サイバーセキュリティ関連

AWSサービスによるセキュティ管理実践コース

コース名:AWSサービスによるセキュティ管理実践コース
受講期間:3か月(91日)
標準学習時間:4時間(内、ビデオ聴講時間2.6時間、クイズ回答、参考資料の学習時間を含む)
コース修了条件:各種クイズの正解率 70%(修了証書のCPE時間は、上記標準時間となります)
1.コース概要 昨今クラウドの活用が急増し、そのセキュリティの重要性も増しております。世界及び日本におけるクラウドサービスの中で、AWSは最もシェアが高いサービスです。本コースは、NIST CFSを参考に、AWSのセキュリティ関連のネイティブサービス(AWSが提供する各種サービス)の機能と実運用について学ぶコースです。座学的なことよりも、実務を行う上での重要なポイントに視点をおいたコースになっております。

2.コースの目的 

 ・NIST CFSにもとづいた各種AWSネイティブサービスの概要の理解
・主なセキュリティに係るネイティブサービスの機能の理解
・ネイティブサービスを利用したAWSのセキュリティ管理運用上のポイントの理解
3.受講対象者 ・AWSアカウントの管理者
・AWSセキュリティを基礎から学びたい方
・クラウドを対象とする内部監査担当者
・リスク管理担当者
・会計監査人等
4.受講の前提知識 ・IPS、FW、WAF等のセキュリティ機器の機能についての概略の理解
・セキュリティの脆弱性についての概略の理解
・基本情報技術者試験合格レベルの知識
5.注意事項 ・Q&Aについて
本コースではクラウドセキュリティに関しての知見を一般向けに解説したものになります。講師及び受講者の所属組織の業務や就業環境への関連性の高い質問、その他プライベートな質問については、回答いたしかねますのでご了承ください。
6.講師 関 優也
(ユーザ系企業にてセキュリティエンジニアとして従事。PCIDSSシステムの構築・運用・監査やSOCの構築に加え、24/7のインシデント対応、フォレンジック等を担当。またパブリッククラウドの脅威検知対応も行う。)
7.カリキュラム コース コース概要のご紹介
1. NIST CSFとネイティブサービスについて
2.セキュリティに係る主なAWSネイティブサービスの機能と運用上の管理ポイント
 1.識別
   1.Amazon Inspector
   2.AWS Config
 2.防御
   1.AWS WAF(Web Application Firewall)
   2.AWS Shield
   3.AWS Key Management Service(KMS)
   4.VPC(Amazon Virtual Private Cloud)
   5.VPC Flow Log
   6.AWS Network Firewall(FW)
   7.IAM(AWS Identity and Access Management)
 3.検知・対応
   1.Amazon GuardDuty
   2.Amazon Detective
   3.Amazon CloudWatch
   4.AWS CloudTrail
3.まとめ

SOCサービス導入実践コース

コース名:SOCサービス導入実践コース

受講期間:3か月(91日)

標準学習時間:3時間

(内、ビデオ聴講時間 2.1時間、理解度確認クイズ回答、参考資料学習時間を含む)

コース修了条件:各種クイズの正解率 70%以上

(修了証書のCPE時間は、上記標準時間となります)

1.コース概要

 現代の企業は、サイバー攻撃のリスクに常に晒されています。これらのリスクに迅速かつ効果的に対応するためには、SOC(セキュリティオペレーションセンター)サービスの利用が効果的です。このコースでは、SOCサービスの全体像を理解し、セキュリティの重要性とSOCサービスの役割を深く把握します。24時間365日の監視体制、運用モデルの選択、メリット、リスクと課題、効果的なセキュリティ対策の実装方法を学び、SOCサービス事業者の選定から実際の運用に至るまで、実践的な知識とスキルの習得を目指します。

2.コースの目的

・SOCサービスの導入と運用に関する実践的な知識とスキルの習得

24時間365日の監視体制や運用モデルの選択基準の理解

SOCサービスのメリットとリスク、効果的なセキュリティ対策の実装方法の理解

SOCサービス事業者の選定から実際の運用プロセスの理解

自社のセキュリティ体制の評価方法の学習

3.受講対象者

セキュリティ責任者およびマネージャー

ITプロフェッショナル

経営層および意思決定者

4.受講の前提知識

基本的な情報セキュリティの知識(ネットワークセキュリティの基礎、サイバー攻撃の種類と対策)

報セキュリティポリシーの概念の理解

SOCセキュリティオペレーションセンター)やMSS(マネージドセキュリティサービス)の基本的な役割についての知識

5.講師

伊藤秀明

国内通信事業者のSOCにて、SOC運営業務、セキュリティ監視やインシデントレスポンスに従事。現在はインターネットサービス企業でセキュリティ企画のプロジェクトマネージャーを担当。その他、私立病院のITシステムアドバイザー、国立大学の非常勤講師、社内向けセキュリティ教育資料の作成など、専門知識の普及に努めている。

5.注意事項

・受講者の業務内容に深く関わるご質問には回答しかねる場合があります

6.カリキュラム

(コースの目次と同じ)

 

1.    SOCサービスとは

2.    SOCサービスのメリット

3.    SOCサービスのデメリット

4.    SOCサービス事業者の選定ポイント

5.    SOCサービス契約前に準備しておくこと

6.    SOCサービス契約後に行うこと

7.    自社で継続的に行うべきこと

8.    まとめ

Webシステムの脆弱性診断実践コース

コース名:Webシステムの脆弱性診断実践コース

受講期間:3か月(91日)

標準学習時間:5時間(内、ビデオ聴講時間2.7時間、ビデオのデモに基づく受講者による脆弱性診断の実習、理解度確認テスト回答、参考資料学習時間を含む)

コース修了条件:各種クイズの正解率 70%以上

(修了証書のCPE時間は、上記標準時間となります)

1.コース概要

様々なサービスがInternetを介して提供されるようになり、WebやInternetといったICT技術は現代社会において重要な役割を果たしています。しかし、こうしたリモートでいつでも誰でもアクセスできる環境は、サイバー攻撃のターゲットになりやすく、毎年多くの攻撃事例や脆弱性が報告されています。

本コースでは、Webシステムの脆弱性診断について、Webシステムの基本動作から4つの代表的な攻撃手法(CSRF、メールヘッダインジェクション、ディレクトリトラバーサル、オープンリダイレクト)と対策方法まで、攻撃デモを交えながら詳細に解説いたします。

2.コースの目的

Webシステムにおける脆弱性診断の観点で、代表的な4つの攻撃についてその仕組みと対策方法が理解できるようになること

3.受講対象者

・Webシステムにおけるセキュリティの知見を深めたい方

4.受講の前提知識

Webに関する基礎知識

Windows環境でのコマンドプロンプト操作の基礎知識

5.講師

権田 陽彦

(国内一般企業において社内開発製品及び社外製品のセキュリティテストに従事)

6.注意事項

Q&Aについて

本講座ではWebシステムにおける脆弱性診断に関しての知見を一般向けに解説したものになります。講師及び受講者の所属組織の業務や就業環境への関連性の高い質問には回答いたしかねますのでご了承ください。 

・本講義で学んだ技術の悪用禁止

使用者の許可なくデバイスやシステム等に脆弱性診断手法の使用を絶対に行わないでください。

7.カリキュラム

 

1    Webシステムとは

Webシステムの構成

Webシステムに対する脆弱性診断

2    脆弱性診断環境の構築

やられサーバの意義

Dockerを用いた環境構築方法

3    ターゲットの環境構築

Burpについて

Burpを用いたテスト環境の構築方法

4    攻撃① CSRF

CSRFについて

EasyBuggyにおける攻撃とその対策

5    攻撃② メールヘッダインジェクション

メールヘッダインジェクションについて

EasyBuggyにおける攻撃とその対策

6    攻撃③ ディレクトリトラバーサル

ディレクトリトラバーサルについて

EasyBuggyにおける攻撃とその対策

7    攻撃④ オープンリダイレクト

オープンリダイレクトについて

EasyBuggyにおける攻撃とその対策

8    まとめ

9    参考資料一覧

無線の脆弱性診断実践コース

コース名:無線の脆弱性診断実践コース

受講期間:3か月(91日)

標準学習時間:3時間

(内、ビデオ聴講時間1.8時間、理解度確認テスト回答、参考資料学習時間を含む)

コース修了条件:各種クイズの正解率 70%以上

(修了証書のCPE時間は、上記標準時間となります)

1.コース概要

無線通信技術は現代社会において重要な役割を果たしています。特にWi-Fiは、様々な機器において搭載されています。しかし、こうした無線通信は物理的な侵入を必要としないため、攻撃のターゲットになりやすいとされています。これまでに多くの攻撃事例や脆弱性が報告されています。

本コースでは、無線の脆弱性診断について、Wi-Fiの基礎知識から最新のセキュリティ方式や攻撃手法まで、攻撃デモや診断事例を交えながら詳細に解説いたします。

2.コースの目的

無線LAN(Wi-Fi)における脆弱性診断の観点を理解し実践できるようになること

3.受講対象者

・  Wi-Fiセキュリティの知見を深めたい方、テスター、開発者

・ LinuxやWiresharkを使用してネットワーク解析を行った経験がある方

4.受講の前提知識

・ネットワークに関する基礎知識

・ Wi-Fiに関する基礎知識

・Linux環境でのターミナル(端末)の操作の基礎知識

5.講師

権田 陽彦

(国内一般企業において社内開発製品及び社外製品のセキュリティテストに従事)

6.注意事項

・Q&Aについて

本講座では無線(特にWi-Fi)における脆弱性診断に関しての知見を一般向けに解説したものになります。講師及び受講者の所属組織の業務や就業環境への関連性の高い質問には回答いたしかねますのでご了承ください。

 

・本講義で学んだ技術の悪用禁止

使用者の許可なくデバイスやシステム等に脆弱性診断またはその一部を絶対に行わないでください。使用者の許可を得た場合や個人の所有物であっても、攻撃が周囲のデバイスに影響を及ぼす可能性があるため、遮蔽環境で行うようにして下さい。

7.カリキュラム

 

1    無線LANについて

・無線LAN規格とその歩み

・Wi-Fiの通信シーケンス

2    セキュリティ方式

・代表的なWi-Fiのセキュリティ方式

・脆弱性診断におけるセキュリティ方式の基準例

3    キャプチャ環境構築

・ 無線通信モードの解説

・MonitorモードにおけるWi-Fi通信の確認手法

4    キャプチャの実践

・Monitorモードにおけるパケットキャプチャ

・キャプチャデータの確認、及び復号化

5    Wi-Fiの攻撃事例

・WEP鍵の解読

・WPAにおける総当たり攻撃

6    無線の脆弱性診断①:セキュリティ方式の確認

・無線の脆弱性診断内容

・セキュリティ方式に関する診断例

7    無線の脆弱性診断②:DoS攻撃/Fuzzing

・無線の脆弱性診断内容

・セキュリティ方式に関する診断例

8    まとめ・参考資料一覧

ネットワークを介した 標的型攻撃基礎コース

コース名:ネットワークを介した標的型攻撃基礎コース

受講期間:3か月(91日)

標準学習時間:3.5時間

(内、ビデオ聴講時間1.9時間、理解度確認クイズ回答、参考資料学習時間を含む)

コース修了条件:各種クイズの正解率 70%以上

(修了証書のCPE時間は、上記標準時間となります)

1.コース概要

昨今、OSINTと呼ばれる偵察活動で得た情報を基に、ネットワーク攻撃を行うインシデントが増加しておりますが、そのような攻撃に備える人材の育成に資するため、本コースでは、ネットワークを介した標的型攻撃として、ShodanやZenmapを使用した「ネットワーク探索」、ARPポイズニングやDNSキャッシュポイズニングによる「通信制御」の攻撃、SYN Floodによる「DoS攻撃」の仕組み、対策方法について、各攻撃手法のデモも交えわかりやすく解説いたします。

2.コースの目的

・普段の業務では気づきにくいネットワークを介した攻撃を理解することにより、ファイアウォール、IPS/IDS、WAF、ネットワークの分離の整備状況の確認を行えるようにする。

・不要なサービスやシステムが存在する場合のリスクを理解することにより、システムの構築・運用・提供・使用にあたり、確認を行えるようにする。

3.受講対象者

お客様への提供サービスや自社のネットワークについての意思決定、監査、設計または実装を担う担当者

・CIO,CTO

・内部監査

・コンサルタント、エンジニア

・IT・セキュリティ担当、DX関連事業部担当

4.受講の前提知識

下記2つのサイアカのコースのカバーする内容に関する基礎知識を有するか、当該コースを事前修了していることを推奨

・ネットワーク基礎

・ネットワークセキュリティ基礎

5.講師

沼尻 尚騎(ぬまじり なおき)

スマートフォン・PC向けアプリケーション開発、情報システム室として社内システムの構築・運用を経て、情報セキュリティに関わるコンサルタントとして、ネットワークセキュリティ・Microsoft365のデータセキュリティの提案、支援ならびにPCI DSSに関わる監査業務に従事

・CISSP #652134

・CISA #21177758

・QSA #206-197

6.注意事項

・Q&Aについて

本コースではネットワークを介した標的型攻撃に関しての知識を一般向けに解説したものになります。講師及び受講者の所属組織の業務や就業環境への関連性の高い質問には回答いたしかねますのでご承知おきください。

7.カリキュラム

0         前提

0.1         情報、ネットワーク、システムで意識すること

0.2         本コースの学習する上での注意事項

1         ネットワーク探索

1.1         攻撃におけるゴール

1.2         攻撃のパターン・対象

1.3         攻撃方法Shodanを使用したネットワーク調査

1.4         対策方法Shodanを使用したネットワーク調査

1.5         攻撃方法TCP/UDPの解放ポートの調査

1.6         対策方法TCP/UDPの解放ポートの調査

2         通信制御

2.1         攻撃におけるゴール

2.2         攻撃のパターン・対象

2.3         攻撃方法ARPポイズニング・MAC偽装

2.4         対策方法ARPポイズニング・MAC偽装

2.5         攻撃方法DNSキャッシュポイズニング

2.6         対策方法DNSキャッシュポイズニング

3         DoS攻撃

3.1         攻撃におけるゴール

3.2         攻撃のパターン・対象

3.3         攻撃方法SYN Flood

3.4         対策方法SYN Flood

4         総括

4.1         対策とそれによって防ぐことが可能な攻撃方法のまとめ

4.2         最低限実施すべきことの優先順位

サイバーセキュリティのための Webアプリケーション基礎コース

コース名:サイバーセキュリティのためのWebアプリケーション基礎コース

受講期間:3か月(91日)

標準学習時間:3時間

(内、ビデオ聴講時間2.2時間、理解度確認クイズ回答、参考資料学習時間を含む)

コース修了条件:各種クイズの正解率 70%以上

(修了証書のCPE時間は、上記標準時間となります)
1.コース概要 ITが社会インフラの一部となっている現状において、Webアプリケーションは日常的に利用されています。本コースではWebアプリケーションに係るサイバー攻撃手法とその対策を理解する上で前提となるWebアプリケーションの仕組みに係る基礎知識(HTTP等)や、HTTPS、セキュアCookie、認証といったWebアプリケーションのセキュリティの基礎知識を学びます。
2.コースの目的 ・Webアプリケーションの動作の仕組みを学ぶ。

・Webアプリケーションセキュリティの基礎を学ぶ。
3.受講対象者 ・Webアプリケーションの開発をこれから始める方

・Webアプリケーションのセキュリティを初歩から学ばれたい方
4.受講の前提知識 ・TCP/IPに関する基礎知識
5.講師 氏家弘樹

IT企業にて、アプリケーション・インフラエンジニア、ITアーキテクトとして15年従事後、現在各種のIT系業務に携わる。

大手金融系クライアントのWebアプリケーション開発・運用に長年関与し、IT分野の専門学校においてWebアプリ、セキュリティ等の講師にも従事。
6.注意事項 ・Q&Aについて

本コースではWebアプリケーションに関しての知見を一般向けに解説したものになります。講師及び受講者の所属組織の業務や就業環境への関連性の高い質問には回答いたしかねますのでご承知おきください。
7.カリキュラム 1. Webアプリケーション基礎

1-1.Webアプリケーションとは

1-2.ネイティブアプリ

1-3.静的/動的コンテンツ

1-4.Webアプリケーションにおけるプログラミング言語

1-5.Web通信の仕組み

1-6.Webアプリケーションの仕組み

1-7.通信プロトコル

1-8.HTTPプロトコル

1-9.Webサーバとアプリケーションサーバ

1-10.Web・アプリケーションサーバのデモンストレーション

2.Webアプリケーションセキュリティ基礎

2-1.HTTPS

2-2.SSL運用上の注意点(一部)

2-3.Cookie

2-4.Webアプリケーションにおける認証

2-5.Webアプリケーションにおけるセキュリティ対策

2-6.インフラセキュリティ(一例)

サイバーインシデントレスポンスの実践的な計画・運用コース

コース名:サイバーインシデントレスポンスの実践的な計画・運用

受講期間:3か月(91日)

標準学習時間:5時間

(内、ビデオ聴講時間 3.7時間、理解度確認クイズ回答、参考資料学習時間を含む)

コース修了条件:各種クイズの正解率 70%以上

(修了証書のCPE時間は、上記標準時間となります)

1.コース概要

サイバー攻撃が大きな社会問題になっている中、サイバー攻撃を受けた企業等の対応について、激しく批判されることも起きています。

サイバー攻撃を受けた場合、初動対応や公表のしかたにより影響を最小限に抑えられる場合と甚大な被害に発展してしまう場合に大きく差が出ます。また、適切な対応のためには、平常時におけるドキュメントや体制整備、教育等の備えも重要です。

本コースでは、インシデントレスポンス(インシデント対応)の準備から発生時の対応、事後対応までを実践的に学習していただきます。

発生時の対応については、マルウェア感染、不正侵入、内部犯行など、ケースに応じた対応について解説しています。

2.コースの目的

・サイバー攻撃の動向と対策の実態を理解する。

・サイバーインシデントレスポンスの準備とCSIRTについて理解する。

・サイバーインシデント発生時の初動対応のポイントを習得する。

・サイバーインシデントレスポンスおよび事後対応の方法とポイントを習得する。

3.受講対象者

・セキュリティ管理者・担当者

・リスクマネジメント管理者・担当者

・CISO(Chief Information Security Officer)補佐

・総務部門、システム部門管理者・担当者

4.受講の前提知識

・ネットワーク、サーバー、サイバー攻撃等に関する基礎的な知識

5.講師

西山 博子(にしやま ひろこ)

20年以上にわたりインフラエンジニアとして通信事業者や大企業に常駐し、システム企画・構築・運用やセキュリティ対策に従事。

近年、CSIRT構築や情報セキュリティ関連規程・手順策定の主担当を務めるとともに、サイバー攻撃対策や実際のインシデントにも対応。その経験を活かし、2021年からIT系の講師として多数の企業や個人に講義をしている。情報処理安全確保支援士

6.注意事項

・Q&Aについて

本コースは、インシデントレスポンスに関しての知識を一般向けに解説したものになります。講師及び受講者の所属組織の業務や就業環境への関連性の高い質問や実際に発生したインシデントに関する質問には回答いたしかねますのでご承知おきください。

7.カリキュラム

 

1章 高度化・多様化するサイバー攻撃と対策状況

 1.1      サイバー攻撃の傾向と被害

 1.2      対策状況の実態

2章 サイバーインシデントレスポンス(IR)の準備と組織作り

 2.1      サイバーセキュリティとIR

 2.2      把握・確認しておくべき事項

 2.3      IRのための組織作りとCSIRT

 2.4      自組織に合ったCSIRTの構築

 2.5      組織と対象範囲の明確化

 2.6      ドキュメント整備のポイント

3章 サイバーインシデント発生時の初動対応

 3.1      インシデントの発見・検知

 3.2      初動対応(受付~情報整理~確認~トリアー    ジ)

 3.3      初動対応(報告・周知、体制整備) 

 3.4      初動対応の重要性 -事例に学ぶ-

4章 サイバーインシデントレスポンス(IR

 4.1      影響範囲等の確認と対応決定

 4.2      インシデント別 対応例

 4.3      封じ込め対応実施時の注意点

 4.4      復旧対応と確認・連絡

5章 インシデントの事後対応

 5.1      原因究明と影響調査

 5.2      インシデント管理(記録)と再発防止

 5.3      報告義務と情報公開

6章 まとめ

プライバシー影響評価の実践コース

コース名: プライバシー影響評価の実践

受講期間:91日

標準学習時間:3時間

(内 ビデオ聴講時間1.4時間、理解度確認クイズ回答、参考資料学習時間含む)

コース修了条件:各種クイズの正解率 70%以上

(修了証書のCPE時間は、上記標準時間となります。)

1.コース概要

個人情報がビジネスの重要な資産となり、国際的なフレームワークで保護する動きにある。例えばPrivacy by Design(計画的プライバシー対策 以下PbD)がある。PbDを具現化する手法の一つがプライバシー影響評価(Privacy Impact Assessment以下PIA)である。2017年にPIAに関する国際標準化規格ISO/IEC 29134(Guidelines for privacy impact assessment)が発行され、2021年5月には日本産業規格JIS X 9251が発行された。個人情報が経営資産として活用されている一方、個人情報を提供した個人が関与しない状態で、個人情報が利活用され、プライバシー侵害あるいは個人情報漏洩のリスクがある。PIAはこれらのリスクを解決する有効なツールである。本コースでは、PIAの具体的な実施手順を学習する。

2.コースの目的

個人情報を扱うシステムの構築あるいはビジネスを計画し、個人情報の適切な保護、個人情報の提供者への同意形成にプライバシー影響評価の実施 (Privacy Impact Assessment 以下PIA) を必要としている実施責任者および担当者に対し、国際標準規格ISO22307:2008およびISO/IEC29134:2017(JISX9251:2021)に準拠するPIAの具体的な手順の修得を目的とする。

1)  PIA実施の準備

2)  PIA評価の実施

3)  PIAの報告

3.受講対象者

•  PIAの実施責任者

•  PIAの実施担当者

4. 受講の前提知識

•  プライバシー影響評価の基礎、リスク分析手法のスキル

5.講師

瀬戸洋一

東京都立産業技術大学院大学 名誉教授

東京都立大学システムデザイン学部 非常勤講師

瀬戸技術士事務所 代表

(株)日立製作所 研究所、事業部で、セキュリティの研究開発、セキュリティビジネスに従事(1979〜2005)。産業技術大学院大学でセキュリティ、プライバシーの教育研究に従事(2005〜2020)。国際標準委員会国内委員会委員長、国家試験問題作成委員、法務省、経済産業省、個人情報保護委員会、自治体個人情報保護審議会などの委員を歴任。現在、プライバシーマーク審査会 会長

工学博士(慶大)、技術士(情報工学)、システム監査技術者、情報処理安全確保支援士、個人情報保護士、ISMS審査員補

6.注意事項

•  本コースの内容は、令和4年2月20日時点での法令、および、国際標準規格ISO22307:2008、ISO/IEC29134: 2017に基づいている。

•  コースの内容に関する質問に対しては、講師から回答しますが、具体的な案件対応についてのご質問については、別途コース外でのご相談とさせていただく。

•  本コースは実践編である。基礎的な知識を身につけたい方は、入門コースの受講を勧める。

7.カリキュラム

1.  プライバシー影響評価PIAの概要

2.   PIA実施の準備

3.   PIA評価の実施

4.   PIAの報告

本コースで紹介する成果物等のサンプルは、1.コース概要のご紹介のページに記載のリンクからダウンロードできます。

 

 

 

プライバシー影響評価の基礎コース

コース名: プライバシー影響評価の基礎コース

受講期間:91日

標準学習時間:2時間

(内 ビデオ聴講時間1時間、理解度確認クイズ回答、参考資料学習時間含む)

コース修了条件:各種クイズの正解率 70%以上

(修了証書のCPE時間は、上記標準時間となります。)

1.コース概要

個人情報がビジネスの重要な資産となり、国際的なフレームワークで保護する動きにある。例えばPrivacy by Design(計画的プライバシー対策 以下PbD)がある。PbDを具現化する手法の一つがプライバシー影響評価(Privacy Impact Assessment以下PIA)である。2017年にPIAに関する国際標準化規格ISO/IEC 29134(Guidelines for privacy impact assessment)が発行され、2021年5月には日本産業規格JIS X 9251が発行された。個人情報が経営資産として活用されている一方、個人の関わらない状態で、個人情報が利活用され、プライバシー侵害あるいは個人情報漏洩の危惧がある。PIAはこれらの問題を解決する有効なツールである。

本コースでは、PIAの定義、国内外の動向、PIAの実施手順概要を学習する。

2.コースの目的

個人情報を扱うビジネスを検討しているが、個人情報の適切な保護、個人情報の提供者への同意形成の方法に課題を抱えている組織の責任者および担当者に対し、国際的なフレームワークであるプライバシー影響評価(PIA)の要諦を理解することを目的とする。

・PIAの目的および効果を理解する

・PIAの海外動向を理解する

・PIA実施フレームワークおよび手順の概要を理解する

3.  受講対象者

・PIAの実施を検討している経営者、組織の長

・PIAの実施担当者

4.受講の前提知識

特になし

5.講師

瀬戸洋一

東京都立産業技術大学院大学 名誉教授

東京都立大学システムデザイン学部 非常勤講師

瀬戸技術士事務所 代表

(株)日立製作所 研究所、事業部で、セキュリティの研究開発、セキュリティビジネスに従事(1979〜2005)。産業技術大学院大学でセキュリティ、プライバシーの教育研究に従事(2005〜2020)。国際標準委員会国内委員会委員長、国家試験問題作成委員、法務省、経済産業省、個人情報保護委員会、自治体個人情報保護審議会などの委員を歴任。現在、プライバシーマーク審査会 会長

工学博士(慶大)、技術士(情報工学)、システム監査技術者、情報処理安全確保支援士、個人情報保護士、ISMS審査員補

6.  注意事項

・本コースの内容は、令和4年2月20日時点での法令情報、調査内容に基づいている。

・コースの内容に関する質問に対しては、講師から回答しますが、具体的な案件対応についてのご質問については、別途コース外でのご相談とさせていただく。

・本コースは基礎編である。実践的な技量を身につけたい方は、実践編コースの受講を勧める。

7.カリキュラム

1. 個人情報保護の状況および課題

2. ELSIとしてのPIA

3. PIAの国際標準化および海外、国内の動向

4. 具体的な手順

5. 日本におけるPIA実施の課題と対策

ウェブアプリケーションの標的型攻撃基礎コース

コース名:ウェブアプリケーションの標的型攻撃の基礎コース

受講期間:3か月(91日)

標準学習時間:3時間

(内、ビデオ聴講時間2時間、理解度確認クイズ回答、参考資料学習時間を含む)

コース修了条件:各種クイズの正解率 70%以上

(修了証書のCPE時間は、上記標準時間となります)

1.コース概要

昨今報道されているように、企業や行政機関をターゲットにしたサイバー攻撃が大きな社会問題になっています。その多くは、ウェブアプリケーションやサーバ、ネットワーク機器などに存在する脆弱性を突いた攻撃によるものです。

本コースでは、ウェブアプリケーションを狙った標的型攻撃について解説を行います。

代表的なウェブアプリケーションの脆弱性であるSQLインジェクションとクロスサイトスクリプティング(XSS)について、基本的な原理、具体的な攻撃手法、脆弱性の発生原因、ソフトウェア上の基本対策と運用面も含めた予備的対策について学習します。

攻撃手法と対策についてはサンプル環境のキャプチャや具体的な攻撃コマンド、実際のプログラムコードの抜粋などを示していますので、実践的な学習が可能です。

2.コースの目的

・ウェブアプリケーションの代表的な脆弱性とそれを利用した標的型攻撃の分類、影響について概要を理解する

・標的型攻撃の手法の中からSQLインジェクションとXSSについて攻撃手法と対策の詳細を理解する

3.受講対象者

・ウェブアプリケーションの設計・開発を行う技術者の方

・これからセキュリティ技術者を目指す方

4.受講の前提知識

HTTPの基本的な仕組みと一般的なHTMLタグの使い方

cookieの仕組み、利用方法

Webアプリケーションにおける一般的なセッション管理

Unix系またはLinuxOSの基礎

RDBMX及びSQL

PHPPerlなど一般的なWebアプリケーション開発言語

5.講師

西村 孝徳(にしむら たかのり)

SIerや大手ポータルサイト運営事業者でネットワーク系システムやWebアプリケーションの開発に従事した後、IT系企業でセキュリティ対策と社内情報システムの設計・運用に従事

・情報処理安全確保支援士(登録番号:021505

ITサービスマネージャ

・システム監査技術者

6.注意事項

Q&Aについて

本コースではWebアプリケーションの脆弱性に関しての知識を一般向けに解説したものになります。講師及び受講者の所属組織の業務や就業環境への関連性の高い質問には回答いたしかねますのでご承知おきください。

7.カリキュラム

 

1.      ウェブアプリケーションの脆弱性とは
1.1. 脆弱性とは何か
1.2. 脆弱性を利用した攻撃による被害
1.3. 脆弱性の発生原因
1.4. 本コースに関する補足

2.      SQLインジェクション
2.1. 概要
2.2. 攻撃手法① マルチプルステートメント
2.3. 攻撃手法② UNIONインジェクション
2.4. 攻撃手法③ エラーベースSQLインジェクション
2.5. 攻撃手法④ ブラインドSQLインジェクション
2.6. 発生原因
2.7. 対策

3.      クロスサイトスクリプティング
3.1. 概要
3.2. 攻撃手法① 反射型XSS
3.3. 攻撃手法② Stored XSS
3.4. 攻撃手法③ DOM-BASED XSS
3.5. 発生原因
3.6. 対策 

4.      まとめ