウェアとデータの整合性の失敗は、無効または信頼できないコードやデータが信頼され有効と扱われる可能性があるコードやインフラストラクチャに関連しています。例えば、アプリケーションが信頼できないソース、リポジトリ、およびコンテンツ配信ネットワーク(CDN)からプラグイン、ライブラリ、またはモジュールに依存している場合があります。不安全なCI/CDパイプラインは、ソフトウェアの整合性チェックを消費したり提供したりしないことで、未承認アクセス、不安定なコードや悪意のあるコード、システム侵害の可能性を導入します。別の例としては、CI/CDが信頼できない場所からコードやアーティファクトを取得し、使用前に署名などを確認せずに検証しない場合があります。
A09:2025 セキュリティログとアラートの失敗 - ログや監視がなければ、攻撃や侵害を検出できず、アラートがないとセキュリティインシデント中に迅速かつ効果的に対応することは非常に困難です。不十分なログ記録、継続的な監視、検知、およびアクティブな対策の開始は、いつでも発生する可能性があります。
A10:2025 例外状態の不適切な処理 - ソフトウェアで例外的な状況を処理しない場合、プログラムが予期せずに異常な状況や予測不可能なシチュエーションを防ぎ、検出し、対応できないため、クラッシュ、予期せぬ動作、時には脆弱性が発生します。これは以下の3つの失敗のいずれかまたは全てに関連する可能性があります:アプリケーションが異常な状況の発生を防がない、その状況が発生していることを特定できない、またはその後適切にまたは全く対応しない。
以下について実践的な側面を議論し、提示します:
アクセス制御の欠陥
- 実際のアクセス制御の欠陥の例
- セキュアなアクセス制御とベストプラクティス
セキュリティ設定の不備
- 実際の設定不備の例
- 設定管理や自動化ツールを含む設定不備の防止ステップ
暗号化の失敗
- 弱い暗号化アルゴリズムや不適切なキー管理などの暗号化失敗の詳細分析
- 強力な暗号化メカニズム、セキュアプロトコル(SSL/TLS)、およびウェブセキュリティにおける現代的な暗号化の例
インジェクション攻撃
- SQL、NoSQL、OS、LDAPインジェクションの詳細解説
- プレパレッドステートメント、パラメータ化されたクエリ、および入力のエスケープを使用した緩和技術
不安全な設計
- 検証不足などの脆弱性につながる設計上の欠陥を探索します
- セキュアなアーキテクチャとセキュアデザインの原則に関する戦略の学習
認証の失敗
- 一般的な認証問題
- 多要素認証や適切なセッション管理などの安全な認証戦略
ソフトウェアとデータの整合性の失敗
- 信頼できないソフトウェア更新やデータ改ざんに関連する問題に焦点を当てます
- 安全な更新メカニズムとデータの整合性チェック
セキュリティログと監視の失敗
- セキュリティに影響する情報の記録や不審な活動の監視の重要性
- 早期に侵害を検出するために適切なログ記録とリアルタイム監視を行うためのツールと実践
要求
- ウェブ開発ライフサイクルについての一般的な理解
- ウェブアプリケーション開発とセキュリティに関する経験
対象者
- ウェブ開発者
- リーダー
14 時間
お客様の声 (7)
非常に動的で柔軟なトレーニングです!
Valentina Giglio - Fincons SPA
コース - OWASP Top 10
機械翻訳
実験演習
Pietro Colonna - Fincons SPA
コース - OWASP Top 10
機械翻訳
インタラクティブなコンポーネントと例。
Raphael - Global Knowledge
コース - OWASP Top 10
機械翻訳
実践的なアプローチとトレーナーの知識
RICARDO
コース - OWASP Top 10
機械翻訳
トレーナーの知識は素晴らしいものでした
Patrick - Luminus
コース - OWASP Top 10
機械翻訳
練習問題も、たとえ自分のComfort Zoneの外であっても取り組みます。
Nathalie - Luminus
コース - OWASP Top 10
機械翻訳
トレーナーは非常に知識が豊富で、トピックを本当に理解しています
Blu Aguilar - SGL Manila (Shared Service Center) Inc.
コース - OWASP Top 10
機械翻訳
