開 発 者 向 けセキュリティ トレーニング ご 案 内 資 料 ver.20111214 2011 年 NTTデータ 先 端 技 術 株 式 会 社 プラットフォーム 事 業 部
Copyright 2012 NTT DATA INTELLILINK CORPORATION 1 INDEX 0. 本 トレーニングの 概 要 1. ステップ1 - サイバーセキュリティ 概 論 2. ステップ2 - Webサイトへの 攻 撃 手 法 3. ステップ3 - Webサイトへの 検 査 手 法 4. 研 修 構 成 および 価 格
Copyright 2012 NTT DATA INTELLILINK CORPORATION 2 0. 本 トレーニングの 概 要
Copyright 2012 NTT DATA INTELLILINK CORPORATION 3 0-1. 本 トレーニングの 概 要 本 トレーニングでは Webサイトのセキュリティ 品 質 向 上 & 保 証 を 担 う 中 心 的 人 材 の 育 成 を 目 指 します 1 ステップ1 サイバーセキュリティ 概 論 攻 撃 者 の 手 口 やインシデントの 事 例 などを 交 え ネットワーク セキュリティからWebアプリケーションセキュリティまでサイバー 攻 撃 の 実 態 を 幅 広 く 学 びます 2 ステップ2 Webサイトへの 攻 撃 手 法 Webサイトに 対 する 攻 撃 手 法 の 学 習 を 通 じて 発 生 しうる 被 害 攻 撃 を 可 能 にする 脆 弱 性 およびその 対 策 方 法 につい て 詳 細 に 学 びます 3 ステップ3 Webサイトへの 検 査 手 法 Webサイトに 対 する 検 査 手 法 の 学 習 を 通 じて 脆 弱 性 の 判 定 方 法 正 しい 対 策 の 取 り 方 Webサイト 構 築 におけるセ キュリティ 上 の 推 奨 事 項 などを 学 びます 研 修 受 講 者 の 到 達 目 標 攻 撃 者 の 視 点 攻 撃 に 使 用 される 手 法 を 意 識 したセキュリティ 対 策 ができる Webサイトにおけるセキュリティ 対 策 の 必 要 性 を 説 明 できる セキュアなWebサイト 構 築 のために 必 要 な 観 点 を 理 解 する Webサイトのセキュリティ 品 質 を 向 上 するための 手 法 を 習 得 する
Copyright 2012 NTT DATA INTELLILINK CORPORATION 4 0-2. トレーニング 内 容 のスコープ 定 義 本 トレーニングにより 学 習 する 範 囲 を 下 図 に 示 します 本 トレーニングでは Webアプリケーション ネットワーク 検 査 手 法 攻 撃 手 法 を 軸 とし ステップ1では 全 体 を 広 範 囲 に ステップ2 3では 攻 撃 手 法 検 査 手 法 をそれぞ れ 深 く 学 習 します スコープ Webアプリケーション ステップ3 攻 撃 手 法 検 査 手 法 ステップ1 ネットワーク ステップ2
Copyright 2012 NTT DATA INTELLILINK CORPORATION 5 0-3. トレーニング 方 法 について 本 トレーニングにおける 学 習 方 法 の 範 囲 を 下 図 に 示 します 本 トレーニングでは 内 容 に 応 じて 座 学 デモ 演 習 (ハンズオン) を 使 い 分 け 学 習 していきます ステップ1 ネットワーク 攻 撃 手 法 Webアプリケーション 攻 撃 手 法 Webアプリケーション 検 査 手 法 座 学 デモ 演 習 ステップ2 ステップ3
Copyright 2012 NTT DATA INTELLILINK CORPORATION 6 1. ステップ1 - サイバーセキュリティ 概 論
Copyright 2012 NTT DATA INTELLILINK CORPORATION 7 1-1. ステップ1 到 達 目 標 ステップ1の 到 達 目 標 1 セキュリティの 最 新 動 向 インシデ ント 事 例 を 理 解 する Webサイトに 関 する 最 新 のセキュリティ 動 向 および インシ デント 事 例 から セキュリティ 対 策 の 必 要 性 について 理 解 しま す 2 攻 撃 者 の 行 動 原 理 を 理 解 する 攻 撃 者 の 行 動 に 関 する 基 本 的 な 法 則 や 規 則 について 攻 撃 対 象 の 選 定 方 法 セキュリティホールの 識 別 また 侵 入 方 法 そして 侵 入 後 の 振 舞 いについて 理 解 します 3 攻 撃 の 原 理 原 則 を 理 解 する 攻 撃 者 の 目 的 により 選 択 される 様 々な 攻 撃 手 法 (ステップ2 で 取 り 上 げない フィッシングやソーシャルエンジニアリング などの 手 法 も 含 む)と その 一 般 的 な 対 策 方 法 を 理 解 します ステップ1では Webサイトのセキュリティに 関 して 広 く 概 念 を 学 習 していただき セキュリティ 対 策 の 必 要 性 や セキュリティの 基 本 的 な 考 え 方 の 理 解 を 目 標 とします
Copyright 2012 NTT DATA INTELLILINK CORPORATION 8 1-2. ステップ1 研 修 イメージ 教 材 内 容 攻 撃 者 の 手 口 やインシデントの 事 例 などを 交 え ネット ワークセキュリティからWebアプリケーションセキュリティまで サイバー 攻 撃 の 実 態 を 幅 広 く 学 びます 講 義 形 式 教 材 による 座 学 攻 撃 のデモンストレーション 理 解 度 テスト ボリューム 1.5 日 程 度
Copyright 2012 NTT DATA INTELLILINK CORPORATION 9 1-3. ステップ1 目 次 第 1 章 セキュリティの 最 新 動 向 とインシデント 事 例 1-1. セキュリティ 最 新 動 向 1-2. インシデント 事 例 1-3. 不 正 アクセス 禁 止 法 など 第 2 章 セキュリティの 構 成 要 素 2-1. セキュリティの 構 成 要 素 2-2. 構 成 要 素 の 定 義 と 関 係 性 2-3. 構 成 要 素 の 具 体 例 第 3 章 攻 撃 者 像 と 攻 撃 手 法 3-1. 攻 撃 者 像 ( 攻 撃 者 の 分 類 目 的 視 点 ) 3-2. 攻 撃 手 法 の 全 体 像 3-3. 攻 撃 手 法 の 変 遷 と 傾 向 3-4. 攻 撃 者 の 目 的 と 行 動 パターン 第 4 章 ネットワークへの 攻 撃 手 法 と 手 順 第 5 章 Webアプリケーションへの 攻 撃 手 法 と 手 順 第 6 章 その 他 の 攻 撃 手 法 3-5. 攻 撃 者 と 構 築 側 の 心 理 戦 4-0. NW: 攻 撃 手 順 の 全 体 像 4-1. NW: 攻 撃 対 象 の 選 定 4-2. NW:ネットワーク 情 報 の 収 集 4-3. NW:システム 情 報 の 収 集 4-4. NW:セキュリティホールの 識 別 4-5. NW: 脆 弱 性 を 悪 用 した 攻 撃 4-6. NW: 攻 撃 成 功 後 の 行 動 5-0. Web: 全 体 像 5-1. Web: 攻 撃 対 象 の 選 定 5-2. Web:システム 情 報 の 収 集 5-3. Web: 脆 弱 性 を 悪 用 した 攻 撃 5-4. Web: 攻 撃 成 功 後 の 行 動 6-1. ユーザ/ 端 末 への 攻 撃 6-2. かんたんログインへの 攻 撃 6-3. ソーシャルエンジニアリング 第 7 章 セキュリティホールが 作 りこまれる 理 由 7-1. サイト 構 築 のフェーズ 7-2. 設 計 7-3. 開 発 7-4. 導 入 7-5. 運 用 STEP1 理 解 度 テスト 課 題 1 課 題 2 課 題 3 課 題 3 発 表
Copyright 2012 NTT DATA INTELLILINK CORPORATION 10 2. ステップ2 - Webサイトへの 攻 撃 手 法
Copyright 2012 NTT DATA INTELLILINK CORPORATION 11 2-1. ステップ2の 到 達 目 標 ステップ2の 到 達 目 標 1 WEBサイトへの 攻 撃 手 法 を 理 解 する ネットワークからアプリケーションレイヤまでの 攻 撃 手 法 につ いて 理 解 します 2 WEBサイトへの 攻 撃 手 順 を 理 解 する 攻 撃 者 視 点 による 調 査 フェーズから 侵 入 フェーズにいたる 一 連 の 攻 撃 手 順 とその 対 策 について 理 解 します 3 不 正 アクセスの 影 響 被 害 を 理 解 する 不 正 アクセスに 対 する 影 響 や 被 害 について 理 解 します ステップ2では 攻 撃 者 が 使 用 するツールを 利 用 し 調 査 フェーズから 侵 入 フェーズにいたる 一 連 の 手 順 について ネットワークレイヤからアプリケーションレイヤまでの 攻 撃 手 法 および その 対 策 方 法 について 網 羅 的 に 理 解 することを 目 標 とします
Copyright 2012 NTT DATA INTELLILINK CORPORATION 12 2-2. ステップ2 研 修 イメージ 教 材 内 容 Webサイトに 対 する 攻 撃 手 法 の 学 習 を 通 じて 発 生 しうる 被 害 攻 撃 を 可 能 にする 脆 弱 性 およびその 対 策 方 法 に ついて 詳 細 に 学 びます 講 義 形 式 教 材 による 座 学 攻 撃 のデモンストレーション 研 修 環 境 でのハンズオン 理 解 度 テスト ボリューム 1.5 日 程 度
Copyright 2012 NTT DATA INTELLILINK CORPORATION 13 2-2. ステップ3 目 次 第 1 章 インシデントの 原 因 となる 脆 弱 性 第 2 章 Webサイトの 攻 撃 手 順 第 3 章 攻 撃 ツールの 種 類 と 使 い 方 第 4 章 Webサイトの 脆 弱 性 を 狙 った 代 表 的 な 攻 撃 手 法 対 策 方 法 被 害 事 例 STEP2 理 解 度 テスト 1-1. インシデントの 原 因 となる 脆 弱 性 2-1. サイト 構 成 の 把 握 (クロール) 2-2. アプリケーションに 関 する 情 報 収 集 2-3. 攻 撃 3-1. 攻 撃 ツールの 種 類 と 使 い 方 3-2. HTTP 通 信 3-3. BurpProxy 説 明 4-1. SQLインジェクション 攻 撃 4-2. OSコマンドインジェクション 攻 撃 4-3. クロスサイトスクリプティング 攻 撃 4-4. クロスサイトリクエストフォージェリ 攻 撃 4-5. セッションフィクセーション 攻 撃 4-6. アクセス 制 御 の 回 避 攻 撃 4-7. ディレクトリトラバーサル 攻 撃 4-8. レスポンスヘッダインジェクション 攻 撃 4-9. 任 意 のサイトへリダイレクト 攻 撃 4-10. 強 制 ブラウジング 攻 撃 4-11. その 他 の 攻 撃 4-12. 診 断 における 事 例 解 説 課 題 A 課 題 B 課 題 B 発 表
Copyright 2012 NTT DATA INTELLILINK CORPORATION 14 3. ステップ3 - Webサイトへの 検 査 手 法
Copyright 2012 NTT DATA INTELLILINK CORPORATION 15 3-1. ステップ3 到 達 目 標 ステップ3の 到 達 目 標 1 セキュリティ 検 査 の 評 価 項 目 を 理 解 する セキュリティ 検 査 を 実 施 する 場 合 に 使 用 する 評 価 項 目 の 意 図 や 優 先 順 位 について 理 解 します 2 脆 弱 性 の 有 無 についての 判 断 基 準 を 理 解 する セキュリティ 検 査 を 実 施 した 場 合 に どのような 基 準 で 脆 弱 性 と 判 断 するかを 理 解 します 3 Webサイト 構 築 におけるセキュリ ティ 対 策 の 考 え 方 を 理 解 する セキュアなWebサイトを 構 築 するために 必 要 となる セキュリ ティ 対 策 の 考 え 方 を 理 解 します ステップ3では セキュリティ 検 査 の 手 法 および 考 え 方 を 中 心 に 習 得 していただき ステップ1 ステップ 2に 学 習 した 内 容 を 合 わせ システム 開 発 の 際 に 検 討 する 必 要 のあるセキュリティ 要 求 事 項 を 理 解 します
Copyright 2012 NTT DATA INTELLILINK CORPORATION 16 3-2. ステップ3 研 修 イメージ 教 材 内 容 Webサイトに 対 する 検 査 手 法 の 学 習 を 通 じて 脆 弱 性 の 判 定 方 法 正 しい 対 策 の 取 り 方 Webサイト 構 築 における セキュリティ 上 の 推 奨 事 項 などを 学 びます 講 義 形 式 教 材 による 座 学 攻 撃 のデモンストレーション 研 修 環 境 でのハンズオン 理 解 度 テスト ボリューム 1.5 日 程 度
Copyright 2012 NTT DATA INTELLILINK CORPORATION 17 3-3. ステップ3 目 次 第 1 章 セキュリティ 検 査 の 概 要 第 2 章 セキュリティ 検 査 の 手 法 第 3 章 セキュリティ 検 査 における 評 価 項 目 と 判 断 基 準 第 4 章 Webサイト 構 築 におけるセキュリティ 対 策 の 考 え 方 STEP3 理 解 度 テスト 1-1. セキュリティ 検 査 とは 1-2. セキュリティ 検 査 の 流 れ 2-1. ブラックボックス 検 査 とホワイトボックス 検 査 2-2. ツール 検 査 とマニュアル 検 査 2-3. 手 法 ごとのメリット/ デメリット 3-0. 検 査 項 目 一 覽 3-1. セッション 管 理 3-2. 認 証 / 認 可 3-3. パラメータ 操 作 3-4. ユーザ 管 理 3-5. 暗 号 3-6. 情 報 3-7. 画 面 設 計 3-8. サーバ 設 定 3-9. ロジック 流 出 3-10. その 他 4-1. セキュリティ 対 策 の 原 則 課 題 課 題 発 表
Copyright 2012 NTT DATA INTELLILINK CORPORATION 18 4. 研 修 構 成 および 価 格
Copyright 2012 NTT DATA INTELLILINK CORPORATION 19 4-1. 研 修 構 成 および 価 格 項 目 形 式 Aコース Bコース Cコース Dコース ボリューム ステップ1 サイバーセキュリティ 概 論 ステップ2 Webサイトへの 攻 撃 手 法 ステップ3 Webサイトへの 検 査 手 法 価 格 ( 税 抜 ) 20 名 様 まで 座 学 デモ 1.0 日 理 解 度 テスト - 0.5 日 座 学 - - デモ - - ハンズオン - - 1.0 日 理 解 度 テスト - - 0.5 日 座 学 - - - デモ - - - ハンズオン - - - 1.0 日 理 解 度 テスト - - - 0.5 日 180 万 円 280 万 円 380 万 円 480 万 円 以 降 追 加 5 名 様 まで 毎 に 25 万 円 50 万 円 75 万 円 100 万 円 会 場 は 弊 社 の 月 島 セミナールームのほか 貴 社 ご 用 意 の 会 場 でも 承 ります 用 意 する 物 品 時 間 帯 の 調 整 など 詳 細 は 別 途 ご 相 談 ください
Copyright 2012 NTT DATA INTELLILINK CORPORATION 20 お 問 い 合 わせ NTTデータ 先 端 技 術 株 式 会 社 プラットフォーム 事 業 部 企 画 担 当 研 修 コンサルティンググループ TEL: 03-5843-6845 Mail: itil-info@intellilink.co.jp