日本の情報システムセキュリティトレーニング

この講師主導のライブトレーニング（オンラインまたはオンサイト）は、中級レベルのネットワーク管理者向けに設計されており、Fortinetセキュリティシステムを管理、監視、維持するための基本的なスキルを身につけることを目指しています。

このトレーニング終了時には、参加者は以下のことができるようになります：

• FortiGateファイアウォールの構成と管理。
• FortiAnalyzerを使用してネットワークトラフィックを監視し、インシデントを管理する。
• FortiManagerを通じてタスクの自動化とポリシーの管理を行う。
• 予防メンテナンス戦略を適用し、ネットワーク問題をトラブルシューティングする。

このインストラクター主導のライブトレーニング（オンラインまたはオンサイト）は、FortiGate 1100Eを使用してネットワーク環境を効果的に管理および保護したい初心者レベルのネットワーク管理者を対象としています。

このトレーニング終了時には、参加者は以下のことを学ぶことができます：

• FortiGate 1100Eの基本的なアーキテクチャと機能を理解する。
• さまざまなネットワーク環境でのFortiGate 1100Eの展開方法を学ぶ。
• 基本的な設定と管理タスクの手順を実践的に経験する。
• セキュリティポリシー、NAT、VPNについて理解する。
• FortiGate 1100Eの監視と維持方法を学ぶ。

このインストラクター主導のライブトレーニング（オンラインまたはオンサイト）は、中級レベルのネットワーク管理者向けで、FortiGateファイアウォールを使用してネットワークを管理および保護する方法を学ぶことを目指しています。

このトレーニング終了時には、参加者は以下のことができることを目指します:

• FortiGateの機能と特徴を理解し、特にバージョン7.4で導入または強化された機能を把握する。
• FortiGateデバイスの設定と管理を行い、高度なセキュリティ機能を実装する。
• IPS、ウイルス対策、ウェブフィルタリング、脅威管理などの高度なセキュリティ対策を展開および管理する。
• ネットワーク活動の監視、ログの分析、監査とコンプライアンスのためのレポート作成を行う。

このインストラクター主導のライブトレーニング（オンラインまたはオンサイト）は、中級レベルの技術者向けであり、Fortinet 製品ラインの技術的な側面と機能を深く理解し、Fortinet セキュリティソリューションを効果的に推奨、販売、実装するためのものです。

このトレーニングの終了時には、参加者は以下のことをできるようになります：

• Fortinet の高度なセキュリティソリューションと製品について深く理解します。
• 各主要 Fortinet 製品の技術的な特徴、利点、展開シナリオを理解します。
• 多様な環境で Fortinet ソリューションを設定、管理、トラブルシューティングします。
• 複雑なセキュリティ課題と要件に対応するために Fortinet 製品を使用します。

このインストラクター主導のライブトレーニング（オンラインまたはオンサイト）は、高度な攻撃や脅威を防ぐためにCortex XDRを使用したいと考えているセキュリティ専門家向けです。

本トレーニング終了時には、参加者は以下のことが Able to できます：

• Cortex XDRのアーキテクチャとコンポーネントを理解する。
• エクスプロイトとマルウェア防止のためのプロファイルを作成および管理する。
• 行動ベースの脅威を分析し、対応アクションを監視する。
• Cortexアプリの基本的なトラブルシューティングを行う。

このインストラクター主導のライブトレーニング（オンラインまたはオンサイト）は、セキュリティファブリックの概念とそれが組織のサイバーセキュリティニーズに対応するためにどのように進化したかを学びたい初心者向け技術専門家を対象としています。

このトレーニング終了時には、参加者は次のことができます：

• サイバーセキュリティの進化とそれが現在のセキュリティテクノロジーに与えた影響を学ぶ。
• 特定のタイプのサイバー脅威や攻撃から保護するためにフォーティネット製品を使用する。
• フォーティネットソリューションがサイバーインシデントに対する連携した対応を提供するために持つ統合と自動化機能を理解する。

このインストラクタ主導のライブトレーニング（オンラインまたはオンサイト）は、Palo Alto Networks の次世代ファイアウォールのトラブルシューティング方法を学びたいセキュリティ専門家向けです。

このトレーニング終了時には、参加者は以下のことが Able to になります：

• 次世代ファイアウォールのアーキテクチャを理解します。
• ファイアウォールツールを使用してネットワーク問題を調査およびトラブルシューティングします。
• 高度なログを分析し、実際のシナリオを解決します。

このインストラクター主導のライブトレーニング（オンラインまたはオンサイト）は、初心者のネットワークセキュリティ専門家を対象としており、サイバーセキュリティと現在のグローバルな脅威環境について学ぶことを目的としています。

このトレーニング終了時には、参加者は以下のことが Able to:

• 現在のグローバルな脅威環境を理解し、主要なサイバーアドバーサリーを特定する。
• 主なマルウェアの種類とサイバー攻撃のメカニズムを認識する。
• ネットワークセキュリティの基本と層別セキュリティアプローチの重要性を理解する。
• フォーティネットのセキュリティファブリックについて学び、それが現代のサイバーセキュリティの課題に対処する方法を理解する。

この講師主導のライブトレーニング（オンラインまたはオンサイト）は、ネットワークとセキュリティの中級者向けで、Fortigate 600Eを使用して効果的にネットワークを管理し保護することを目指しており、特にHA構成に重点を置いて信頼性とパフォーマンスを向上させます。

このトレーニングの終了時には、参加者は以下のことをできるようになります：

• Fortigate 600Eファイアウォールの特徴、仕様、動作原理を理解する。
• インターフェースの設定、ルーティング、初期ファイアウォールポリシーなどの基本的な設定タスクを含むFortigate 600Eの初期セットアップを行う。
• SSL VPN、ユーザ認証、ウイルス対策、IPS、ウェブフィルタリング、マルウェア対策機能などの高度なセキュリティ機能を設定し管理し、さまざまなネットワーク脅威から保護する。
• HAセットアップの一般的な問題をトラブルシューティングし、効果的にHA環境を管理する。

このインストラクター主導のライブトレーニング（オンラインまたはオンサイト）は、サービス技術者、システム管理者、または Honeywell セキュリティシステムの適切なインストール、使用、および管理を学びたいすべての方々を対象としています。

このトレーニング終了後、参加者は以下のことができるようになります：

• Honeywell セキュリティシステムとその構成要素の概念を理解する。
• Honeywell セキュリティシステムを適切にインストールおよび維持する。
• Honeywell のメンテナンスツールと管理スイートを使用してセキュリティシステムを制御する。

このインストラクター主導のライブトレーニング（日本でオンラインまたはオンサイト）は、大規模でのファイアウォール管理を学びたいセキュリティ専門家向けです。

本トレーニング終了時には、参加者は以下のことができるようになります：

• Panorama FireWall管理サーバーの設計、構成、および管理。
• デバイスグループを使用したポリシーの管理。
• 異なるファイアウォールにネットワーク設定を展開する。

EC-Council Certified DevSecOps Engineer (ECDE)は、プロフェッショナルがDevOpsライフサイクル全体にセキュリティを組み込むスキルを持つことを目指した実践的なコースです。これにより、計画からデプロイまで安全なソフトウェア開発が可能になります。

このインストラクター主導のライブトレーニング（オンラインまたはオンサイト）は、中級レベルのソフトウェアとDevOpsプロフェッショナルを対象としており、CI/CDパイプラインにセキュリティ実践を取り入れることで、安全で準拠したコードの提供を確保します。

このトレーニング終了時には、参加者は以下のことが Able to:

• DevSecOpsの原則と実践を理解する。
• 自動化されたツールを使用してCI/CDパイプラインの各段階を保護する。
• 安全なコーディング慣行と脆弱性スキャンを実装する。
• 実践的なラボとレビューを通じてECDE認定に備える。

コース形式

• 対話型の講義とディスカッション。
• シミュレートされたパイプラインでのDevSecOpsツールの実践的な使用。
• 安全な開発とデプロイに焦点を当てたガイダンス付き演習。

コースのカスタマイズオプション

• チームのワークフローやツールチェーンに基づいたこのコースのカスタムトレーニングをご希望の場合、ご連絡ください。

この講師主導のライブトレーニング（オンラインまたはオンサイト）は、システム管理者を対象としています。参加者は、ソフトウェアライセンスの基本概念、FlexNet の主要機能、およびソフトウェアライセンス管理ソリューションの実装と維持方法について学びます。

このトレーニング終了時には、参加者は以下のことを行えるようになります：

• ソフトウェアライセンスの基本概念を理解する。
• FlexNet のコアコンポーネントと運用システムを管理する。
• さまざまなライセンスモデルとタイプを作成し、ライセンスキーを生成してエンドユーザーのソフトウェアライセンスをアクティベートする。
• エンドユーザーにライセンスを追加、管理、割り当てを行い、使用状況を監視し、コンプライアンスを確保する。

この講師主導の実践的なトレーニング（オンラインまたはオンサイト）は、FortiOS 7.2で動作するFortinetのFortiGateセキュリティアプライアンスを展開、管理、トラブルシューティングするために必要な知識とスキルを習得したい経験豊富なネットワークセキュリティマネージャ向けです。

このトレーニング終了時には、参加者は以下のことが Able to できます：

• Fortinetの製品ポートフォリオと、FortiOSがネットワークセキュリティで果たす役割を理解します。
• 効果的なファイアウォールポリシー、セキュリティプロファイル、およびネットワークアドレス変換（NAT）を実装します。
• セキュリティサービスを利用し、ネットワークの冗長性とフェイルオーバーを確保します。
• セキュリティベストプラクティスを実施し、コンプライアンスと脅威軽減のためにセキュリティポリシーを最適化します。

このインストラクター主導のライブトレーニング（オンラインまたはオンサイト）は、Palo Alto Networks の次世代ファイアウォールの基本を学びたいセキュリティ専門家向けです。

本トレーニング終了後、参加者は以下が行えるようになります：

• Palo Alto Networks ファイアウォールの基本機能を設定および管理する。
• セキュリティポリシーと NAT ポリシーを管理する。
• 脅威対策戦略を管理する。
• ネットワークの脅威とトラフィックを監視する。

この講師主導のライブトレーニングは、日本（オンラインまたはオンサイト）で開催され、接続された車両をサイバー攻撃から守りたいエンジニア向けです。

本トレーニングの終了時には、参加者は以下のことをできるようになります：

• 自動車システムにサイバーセキュリティを実装する。
• 最も適した技術、ツール、およびアプローチを選択する。

Android はスマートフォンやタブレットなどのモバイルデバイス向けのオープンプラットフォームです。多くのセキュリティ機能を備えており、安全なソフトウェア開発がより容易になります。しかし、他の携帯機器プラットフォームに存在する特定のセキュリティ側面は欠けています。本コースではこれらの機能について包括的な概要を提供し、Linux の基本層やファイルシステム、一般的な環境、権限の使用やその他の Android ソフトウェア開発コンポーネントに関連する最も重要な欠点に注意するべき点を指摘します。

ネイティブコードと Java アプリケーションの典型的なセキュリティ上の落とし穴や脆弱性について説明し、それらを回避および軽減するための推奨事項とベストプラクティスも紹介します。多くの場合、議論される問題は実際の例やケーススタディでサポートされます。最後に、セキュリティテストツールを使用して、プログラミングのセキュリティに関連するバグを発見する方法について簡単に説明します。

このコースに参加する受講者は

• セキュリティ、IT セキュリティ、およびセキュアコーディングの基本概念を理解します
• Android でのセキュリティソリューションについて学びます
• Android プラットフォームのさまざまなセキュリティ機能を使用する方法を学びます
• 最近の Java における脆弱性に関する情報を得ます
• 典型的なコーディングミスとそれを避ける方法について学びます
• Android 上でのネイティブコードの脆弱性を理解します
• ネイティブコードにおける不適切なバッファ処理がもたらす重大な結果に気づきます
• アーキテクチャ保護技術とその弱点を理解します
• セキュアコーディングプラクティスの情報源とさらなる読み物を得ます

対象者

専門家

現在、.NET および ASP.NET フレームワークにコードをコンパイルするための多くのプログラミング言語が利用可能です。この環境は強力なセキュリティ開発手段を提供していますが、開発者はアーキテクチャとコーディングレベルのプログラミング技術を適用し、望ましいセキュリティ機能を実装したり、脆弱性を回避またはその悪用を制限する方法を知る必要があります。

このコースの目的は、多くのハンズオン演習を通じて開発者に以下のスキルを教授することです。信頼されていないコードが特権アクションを実行することを防ぎ、強力な認証と承認でリソースを保護し、リモートプロシージャコールを提供し、セッションを管理し、特定の機能の異なる実装方法を紹介するなどです。さらに、.NET および ASP.NET 環境のセキュリティ設定と強化に特化した特別なセクションが設けられています。

暗号学の基礎に関する簡単な紹介では、各種アルゴリズムの目的と動作を理解するための実践的な基盤を提供します。このコースでは、.NET で使用できる暗号機能について説明します。その後、特定の暗号アルゴリズムや暗号プロトコル、およびサイドチャネル攻撃に関連する最近の脆弱性について紹介します。

異なる脆弱性の紹介は、.NET を使用する際に犯される典型的なプログラミング問題から始まります。入力検証、エラーハンドリング、またはレースコンディションに関するバグカテゴリが含まれます。XML セキュリティに特に焦点を当て、ASP.NET 特有の脆弱性については、ViewState への攻撃や文字列終端攻撃などの特定の問題と攻撃方法について取り上げます。

このコースに参加する受講者は

• セキュリティ、IT セキュリティ、および安全なコーディングの基本概念を理解します
• .NET 開発環境のさまざまなセキュリティ機能を使用する方法を学びます
• 暗号学に関する実践的な理解を得ます
• 最近の暗号システムに対する攻撃を理解します
• .NET および ASP.NET の最近の脆弱性について情報を得ます
• 典型的なコーディングミスとそれを避ける方法について学びます
• セキュリティテストツールを使用する実践的な知識を得ます
• 安全なコーディングに関する情報源と更なる読み物を入手します

対象者

開発者

セキュアなネットワークアプリケーションの実装は、暗号化やデジタル署名などの暗号技術を過去に使用したことがある開発者にとっても困難です。このため、参加者がこれらの暗号プリミティブの役割と使用方法を理解できるよう、安全な通信の主な要件である「安全な確認」、「整合性」、「機密性」、「リモート認証」、「匿名性」について堅固な基礎を提供します。また、これらの要件に損傷を与える典型的な問題とその解決策についても説明します。

ネットワークセキュリティの重要な側面である暗号技術については、対称暗号、ハッシング、非対称暗号、および鍵共有に関する最も重要な暗号アルゴリズムについても議論します。数学的な詳細を深く説明するのではなく、これらの要素は開発者の視点から議論され、典型的なユースケースと暗号を使用する際の実践的な考慮事項（公開鍵基盤など）が示されます。多くのセキュリティプロトコルが導入され、IPSECやSSL/TLSなどの最も広く使用されているプロトコルファミリーについて詳しく議論します。

特定の暗号アルゴリズムや暗号プロトコルに関連する典型的な暗号脆弱性（BEAST、CRIME、TIME、BREACH、FREAK、Logjam、パディングオラクル、Lucky Thirteen、POODLEなど）についても議論します。それぞれの問題について、実践的な考慮事項と潜在的な影響が説明されますが、数学的な詳細には深く入りません。

最後に、XML技術はネットワークアプリケーション間でのデータ交換の中心的な役割を果たすため、XMLのセキュリティ側面についても説明します。これには、WebサービスやSOAPメッセージ内でのXMLの使用と、XML署名やXML暗号化などの保護措置の使用が含まれます。また、これらの保護措置の弱点やXML特有のセキュリティ問題（XMLインジェクション、XML外部エンティティ（XXE）攻撃、XMLボム、XPathインジェクションなど）についても説明します。

このコースに参加する受講者は

• セキュリティ、ITセキュリティ、安全なコーディングの基本概念を理解する
• 安全な通信の要件を理解する
• 異なるOSI層でのネットワーク攻撃と防御について学ぶ
• 実践的な暗号技術を理解する
• 重要なセキュリティプロトコルを理解する
• 最近の暗号システムに対する攻撃を理解する
• 関連する最近の脆弱性についての情報を得る
• Webサービスのセキュリティ概念を理解する
• 安全なコーディング実践に関する情報源と更なる読み物を得る

対象者

開発者、専門家

この3日間のコースでは、メモリ管理や入力処理における脆弱性を悪用する悪意のあるユーザーから C/C++ コードを保護する基本について学びます。セキュアコードの作成に関する原則もカバーします。

経験豊富な Java プログラマでさえ、Java が提供するさまざまなセキュリティサービスを完全に理解しているわけではなく、Java で書かれた Web アプリケーションに関連する異なる脆弱性についても十分に認識していない場合があります。

このコースでは、Standard Java Edition のセキュリティコンポーネントの紹介に加えて、Java Enterprise Edition (JEE) と Web サービスのセキュリティ問題を取り扱います。特定のサービスの説明は、暗号化と安全な通信の基礎から始まります。さまざまな演習では、JEE の宣言的およびプログラム的なセキュリティ技術が扱われ、Web サービスのトランスポート層とエンドツーエンドのセキュリティについても議論されます。すべてのコンポーネントの使用方法は、参加者が実際に議論された API とツールを試すことができる実践的な演習を通じて紹介されます。

また、このコースでは、Java 言語およびプラットフォームと Web 関連の脆弱性に関する最も頻繁で深刻なプログラミングの欠陥について説明します。Java プログラマが犯しやすい典型的なバグに加えて、紹介されるセキュリティ上の脆弱性には言語特有の問題と実行時の環境から生じる問題が含まれます。すべての脆弱性と関連する攻撃は、理解しやすい演習を通じて示され、その後、推奨されるコーディングガイドラインと対策技術について説明します。

このコースに参加すると、次のことができます

• セキュリティ、IT セキュリティ、安全なコーディングの基本概念を理解する
• OWASP Top Ten 以外の Web 脆弱性について学び、それらを避ける方法を知る
• Web サービスのセキュリティ概念を理解する
• Java 開発環境のさまざまなセキュリティ機能を使用する方法を学ぶ
• 暗号化の実践的な理解を得る
• Java EE のセキュリティソリューションを理解する
• 典型的なコーディングミスとそれを避ける方法について学ぶ
• Java フレームワークの最近の脆弱性に関する情報を得る
• セキュリティテストツールを使用する実践的な知識を得る
• 安全なコーディング慣行についての情報源とさらなる読み物を得る

対象者

開発者

説明

Java言語とランタイム環境（JRE）は、C/C++など他の言語で一般的に発生する最も問題のある一般的なセキュリティ脆弱性から自由であるように設計されました。しかし、ソフトウェア開発者やアーキテクトは、Java環境のさまざまなセキュリティ機能を使用する方法（ポジティブセキュリティ）を知るだけでなく、Java開発に関連する多くの脆弱性（ネガティブセキュリティ）についても認識しておく必要があります。

セキュリティサービスの導入に先立ち、適用可能なコンポーネントの目的と動作を理解するための暗号学の基礎の概要が提供されます。これらのコンポーネントの使用は、参加者が実際に議論されたAPIを試すことができるいくつかの実践的な演習を通じて説明されます。

このコースでは、Java言語とプラットフォームで最も頻繁かつ深刻なプログラミングの欠陥について説明し、Java開発者が犯しがちな典型的なバグや、言語および環境固有の問題についてもカバーします。すべての脆弱性と関連する攻撃は、理解しやすい演習を通じて示され、その後に推奨されるコーディングガイドラインと可能な軽減技術が続きます。

このコースに参加する受講者は

• セキュリティ、ITセキュリティ、安全なコーディングの基本概念を理解する
• OWASPトップテンを超えるWeb脆弱性について学び、それらを避ける方法を知る
• Java開発環境のさまざまなセキュリティ機能を使用する方法を学ぶ
• 暗号技術に実践的な理解を得る
• 典型的なコーディングミスとそれを避ける方法について学ぶ
• Javaフレームワークの最近の脆弱性について得る
• 安全なコーディングプラクティスに関する情報源や追加の読み物を得る

対象者

開発者

説明

Javaコンポーネントの使用に関する確固たる知識に加えて、経験豊富なJavaプログラマーにとっても、サーバー側とクライアント側のWeb関連脆弱性、Javaで書かれたWebアプリケーションに関連するさまざまな脆弱性、およびそれらのリスクの結果について深く理解することは不可欠です。

一般的なWebベースの脆弱性は、関連する攻撃を示すことで説明され、推奨されるコーディング手法と緩和方法はJavaの文脈で説明されます。最も重要な目標は、関連する問題を避けることです。さらに、JavaScript、Ajax、HTML5のセキュリティ問題に焦点を当てたクライアント側のセキュリティが取り上げられます。

このコースでは、標準JavaEditionのセキュリティコンポーネントが導入され、これには暗号化の基礎が先行します。これは、適用可能なコンポーネントの目的と動作を理解するための共通基盤を提供します。すべてのコンポーネントの使用は、実践的な演習を通じて紹介され、参加者は議論されたAPIやツールを自分で試すことができます。

最後に、このコースではJava言語およびプラットフォームの最も頻繁で深刻なプログラミングの欠陥が説明されます。Javaプログラマーが犯す典型的なバグだけでなく、言語特有の問題や実行時環境から生じる問題も含むセキュリティ脆弱性が紹介されます。すべての脆弱性と関連する攻撃は理解しやすい演習を通じて示され、その後に推奨されるコーディングガイドラインと可能ないくつかの緩和技術が続きます。

このコースを受講した参加者は

• セキュリティ、ITセキュリティ、および安全なコーディングの基本概念を理解します
• OWASP Top Tenを超えるWeb脆弱性を学び、それらを避ける方法を知ります
• クライアント側の脆弱性と安全なコーディングの実践について学びます
• Java開発環境的各种セキュリティ機能を使用する方法を学びます
• 暗号化の実践的な理解を得ます
• 典型的なコーディングミスとそれを避ける方法について学びます
• 最近のJavaフレームワークの脆弱性に関する情報を得ます
• セキュリティテストツールを使用する実践的な知識を得ます
• 安全なコーディングの実践に関する情報源と追加の読み物を得ます

対象者

開発者

日本でこのコースに参加すると、以下のことが学べます

• セキュリティ、IT セキュリティ、および安全なコーディングの基本概念を理解する
• OWASP Top Ten を超える Web の脆弱性を学び、それらを避ける方法を知る
• クライアント側の脆弱性と安全なコーディングの実践を学ぶ
• Java 開発環境のさまざまなセキュリティ機能を使用する方法を学ぶ
• 暗号化の実践的な理解を持つ
• Web サービスのセキュリティ概念を理解する
• Java EE のセキュリティソリューションを理解する
• 典型的なコーディング ミスとそれらを避ける方法を学ぶ
• Java フレームワークにおける最近の脆弱性について知る
• セキュリティテストツールを使用する実践的な知識を得る
• 安全なコーディングの実践に関する情報源と追加の読書リストを得る

現在、多くのプログラミング言語が .NET および ASP.NET フレームワーク用にコードをコンパイルするために利用できます。この環境は強力なセキュリティ開発の手段を提供していますが、開発者はアーキテクチャレベルとコーディングレベルのプログラミング技術をどのように適用すれば、望まれるセキュリティ機能を実装し、脆弱性を回避またはその悪用を制限できるかを知る必要があります。

このコースの目的は、開発者が多数のハンズオン演習を通じて信頼されていないコードが特権アクションを行うことを防止する方法、強力な認証と認可によりリソースを保護する方法、リモートプロシージャコールを提供する方法、セッションを処理する方法、特定の機能に対する異なる実装を導入する方法などについて学ぶことです。

さまざまな脆弱性の紹介は、.NET を使用する際に犯される典型的なプログラミング問題から始まります。ASP.NET の脆弱性の議論では、環境設定とその影響についても扱います。最後に、ASP.NET 特有の脆弱性に関するトピックは、一般的な Web アプリケーションセキュリティの課題だけでなく、ViewState への攻撃や文字列終端攻撃などの特殊な問題と攻撃方法についても取り上げます。

このコースに参加する受講者は

• セキュリティ、IT セキュリティ、および安全なコーディングの基本概念を理解します
• OWASP Top Ten 以外の Web 脆弱性について学び、それらを回避する方法を知ります
• .NET 開発環境のさまざまなセキュリティ機能を使用する方法を学びます
• セキュリティテストツールの使用に関する実践的な知識を得ます
• 典型的なコーディングミスとそれを回避する方法について学びます
• .NET および ASP.NET の最近の脆弱性に関する情報を得ます
• 安全なコーディング実践に関する情報源や追加の読み物を得ます

対象者

開発者

.NET と ASP.NET のさまざまなセキュリティ機能を確実に使用するための堅実な知識だけでなく、経験豊富なプログラマでも、サーバーサイドやクライアントサイドでの Web 関連の脆弱性について深く理解していることが重要です。また、さまざまなリスクの結果についても理解しておく必要があります。

このコースでは、一般的な Web ベースの脆弱性を関連する攻撃を通じて示し、推奨されるコーディング手法と緩和策が ASP.NET の文脈で説明されます。特に JavaScript、Ajax、HTML5 のセキュリティ問題に焦点を当てたクライアントサイドのセキュリティについて取り扱います。

また、.NET フレームワークのセキュリティアーキテクチャとコンポーネント、コードベースおよびロールベースのアクセス制御、権限宣言とチェックメカニズム、トランスパレンシモデルについても扱います。暗号化の基礎に関する簡潔な紹介により、さまざまなアルゴリズムの目的と動作を理解する共通の実践的な基盤が提供され、このコースでは .NET で使用できる暗号化機能について説明します。

異なるセキュリティバグの導入は、確立された脆弱性カテゴリーに従って行われ、入力検証、セキュリティ機能、エラーハンドリング、時間と状態に関連する問題、一般的なコード品質の問題のグループ、ASP.NET 特有の脆弱性に関する特別セクションが取り扱われます。これらのトピックは、自動的にいくつかの学んだバグを明らかにするためのテストツールの概要で締めくくります。

各トピックは、参加者が特定の脆弱性の結果や緩和策、議論された API とツールを自分で試すことができる実践的な演習を通じて提示されます。

このコースに参加する受講者は

• セキュリティ、IT セキュリティ、および安全なコーディングの基本概念を理解します
• OWASP Top Ten 以外の Web の脆弱性について学び、それらを避ける方法を知ります
• クライアントサイドの脆弱性と安全なコーディング実践について学びます
• .NET 開発環境のさまざまなセキュリティ機能を使用する方法を学びます
• 暗号化に関する実践的な理解を得ます
• .NET および ASP.NET の最近の脆弱性について情報を得ます
• セキュリティテストツールを使用するための実践的な知識を得ます
• 典型的なコーディングミスとそれを避ける方法について学びます
• 安全なコーディング実践に関する情報源と更なる読書を入手します

対象者

開発者

このコースでは、一般的なセキュリティ概念を紹介し、使用するプログラミング言語やプラットフォームに関係なく脆弱性の本質について概観します。また、ソフトウェア開発ライフサイクルの各段階で適用されるソフトウェアセキュリティに関するリスクの取り扱い方法を説明します。技術的な詳細には深く立ち入らずに、さまざまなソフトウェア開発テクノロジーにおける最も興味深いかつ痛ましい脆弱性についてハイライトし、セキュリティテストの課題と問題点を見つけ出すために適用できる一部の手法やツールを紹介します。

このコースに参加する受講者は

• セキュリティ、ITセキュリティ、およびセキュアコーディングの基本概念を理解します
• サーバー側とクライアント側のWeb脆弱性を理解します
• 不安定なバッファ処理の深刻な影響を認識します
• 開発環境やフレームワークにおける最近の脆弱性について情報を得ます
• 典型的なコーディングミスとそれを避ける方法を学びます
• セキュリティテストの手法とアプローチを理解します

対象者

マネージャー

このコースでは、現代のインターネット攻撃に耐えるためのPHP開発者にとって必要な基本的なスキルを提供します。Webの脆弱性について、OWASPトップテン以上の範囲で、さまざまなインジェクション攻撃、スクリプトインジェクション、PHPのセッション管理に対する攻撃、不安全な直接オブジェクト参照、ファイルアップロードに関する問題などについて、PHPを基にした例を使って解説します。PHPに関連する脆弱性は、標準的な脆弱性タイプである入力検証の欠如や不適切さ、エラーと例外処理の誤り、セキュリティ機能の不適切な使用、時間と状態に関する問題に分けて紹介します。後者については、open_basedirの回避、magic floatによるサービス拒否攻撃、ハッシュテーブル衝突攻撃などの攻撃について解説します。これらのケースすべてで、参加者は列挙されたリスクを軽減するために使用できる最も重要な技術と関数に精通することができます。

クライアント側のセキュリティには特に重点が置かれており、JavaScript、Ajax、HTML5のセキュリティ問題について解説します。PHPの暗号化用のhash、mcrypt、OpenSSLや入力検証用のCtype、ext/filter、HTML Purifierなどのセキュリティ関連の拡張機能が紹介されます。また、php.iniの設定、Apache、サーバー全体に関する最良の強化実践方法も解説します。最後に、開発者とテスト者が使用できるさまざまなセキュリティテストツールや手法について概要を提供し、包括的なセキュリティスキャナーやペネトレーションテスト、エクスプロイトパック、スニッファ、プロキシサーバー、フジングツール、静的ソースコード解析ツールなどを含みます。

脆弱性の導入と設定実践は、成功した攻撃の結果を示し、軽減技術の適用方法を示すだけでなく、さまざまな拡張機能やツールの使用方法を紹介する多くのハンズオン演習によってサポートされています。

このコースに参加することで参加者は

• セキュリティ、ITセキュリティ、セキュアコーディングの基本概念を理解します
• OWASPトップテン以上のWeb脆弱性について学び、それらを回避する方法を知ります
• クライアント側の脆弱性とセキュアコーディングの実践方法を学びます
• 暗号化に関する実践的な理解を得ます
• PHPのさまざまなセキュリティ機能を使用する方法を学びます
• 一般的なコーディングミスとそれを回避する方法について学びます
• PHPフレームワークの最近の脆弱性に関する情報を得ます
• セキュリティテストツールを使用する実践的な知識を得ます
• セキュアコーディングの実践方法についての情報源とさらに読むべき文献を入手します

対象者

開発者

統合SDLコアトレーニングでは、Microsoft Secure Development Lifecycle (SDL) を通じて安全なソフトウェア設計、開発、テストに関する洞察を提供します。SDLの基本的な構成要素について100レベルの概要を説明し、開発プロセスの初期段階で欠陥を検出および修正するためのデザイン手法について解説します。

開発フェーズでは、マネージドコードとネイティブコードの一般的なセキュリティ関連のプログラミングバグの概要を提供します。議論された脆弱性に対する攻撃手法とその対策技術についても説明し、多数の実践的な演習を通じて参加者がライブハッキングの楽しさを味わえるようにしています。さまざまなセキュリティテスト方法の紹介に続き、異なるテストツールの効果性が示されます。参加者は、これらのツールを既に議論された脆弱なコードに適用する実践的な演習を通じてツールの動作を理解できます。

このコースに参加する人は

セキュリティ、ITセキュリティ、安全なコーディングの基本概念を理解します

Microsoft Secure Development Lifecycle の主要なステップについて知ることができます

安全なデザインと開発の手法を学びます

安全な実装の原則を学びます

セキュリティテストの方法論を理解します

• 安全なコーディング手法に関する情報源とさらに読むべき書籍について得られます

対象者

開発者、管理者

脆弱性と攻撃手法に慣れてから、参加者はセキュリティテストの一般的なアプローチや方法論、特定の脆弱性を明らかめるために適用できる技術について学びます。セキュリティテストは、システム（ToC、つまり評価対象）に関する情報収集から始まり、その後彻底的な脅威モデリングによりすべての脅威が明らかにされ、評価され、最も適切なリスク分析に基づくテスト計画に到達します。

セキュリティ評価はSDLCの様々な段階で実施される可能性があり、そのため設計レビュー、コードレビュー、システムに関する偵察と情報収集、実装のテスト、および安全なデプロイメントのための環境のテストと強化について議論します。多くのセキュリティテスト技術が詳細に紹介され、たとえば汚染分析やヒューリスティックベースのコードレビュー、静的コード解析、動的なWeb脆弱性テスト、またはFuzzingなどが含まれます。ソフトウェア製品のセキュリティ評価を自動化するために適用できる様々な種類のツールが紹介され、これらを既に議論された脆弱なコードを分析するための多数の演習でサポートされています。多くの実際の事例研究により、さまざまな脆弱性についてよりよく理解できます。

このコースでは、テスト担当者とQAスタッフがセキュリティテストを適切に計画し、正確に実行し、最も適切なツールや技術を選択して使用し、隠れたセキュリティ欠陥を見つけるための重要な実践的なスキルを身につけていただけます。これらのスキルは翌日からすぐに仕事で活用できます。

このコースに参加する受講者は

• セキュリティ、ITセキュリティ、および安全なコーディングの基本概念を理解します
• OWASP Top Tenを超えるWeb脆弱性について学び、それらを回避する方法を知ります
• クライアントサイドの脆弱性と安全なコーディング実践について学びます
• セキュリティテストの手法や方法論を理解します
• セキュリティテスト技術とツールを使用するための実践的な知識を得ます
• 安全なコーディング実践に関する情報源とさらなる読み物を得ます

対象者

開発者、テスタ

ウェブ経由でアクセス可能なアプリケーションを保護するには、常に最新の攻撃手法とトレンドを把握している十分に準備されたセキュリティ専門家が必要です。快適なウェブアプリケーション開発を可能にする多くの技術や環境が存在します。これらのプラットフォームに関連するセキュリティ問題だけでなく、使用する開発ツールに関係なく適用されるすべての一般的な脆弱性についても認識しておくべきです。

このコースでは、ウェブアプリケーションに適用可能なセキュリティソリューションの概要を提供し、特に重要な暗号化技術の理解に重点を置きます。サーバー側（OWASP Top Ten に従って）とクライアント側のさまざまなウェブアプリケーション脆弱性が、関連する攻撃と共に紹介され、これらの問題を回避するための推奨されるコーディング技術と緩和方法についても説明します。セキュアコーディングのトピックは、入力検証、セキュリティ機能の不適切な使用、およびコード品質に関する典型的なプログラミングの誤りを議論することで締めくくられます。

テストは、ウェブアプリケーションのセキュリティと堅牢性を確保するために非常に重要な役割を果たします。上位レベルの監査からペネトレーションテスト、エシカルハッキングまで、さまざまなアプローチが適用され、異なるタイプの脆弱性を見つけ出すことができます。しかし、簡単な低 Hanging Fruits を超えて進む場合は、セキュリティテストは適切に計画し、適切に実行されるべきです。记住：セキュリティテスターは理想的にはすべてのバグを見つける必要がありますが、攻撃者にとっては一つの利用可能な脆弱性を見つけ出すだけで十分です。

実践的な演習を通じて、ウェブアプリケーションの脆弱性、プログラミングの誤り、特に緩和技術を理解します。さらに、セキュリティスキャナ、スニファ、プロキシサーバ、FUZZINGツールから静的ソースコード解析ツールまで、さまざまなテストツールの手動試験も行われます。このコースでは、次の日に職場で適用できる重要な実践的なスキルが提供されます。

このコースに参加する受講者は

• セキュリティ、IT セキュリティ、およびセキュアコーディングの基本概念を理解します
• OWASP Top Ten を超えるウェブ脆弱性について学び、それらを回避する方法を知ります
• クライアント側の脆弱性とセキュアコーディングの実践を学びます
• 暗号化の実践的な理解を得ます
• セキュリティテストの手法とアプローチを理解します
• セキュリティテスト技術とツールを使用する実践的な知識を得ます
• さまざまなプラットフォーム、フレームワーク、およびライブラリでの最近の脆弱性について知ります
• セキュアコーディングの実践に関する情報源とさらなる読み物を入手します

対象者

開発者、テストエンジニア

Web アプリケーションのセキュリティは、最新のセキュリティ脅威や脆弱性からオンラインアプリケーションを保護する学問です。これには、プラットフォームに依存しないものや、コアアプリケーションアーキテクチャと入力処理に影響を与えるものも含まれます。

この講師主導のライブトレーニング（オンラインまたはオンサイト）は、中級レベルの開発者が安全なコーディング技術を理解し、適用してウェブ脆弱性を軽減し、堅固な Web アプリケーションセキュリティを実装することを目指しています。

このトレーニング終了時には、参加者は以下のことができます：

• セキュリティの基本概念、IT セキュリティ、安全なコーディングについて理解する。
• OWASP Top Ten 以外のウェブ脆弱性を学び、それらを避ける方法を知る。
• クライアント側の脆弱性と安全なコーディング実践を学ぶ。
• 暗号化について実践的な理解を持つ。
• Web サービスのセキュリティ概念を理解する。
• セキュリティテストツールを使用するための実践的な知識を得る。
• 安全なコーディング実践に関する情報源と更なる読書資料を得る。

コース形式

• 対話型講義とディスカッション。
• 多くの演習と練習。
• ライブラボ環境での実践的な実装。

コースのカスタマイズオプション

• このコースのカスタマイズトレーニングを希望する場合は、お問い合わせください。

このクラスでは、参加者が自社システムのスキャン、テスト、ハッキングを行い、最新の重要なセキュリティシステムについて詳細な知識と実践的な経験を獲得します。参加者は周辺防御がどのように機能するかを理解し、その後、自社ネットワークのスキャンや攻撃を行う方法を学びます（実際のネットワークは危害を受けません）。さらに、侵入者が権限をエスカレートさせる方法と、システムを保護するためにどのような手順を取ることができるかについて学びます。また、侵入検知、ポリシー作成、ソーシャルエンジニアリング、DDoS攻撃、バッファオーフロー、ウィルス作成についても学習します。

この講師主導のライブコースでは、参加者は日本でDevOpsセキュリティへの挑戦に対処する適切なセキュリティ戦略を策定する方法を学びます。

このインストラクター主導のライブトレーニングでは、安全な組み込みシステムを設計する際に考慮すべきシステムアーキテクチャ、オペレーティングシステム、ネットワーク、ストレージ、および暗号化に関する問題について紹介します。

このコース終了時には、参加者はセキュリティの原則、懸念事項、および技術について確固たる理解を得ることができます。さらに重要なのは、安全で信頼性の高い組み込みソフトウェアを開発するために必要な技術を習得することができます。

このインストラクター主導のライブトレーニング（オンラインまたはオンサイト）は、FortiGate NGFWの高度なセキュリティ駆動型ネットワークシステムを使用して組織を内部および外部からの脅威から保護することを目指すセキュリティエンジニアやシステム管理者向けです。

このトレーニング終了後、参加者は以下のことが可能です：

• 選択したFortiGate NGFWソフトウェアとハードウェアモデルをインストールおよび設定する。
• FortiGate NGFWを使用してシステム管理タスクの効率を向上させる。
• FortiGateの機能を使用して、さまざまな形態の外部および内部脅威を管理する。
• FortiGateセキュリティファブリックを全体のITインフラストラクチャと統合し、迅速な自動保護を提供する。
• 独立した継続的なFortiGate脅威インテリジェンスにより、長期的に攻撃から保護する。
• FortiGate NGFWに関連する最も一般的なファイアウォールシステムのセットアップエラーをトラブルシューティングする。
• 他のエンタープライズアプリケーションでFortinetセキュリティソリューションを実装する。

対象者:

このコースは、情報セキュリティを理解し、その分野での潜在的なキャリアパスを探求することに興味がある方々向けです。技術的知識が限られている方でも、多様な背景を持つ方々に適しています。

コースの目的:

受講者は：

• 情報セキュリティの概念と原則について広範な理解を得ます。
• 主要な脅威と脆弱性を識別することができます。
• 情報セキュリティ内のさまざまなキャリアオプションと専門化分野を探求する能力を持ちます。
• この分野でのさらなる学習と探求のための基礎を築きます。

コース形式:

• 対話型講義とグループディスカッション。
• 実践的な演習とフィードバックセッション。
• 参加者は質問を持ち寄り、積極的に議論に参加することが奨励されます。

このアジェンダは柔軟であり、時間制約や聴講者の興味に基づいて調整することができます。カスタマイズされたバージョンには、クイズ、投票、グループディスカッションなどの対話型要素が含まれることがあります。

コースでは、さらなる学習、専門団体、キャリアリソースに関するリソースと情報が提供されます。

コースのカスタマイズオプション

• このコースのカスタムトレーニングを依頼する場合は、ご連絡ください。

この講師主導のライブトレーニングでは、参加者はInternet of Things (IoT)のアーキテクチャを理解し、組織に適した異なるIoTセキュリティソリューションを学びます。

本トレーニング終了時には、参加者は以下のことが可能です：

• IoTアーキテクチャを理解する。
• 新興のIoTセキュリティ脅威と解決策を理解する。
• 組織におけるIoTセキュリティ技術の実装を行う。

このインストラクター主導のライブトレーニングでは、参加者はNB-IoT（LTE Cat NB1としても知られています）のさまざまな側面について学びながら、サンプルのNB-IoTベースアプリケーションを開発および展開します。

このトレーニングの終了時には、参加者は以下のことをできるようになります:

• NB-IoTのさまざまなコンポーネントを識別し、それらがどのように組み合わさってエコシステムを形成するかを理解する。
• NB-IoTデバイスに組み込まれたセキュリティ機能を理解し説明する。
• 単純なアプリケーションを開発してNB-IoTデバイスを追跡する。

このインストラクター主導の実践的なトレーニング（オンラインまたはオンサイト）は、組織のネットワークをNmapで保護したいソフトウェアテスト担当者向けです。

このトレーニングが終わる頃には、参加者は以下のことができます：

• Nmapを使用するために必要なテスト環境をセットアップする。
• ネットワークシステムのセキュリティ脆弱性をスキャンする。
• アクティブで脆弱なホストを見つける。

このクラスでは、参加者が自分のシステムをスキャン、テスト、ハックし、そしてセキュアにする方法を学びます。現在の主要なセキュリティシステムに関する深い知識と実践的な経験を得ることができます。参加者は境界防御の仕組みについて理解し、その後、自らのネットワークをスキャンして攻撃する方法を学びます（実際に被害を与えることはありません）。さらに、侵入者が権限をエスカレートさせる方法と、システムを保護するためにどのような手順を取り得るかを学びます。侵入検知、ポリシー作成、ソーシャルエンジニアリング、DDoS攻撃、バッファオーフロー、ウイルス作成などについても学習します。

OpenVASは、ネットワーク脆弱性スキャンと管理のために設計された高度なオープンソースフレームワークで、複数のサービスとツールから構成されています。

このインストラクター主導のライブトレーニングでは、参加者はOpenVASを用いてネットワーク脆弱性スキャンを行う方法を学びます。

このトレーニング終了時には、参加者は以下ができることを目指します:

• OpenVASのインストールと設定
• OpenVASの基本的な機能と構成要素の理解
• OpenVASを使用してネットワーク脆弱性スキャンを実行する
• OpenVASのスキャン結果を確認し解釈する

対象者

• ネットワークエンジニア
• ネットワーク管理者

コース形式

• 講義とディスカッション、演習、実践的な練習を組み合わせた形式

注意

• このコースのカスタマイズトレーニングを希望される場合は、お問い合わせください。

この講師主導のライブトレーニング（オンラインまたはオンサイト）は、開発者、エンジニア、アーキテクトを対象としており、彼らのウェブアプリケーションとサービスを保護することを目指しています。

このトレーニング終了時には、参加者は OWASP テストフレームワークとツールを使用してウェブアプリケーションとサービスを統合、テスト、保護、分析できるようになります。

このインストラクター主導のライブトレーニング（オンラインまたはオンサイト）は、Palo Alto ネットワークを使用してマルウェアの侵入を防止したい開発者向けです。

このトレーニング終了時には、参加者は以下のことができるようになります:

• ファイアウォール開発に必要な開発環境をセットアップする。
• クラウドサーバーに Palo Alto ファイアウォールをデプロイする。
• Palo Alto ファイアウォールでのパケットフローを管理する。
• QoS 分類とタイプの解釈を行う。

公開鍵と秘密鍵は、非対称暗号化（公開鍵暗号）の基礎となり、ネットワーク通信における安全な通信と情報交換を可能にします。両方の鍵の組み合わせにより、送信データの保護が行われ、その機密性が維持され、デジタル署名の認証性が確保されます。

このインストラクター主導の実践トレーニング（オンラインまたはオンサイト）では、SysAdmins、システムエンジニア、セキュリティアーキテクト、およびセキュリティアナリストを対象に、PowerShell スクリプトとコマンドを作成、実行、展開して Windows セキュリティ管理を自動化する方法を学びます。

このトレーニングの終了時には、参加者は以下のことができます：

• PowerShell コマンドを作成して Windows セキュリティタスクを効率化します。
• PowerShell を使用してリモートコマンド実行を行い、組織全体の数千台のシステムでスクリプトを実行します。
• Windows Server と Windows ファイアウォールを構成および強化して、マルウェアや攻撃からシステムを保護します。
• 証明書と認証を管理して、ユーザーのアクセスと活動を制御します。

このコースは以下の点に焦点を当てます：

1. 開発者がセキュアコードの書き方の技術を習得することを支援すること
2. ソフトウェアテスト担当者がアプリケーションをプロダクション環境に公開する前にそのセキュリティをテストすることを支援すること
3. ソフトウェアアーキテクトがアプリケーションに関連するリスクを理解することを支援すること
4. チームリーダーが開発者向けのセキュリティ基準を設定することを支援すること
5. Web管理者がサーバーを誤った構成から守るように設定することを支援すること

このコースでは、Javaを使用して Open Web Application Security Project (OWASP) のテスト方法論を通じて、セキュアコーディングの概念と原則について学習します。Open Web Application Security Projectは、ウェブアプリケーションのセキュリティに関する分野で、無料で利用可能な記事、手法、文書、ツール、および技術を作成するオンラインコミュニティです。

このコースでは、Open Web Application Security Project (OWASP) のテスト手法を通じて、ASP.NETにおけるセキュアコーディングの概念と原則について学びます。OWASPは、ウェブアプリケーションのセキュリティ分野で無料の記事、手法、ドキュメント、ツール、およびテクノロジーを提供するオンラインコミュニティです。

このコースでは、.NET Framework のセキュリティ機能について探り、Webアプリケーションの保護方法を学びます。

このコースでは、情報セキュリティポリシーと手順を使用して IT インフラストラクチャを実装、監視、管理する技術的なスキルを探求します。また、データの機密性、完全性、可用性を保護する方法についても学習します。

説明:

このコースでは、参加者がセキュリティ概念、ウェブアプリケーションに関する概念、および開発者が使用するフレームワークについて深く理解することで、標的となるアプリケーションを攻撃し保護することができるようになります。現代は急速に変化しており、それに伴って使用されるすべての技術も急速に進化しています。ウェブアプリケーションは24時間365日、ハッカーからの攻撃にさらされています。外部からの攻撃者からアプリケーションを保護するためには、ウェブアプリケーション開発で使用されるフレームワーク、言語、技術などの詳細を理解することが必要です。
問題は、攻撃者がアプリケーションへの侵入方法を1つだけ知る必要があるのに対し、開発者（またはシステム管理者）はすべての可能性のある脆弱性を知っている必要があります。そのために完全に保護されたウェブアプリケーションを持つことは非常に困難であり、多くの場合、何らかの脆弱性が存在します。これはサイバー犯罪者や趣味のハッカーによって頻繁に悪用されますが、適切な計画、開発、ウェブアプリケーションテスト、および設定により最小限に抑えることができます。

目的:

本コースでは、実際のウェブアプリケーションでの可能性のある脆弱性を理解し特定するためのスキルと知識を提供します。また、特定された脆弱性を利用することで、その知識を通じて同様の攻撃からウェブアプリケーションを保護することが可能になります。このコース終了後、参加者はOWASP Top 10の脆弱性を理解し特定でき、その知識をウェブアプリケーションの保護スキームに組み込むことができます。

対象者:

開発者、警察および他の法執行機関の職員、防衛・軍事関係者、e-ビジネスのセキュリティ専門家、システム管理者、銀行・保険業界の専門家、政府機関、ITマネージャー、CISO、CTO。