セキュリティ入門・設計コース テンプレートカタログ

• セキュリティ意識と設計テンプレート
• 言語固有のセキュリティの概要
• 標準にマッピングされた実践的な言語固有のコース

 

 

 

AI/LLMセキュリティ	AIによるコーディング AIを用いた脅威モデリング AIリスクの紹介 & 安全 OWASP Top 10 for Large Language Model(LLM)アプリケーション AIエージェントとそのプロトコル（MCP、A2A、ACP）
認証および承認プロトコル	OAuth 2.0 セキュリティ OAuth 2.0 を使用した API への安全なアクセス OAuth 2.0 を使用した API へのアクセスの安全な許可 OAuth 2.0 の高度なトピック 必須APIセキュリティ：認証と承認 SAMLセキュリティ
クラウドセキュリティ	DevSecOpsセキュリティ クラウドセキュリティの概要 OWASP トップ 10 CI/CD コンテナセキュリティ コンテナ化されたクラウドインフラストラクチャの安全な実装 アマゾン ウェブ サービス (AWS) の保護 Microsoft Azure のセキュリティ保護 Google Cloud Platform(GCP)の保護 Infrastructure as Code のセキュリティ保護
暗号化手法	開発者とアーキテクトのための暗号化の概要
データセキュリティ	データベース・セキュリティ データサイエンティストとアナリストのためのセキュリティ 安全なパスワード保管
組み込みセキュリティ	組み込みセキュリティの概要 高度な組み込みセキュリティ
業界固有のセキュリティ	オートモーティブセキュリティの紹介 金融サービス向けのセキュアな開発 医療向けのセキュアな開発
モノのインターネット	モノのインターネットのセキュリティ保護の概要 モノのインターネットのための安全な通信
モバイルセキュリティ	モバイルセキュリティの基礎
オープンソースとサプライチェーン	オープンソースソフトウェア(OSS) オープンソースのポリシーとリスク デジタルサプライチェーンの吟味
ペイメントカード業界(PCI)	PCI DSS v4.0 の概念とコンプライアンス
プライバシー	GDPRの概要 開発者とアーキテクトのための GPDR 開発およびプロジェクトマネージャーのためのGDPR CCPAの紹介
セキュアなソフトウェア設計	アーキテクチャ・リスク分析 リスクベースのセキュリティテスト戦略 セキュリティ要件 脅威モデリング
セキュリティ基盤	セキュリティ意識 101 ソフトウェアセキュリティの基礎 攻撃と防御 API の強化 アプリケーション・セキュリティ・テストの概要 ローコードおよびノーコード(LCNC) 非人間的アイデンティティ(NHI) HTML5セキュリティ入門 HTML5セキュリティのための防御的プログラミング

 

 

 

COBOLの	COBOLセキュリティの基礎 COBOLのディフェンシブプログラミング
iOSの	iOSの基礎 iOS用のセキュアプログラミング
アンドロイド	Androidのセキュリティ 高度なAndroidセキュリティ
Kubernetesのセキュリティ
最新の C/C++ セキュリティ
GOのためのセキュアプログラミング

 

 

CERT の推奨事項
MISRA(ミスラ)
NIS2 の
オワスプ	OWASP Top 10 Awareness の概要 OWASP Top 10 の詳細な認識 インジェクションの欠陥
OWASP認証プログラム	認定プログラムレベル1 - OWASP 1-5 認定プログラムレベル2 - OWASP 6-10 認定プログラムレベル3 - OWASP & SCW の推奨事項 認定プログラムレベル4 - ミッション & OWASP 1-5のハードチャレンジ 認定プログラムレベル5 - ミッション & OWASP 6-10の厳しい課題
PCI DSS v4.0 の推奨事項
Secure Code Warrior の推奨事項
「EO-Critical Software」EO 14028のセキュリティ対策

 

AI/LLM セキュリティ

AIを活用したコーディング

このコースでは、エンジニアが大規模言語モデル（LLM）の仕組みとコーディングへの活用方法を理解するのに役立ちます。セキュリティリスクや法的問題を回避しながら、コーディングにおいてAIを活用する最適な方法を学びます。

対象読者: アーキテクト、あらゆる分野のエンジニア、エンジニアリング マネージャー

このテンプレートで扱うトピック:

• 大規模言語モデルの仕組み
• コード記述時に AI を使用する際の潜在的な危険性
• セキュリティと法的落とし穴
• コード記述時に AI を使用する利点
• ベスト プラクティス
• ルールセットの使用
• バージョン管理の実践
• セキュアなコードレビュー

AIを用いた脅威モデリング

本コースでは、AIを活用した脅威モデリングの基礎を解説し、エンジニアがAIを用いて攻撃者の視点で思考し、不足しているセキュリティ要件を特定し、STRIDEや攻撃ツリーなどのフレームワークを適用する方法を学びます。このトピックでは、組織やIDEで既に利用可能な承認済みAIツールを活用し、脅威モデリングの考え方を日常的な設計レビューやコードレビューに組み込むための指針をエンジニアに提供します。

対象読者: アーキテクト、あらゆる分野のエンジニア、エンジニアリング マネージャー

このテンプレートで扱うトピック:

• AIを用いた脅威モデリング入門
• 設計レビュー
• 設計レビューデモ
• コードレビュー
• コードレビューデモ
• AIによる脅威モデリングの深堀り

AIリスク&入門

この初心者向けコースでは、開発者や技術専門家向けにAIリスクとセキュリティについて解説し、主要な概念、リスク評価、軽減戦略、レジリエンスについて解説します。また、AIガバナンスとアカウンタビリティについても重点的に取り上げます。

対象者: アーキテクト、エンジニア、エンジニアリング マネージャー、QA、プロダクト マネージャー、ビジネス アナリスト

このテンプレートで扱われるトピック:

• AI のリスク、セキュリティ、安全性、レジリエンスの基礎
• AI リスクの特定
• AI リスクの評価
• AI リスクの軽減
• AI のガバナンスと説明責任
• AI セキュリティのための技術的対策
• AI の信頼性の評価

大規模言語モデル（LLM）アプリケーション向け OWASP Top 10

このコースでは、2025年の大規模言語モデル（LLM）アプリケーション向け OWASP TOP 10 を解説します。トップ10の各項目の概念的な概要と、LLMアプリケーションに出現する主要な脆弱性の影響とリスクを学習者がより深く理解できるよう、インタラクティブなミッションを提供します。

対象読者: アーキテクト、エンジニア、エンジニアリング マネージャー

このテンプレートで扱われるトピック:

• 大規模言語モデルの仕組み
• 直接プロンプト インジェクション
• 間接プロンプト インジェクション
• 機密情報の漏洩
• サプライ チェーン
• データとモデルの汚染
• 不適切な出力処理
• 過剰なエージェンシー
• システム プロンプトの漏洩
• ベクトルと埋め込みの弱点
• 誤情報
• 無制限の消費

AIエージェントとそのプロトコル（MCP、A2A、ACP）

この概念的なコースでは、AIエージェントと、エージェント間の相互作用・協調・複雑なタスク実行を可能にする新興通信プロトコル（MCP、A2A、ACPを含む）を探求します。開発者は、エージェント通信における一般的な脆弱性、実用的なセキュリティ上の考慮事項、およびMCP、A2A、ACPプロトコル使用時のAIエージェント保護に関するベストプラクティスについて学びます。

対象読者: アーキテクト、エンジニア、エンジニアリング マネージャー

このテンプレートで扱われるトピック:

• AIエージェント入門

   

• エージェント通信プロトコル

   

• AIエージェントと通信プロトコルの脆弱性

   

• AIエージェントと通信プロトコルのベストプラクティス

 

認証および認可プロトコル

OAuth 2.0 セキュリティ

OAuth 2.0 は、API へのアクセスを保護するために広く使用されているフレームワークです。このコースでは、OAuth 2.0 の中核概念を紹介し、推奨されるフローを調査します。また、廃止されたフローについても簡単に説明し、よくあるセキュリティ上の落とし穴や誤解についても見ていきます。

対象読者: アーキテクト、エンジニア、エンジニアリング マネージャー

このテンプレートで扱うトピック:

• OAuth 2.0 の必要性
• OAuth 2.0 による委任アクセス
• OAuth 2.0 の権限付与タイプの概要
• 機密クライアントからの委任アクセス
• パブリック クライアントからの委任アクセス
• 長期委任アクセス
• よくある落とし穴と誤解
• OAuth 2.0 のまとめ

OAuth 2.0 を使用した API への安全なアクセス

このコースでは、OAuth 2.0 を使用してリモート API にアクセスする方法に焦点を当てます。クライアントの登録、さまざまなフロー、および追加のセキュリティに関する考慮事項を見ていきます。

聴衆： 建築家、エンジニア、エンジニアリングマネージャー

このテンプレートで取り上げられているトピック:

• 紹介
• クライアントアプリケーションの登録
• スコープと権限
• 認証コード付与フロー
• クライアント資格情報の付与フロー
• 更新トークン フロー
• トークンのセキュリティに関する推奨事項

OAuth 2.0 を使用した API へのアクセスの安全な許可

このコースでは、OAuth 2.0 を使用したバックエンド アプリケーションのアーキテクチャについて説明します。さまざまな種類のアクセストークンのセキュリティ特性を調査します。また、トークンのイントロスペクションの重要性と、そのデータを使用してアクセス制御の決定を行う方法についても見ていきます。

聴衆： 建築家、エンジニア、エンジニアリングマネージャー

このテンプレートで取り上げられているトピック:

• 紹介
• 認証、承認、OAuth 2.0
• さまざまなアクセストークンタイプ
• 受信アクセストークンの処理
• 明確に定義されたスコープを使用したアクセスの制限
• OAuth 2.0 を使用したアクセス制御の実装
• トークン処理の落とし穴とベストプラクティス

OAuth 2.0 の高度なトピック

OAuth 2.0 はまだ活発に開発されており、さまざまな複雑なデプロイ シナリオがサポートされています。このコースでは、OAuth 2.0 のほぼすべての側面のセキュリティを向上させる OAuth 2.0 のさまざまな補遺を調査します。

聴衆： 建築家、エンジニア、エンジニアリングマネージャー

このテンプレートで取り上げられているトピック:

• 紹介
• 強力なクライアント認証メカニズム
• クライアントベースのトークンの失効
• リソースインジケータの使用
• ベアラートークンの強化
• OAuth 2.0 アーキテクチャでの委任
• フローの初期化の強化
• 高度なスコープと同意
• OAuth 2.0 のまとめ

必須のAPIセキュリティ：認証と認可

このコースでは、APIセキュリティの基礎を網羅します。具体的には、認証、認可、OAuth 2.0、OpenID Connect、JSON Web Tokens（JWT）、アクセス制御モデル（RBACとABAC）、および一般的なセキュリティ上の落とし穴について学びます。

聴衆： 建築家、APIエンジニア、エンジニアリングマネージャー

このテンプレートで取り上げられているトピック:

• APIセキュリティ入門
• 認証の基礎
• OAuth 2.0とOpenID Connectの詳細解説
• JWTとトークンベース認証
• 認可制御の実装とよくある落とし穴
• 高度な認証メカニズム
• APIセキュリティ標準とプロトコル

SAMLセキュリティ

本コースでは、セキュリティアサーションマークアップ言語（SAML）について、その中核コンポーネント、シングルサインオンフロー、関係者のセキュリティ責任、およびOAuth 2.0やOpenID Connectといった現代技術との関係性を解説します。

聴衆：建築家、エンジニア、バックエンドエンジニア、APIエンジニア、エンジニアリングマネージャー

このテンプレートで取り上げられているトピック:

• SAML入門

• SAMLの概念的背景

• SAMLの長所と短所

• SAML構成要素の概要

• SAMLアサーション

• SAMLプロトコル、バインディング、プロファイル

• サービスプロバイダー向けSAML

• アイデンティティプロバイダー向けSAML

• SAMLセキュリティに関する考慮事項

• SAMLセキュリティのまとめ

 

クラウドセキュリティ

DevSecOpsセキュリティ

このコースでは、チームの役割、プロセスの変更、脅威モデリング、セキュリティテストツール、問題の修復、有効性を測定するためのメトリクスなど、DevSecOpsの基礎について説明します。

聴衆： アーキテクト、CI/CDエンジニア、クラウドエンジニア、エンジニア、エンジニアリングマネージャー

このテンプレートで取り上げられているトピック:

• DevSecOpsの概要
• DevSecOpsプログラムの構築
• DevSecOps プロセス
• DevSecOpsの実装
• DevSecOps の監視

クラウドセキュリティの概要

このコースでは、データ保護、ID管理、コンプライアンス、コンテナ化されたサーバーレス環境の保護に焦点を当てて、安全なクラウドインフラストラクチャについて説明します。参加者は、AWS、Azure、GCPの理論と実践的な例を通じて、進化する課題に対して安全なクラウドソリューションを設計し、維持するスキルを習得します。

聴衆： アーキテクト、クラウドエンジニア、QAエンジニア、エンジニアリングマネージャー

このテンプレートで取り上げられているトピック:

• クラウドコンピューティングとセキュリティの概要
• クラウドセキュリティの基本原則
• クラウドセキュリティリスクの管理
• IDおよびアクセス管理戦略
• クラウド内のデータの保護
• ネットワークセキュリティとセグメンテーション
• 監視、コンプライアンス、インシデント対応
• 高度なクラウドセキュリティプラクティス

OWASP トップ 10 CI/CD

このコースでは、不適切なアクセス管理、依存関係の乱用、パイプラインの汚染、資格情報の衛生状態の悪さなどの問題を含む、OWASP CI/CD の上位 10 のセキュリティ リスクについて説明します。また、安全でないシステム構成、サードパーティサービスのリスク、不十分なロギングにも対処します。

バリアント： GitHub Actions, Jenkins Declarative, Jenkins Scripted

聴衆： アーキテクト、CI/CDエンジニア、クラウドエンジニア、エンジニアリングマネージャー

このテンプレートで取り上げられているトピック:

• 不十分なフロー制御メカニズム
• 不適切な ID およびアクセス管理
• 依存関係チェーンの乱用
• ポイズニング パイプライン実行 (PPE)
• 不十分な PBAC (パイプラインベースのアクセス制御)
• 資格情報の衛生状態が不十分
• 安全でないシステム構成
• 第三者サービスの管理されていない使用
• 不適切なアーティファクトの整合性検証
• 不十分なログ記録と可視性

コンテナセキュリティ

このコースでは、コンテナセキュリティについて紹介します。コンテナアーキテクチャ、主なリスク、コンテナライフサイクル全体にわたるセキュリティ、および一般的なコンテナ技術のセキュリティ機能について扱います。

聴衆： アーキテクト、CI/CDエンジニア、エンジニア、エンジニアリングマネージャー、QAエンジニア

このテンプレートで取り上げられているトピック:

• コンテナ入門
• コンテナのリスク
• コンテナのセキュリティ対策
• コンテナ技術

コンテナ化されたクラウドインフラストラクチャの安全な実装

このコースでは、開発者のラップトップから本番環境にコンテナを安全に移行できる最新のクラウドインフラストラクチャを構築する方法の詳細に焦点を当てます。

Docker、Kubernetes 

聴衆： アーキテクト、CI/CDエンジニア、クラウドエンジニア、エンジニアリングマネージャー

このテンプレートで取り上げられているトピック: 

• Dockerバリアント
  • デプロイメントとコンテナ・オーケストレーション
  • コンテナのセキュリティ
  • コンテナのデプロイメント手法
  • DevSecOps パイプライン
• Kubernetesバリアント
  • デプロイメントとコンテナ・オーケストレーション
  • コンテナのデプロイメント手法
  • Kubernetes の概要
  • Kubernetesクラスタとネットワーキングの操作
  • Kubernetes のセキュリティに関する考慮事項
  • クラウドでのマネージド Kubernetes
  • DevSecOps パイプライン

アマゾン ウェブ サービスのセキュリティ保護

このコースでは、クラウドセキュリティ、コンプライアンス、インフラストラクチャとアプリケーションのセキュリティ、IDとデータの管理、インシデント対応など、AWSセキュリティの包括的な概要を説明します。

聴衆： アーキテクト、クラウドエンジニア、QAエンジニア、エンジニアリングマネージャー

このテンプレートで取り上げられているトピック:

• AWS セキュリティの概要
• コンプライアンスとガバナンス
• インフラストラクチャセキュリティの要点
• Webおよびアプリケーションのセキュリティ
• ID およびアクセス管理の基本
• データセキュリティの要点
• 監視とアラートの基礎
• インシデント対応と脅威検出

Microsoft Azure のセキュリティ保護

このコースでは、Microsoft Azureクラウドプラットフォーム上に構築およびデプロイされたソフトウェアのセキュリティ保護について詳しく説明します。Azure 固有の機能を使用して、アプリケーションの運用データが適切に保護および監視されるようにする方法について説明します。

聴衆： アーキテクト、クラウドエンジニア、QAエンジニア、エンジニアリングマネージャー

このテンプレートで取り上げられているトピック:

• Microsoft Azure の概要
• Azure のネットワーク セキュリティ
• ID およびアクセス管理
• データセキュリティと暗号化
• Azure Platform のセキュリティ機能
• Azure の監視とログ

Google Cloud Platform の保護

このコースでは、Google Cloud Platform で安全な環境を構築および運用する方法をガイドし、インフラストラクチャとデータを保護するためのセキュリティ機能とサービスについて説明します。最終的には、クラウドネイティブのアプリケーションやサービスをデプロイするための安全な GCP インフラストラクチャをセットアップできるようになります。

聴衆： アーキテクト、クラウドエンジニア、QAエンジニア、エンジニアリングマネージャー

このテンプレートで取り上げられているトピック:

• Google Cloud Platform(GCP)の概要
• GCP インフラストラクチャとネットワーク セキュリティ
• GCPでのIDおよびアクセス管理
• データセキュリティと暗号化
• セキュリティ管理
• ロギングとモニタリング

Infrastructure as Code(IaC)の保護

このコースでは、iOSオペレーティングシステムのアーキテクチャとセキュリティ機能から、アプリの開発とデプロイの複雑さまで、幅広いトピックを扱います。

聴衆： プラットフォームエンジニア、アーキテクト、およびIaCツールを使用するその他のエンジニアおよびエンジニアリングマネージャー

このテンプレートで取り上げられているトピック:

• IaCとセキュリティの概要
• IaCのコアコンセプト
• IaC ツールの概要
• IaCのセキュリティを深く掘り下げる
• IaC でのシークレット管理
• セキュリティに重点を置いたIaCのベストプラクティス
• CI/CD における IaC: セキュリティ上の懸念事項

 

暗号化手法

開発者とアーキテクトのための暗号化の概要

このコースでは、安全なアプリケーションやシステムの設計と開発に役立つ暗号化の基本を学習者に教えます。

聴衆： 建築家、エンジニア、エンジニアリングマネージャー

このテンプレートで取り上げられているトピック:

• 暗号化の基礎
• 暗号化
• 対称暗号化
• 非対称暗号化
• 暗号化ハッシュ関数
• メッセージ認証コード
• デジタル署名
• 実用的な暗号技術

 

データセキュリティ

データベース・セキュリティ

このコースでは、脅威とコンプライアンスの理解から、認証、暗号化、効果的な監視と監査の実装まで、データベースを保護するための重要な手順について説明します。

聴衆： アーキテクト、データサイエンティスト、データエンジニア、エンジニアリングマネージャー

このテンプレートで取り上げられているトピック:

• データベース・セキュリティの概要
• ガバナンスとコンプライアンス
• 認証とアクセス制御
• 暗号化
• 運用と監視
• 概要

データサイエンティストのためのセキュリティ & アナリスト

このコースでは、サイバーセキュリティ、データセキュリティ、高度なセキュリティ原則、データパイプラインセキュリティ、異常検出、SIEM、脅威インテリジェンス、安全なコーディングプラクティスなどの主要なトピックを扱います。

聴衆： データサイエンティスト、データエンジニア、データアナリスト、アーキテクト

このテンプレートで取り上げられているトピック:

• サイバーセキュリティ入門
• データセキュリティの基礎
• CIAのトライアドを超えて、現代の安全保障原則を活用
• データパイプラインのセキュリティ
• 異常検出のための機械学習
• セキュリティ情報およびイベント管理 (SIEM)
• 脅威インテリジェンスの基礎
• データサイエンスのためのセキュアコーディング

安全なパスワードの保管

このコースでは、進化するパスワード セキュリティの分野について深く掘り下げ、学習者を基本的な概念からユーザーの資格情報を保護するための高度な戦略まで導きます。

対象読者: 建築家、エンジニア、エンジニアリング マネージャー

このテンプレートで扱うトピック:

• パスワードの最新状況
• パスワード保存のニュアンスの理解
• 基本的なハッシュ関数を超えて
• パスワードのソルト化の科学と芸術
• 一方向関数: 新たなフロンティア
• セキュア ボールト サービスとハードウェア セキュリティ モジュール (HSM)
• 最新のパスワード保存メカニズムへの移行
• 最適なパスワード セキュリティ ブループリントの作成

 

組み込みセキュリティ

組み込みセキュリティ入門

このコースでは、組み込みセキュリティの包括的な概要を提供し、組み込みシステムの基礎、セキュリティの重要性、一般的なセキュリティ上の懸念、設計上の欠陥、ハードウェアの脆弱性、ネットワーク セキュリティ、物理セキュリティ、倫理的ハッキングなどの基本的なトピックをカバーしています。

対象読者: 組み込みシステムに携わる設計者、エンジニア、エンジニアリング マネージャー、および QA 担当者

このテンプレートで扱うトピック:

• 組み込みシステムの基礎
• 組み込みセキュリティの基礎
• 組み込みセキュリティに関する一般的な懸念事項
• ハードウェアの脆弱性
• 組み込みネットワーク セキュリティの概要
• 物理的およびハードウェア セキュリティの基礎
• 組み込みシステムの倫理的ハッキングとセキュリティ監査

高度な組み込みセキュリティ

このコースでは、組み込みシステムの高度なセキュリティ プラクティスを包括的に説明します。ハードウェアの制約に合わせた暗号化の基本から始まり、信頼できる実行環境とセキュアブートメカニズムを組み込んだ安全なアーキテクチャ設計へと進みます。

対象者: 組み込みシステムに携わる設計者、エンジニア、エンジニアリングマネージャー、および QA

このテンプレートでカバーされるトピック:

• 組み込みシステムのための暗号化
• 安全な組み込みアーキテクチャ設計
• 組み込みオペレーティングシステムの詳細な分析組み込みデバイスのための高度なネットワークセキュリティ
• 物理的およびハードウェアセキュリティ技術
• 高度なファームウェア攻撃に対する防御組み込みデバイスの侵入テストと倫理的ハッキング
• コンプライアンス、

 

業界固有のセキュリティ

自動車セキュリティ入門

このコースでは自動車セキュリティの概要を説明し、脅威、基礎、脅威モデル化、ISO 26262 を詳細に掘り下げた標準を網羅しています。また、車両のセキュリティ リスクを軽減するためのコーディング プラクティス、テスト、メンテナンスについても説明します。

対象者: アーキテクト、エンジニア、QA エンジニア、エンジニアリング マネージャー

このテンプレートで扱われるトピック:

• 自動車セキュリティ入門
• 自動車技術の基礎
• 自動車車両セキュリティ脅威モデリング
• セキュア設計原則
• 規制要件、標準、ガイドライン
• セキュアなソフトウェアおよびハードウェア開発
• セキュアなテストとメンテナンス

金融サービス向けの安全な開発

このコースでは、金融サービス分野向けのアプリケーションを構築するための現在のコンプライアンスの状況を紹介します。

対象者: アーキテクト、エンジニア、エンジニアリング マネージャー、QA、プロダクト マネージャー、ビジネス アナリスト

このテンプレートで扱われるトピック:

• 現代の規制環境の課題
• 金融サービスの規制状況の分析
• 認証、認可、アクセス制御
• データ プライバシー
• データ暗号化と整合性
• 運用セキュリティと監視

医療のための安全な開発

このコースでは、医療アプリケーションと医療機器ソフトウェアのコンプライアンスの状況を調査し、機密性の高い医療情報を保護するための法的要件とベストプラクティスに焦点を当てます。

対象者: アーキテクト、エンジニア、エンジニアリング マネージャー、QA、プロダクト マネージャー、ビジネス アナリスト

このテンプレートで扱われるトピック:

• 安全な医療アプリケーションの開発
• 医療業界における法令遵守
• 健康情報の保護
• 安全な医療アプリケーションの開発
• 医療機器のセキュリティ
• テストとインシデントへの対応

 

モノのインターネット

IoT（モノのインターネット）のセキュリティ対策入門

このコースでは、IoTの複雑さとセキュリティ上の課題、特にプライバシーと脆弱性について考察します。IoTベンダー、企業、そして消費者として、情報に基づいた意思決定を行うために必要な知識を提供します。

対象者: アーキテクト、エンジニア、エンジニアリング マネージャー、QA、プロダクト マネージャー、ビジネス アナリスト

このテンプレートで扱われるトピック:

• モノのインターネット (IoT) の概要
• IoT アーキテクチャ
• IoT 通信プロトコル
• IoT 脅威モデリング
• IoT セキュリティの懸念
• IoT 規制の懸念

モノのインターネットの安全な通信

このコースでは、モノのインターネット (IoT) における主要なセキュリティ上の課題と、実際の攻撃者がそれらを悪用するために使用する手法について説明します。コースの最後には、ベンダーと消費者の両方の観点から、安全な IoT 製品の開発とセキュリティ評価についてしっかりと理解できるようになります。

対象者: アーキテクト、エンジニア、エンジニアリング マネージャー、QA、プロダクト マネージャー、ビジネス アナリスト

このテンプレートで扱われるトピック:

• IoT レビュー
• IoT 通信セキュリティ
• IoT ファームウェア セキュリティ
• IoT 認証
• IoT モバイルおよび Web アプリケーション セキュリティ

 

モバイルセキュリティ

モバイルセキュリティの基礎

このコースでは、開発者がモバイル向けに開発する際に注意する必要があるリスクの概要を説明します。トピックには、モバイルプラットフォームとアプリケーション、データ保護リスク、ネットワーク通信の脅威、安全な構成とバイナリの強化、アプリケーションセキュリティテストが含まれます。

聴衆： アーキテクト、モバイルエンジニア、エンジニアリングマネージャー、QA、プロダクトマネージャー、ビジネスアナリスト

このテンプレートで取り上げられているトピック:

• モバイルプラットフォーム
• モバイルアプリケーション
• モバイルリスク
• ネットワーク通信リスク
• セキュアな構成とバイナリの強化
• モバイル・アプリケーション・セキュリティ・テスト

 

オープンソースとサプライチェーン

オープンソースソフトウェア(OSS)

このコースでは、オープンソースソフトウェア、その長所と短所、および関連するリスクを効果的に管理するための戦略について説明します。参加者は、顕著なOSSの脆弱性に関する実際のケーススタディを調査し、セキュリティリスクを軽減するための重要な教訓とベストプラクティスを理解します。

聴衆： 建築家、エンジニア、エンジニアリングマネージャー

このテンプレートで取り上げられているトピック:

• オープンソースソフトウェアの紹介
• オープンソースライセンス
• オープンソースライセンスの正しい使用
• OWASP Top 10 Risks for Open Source Softwareの概要
• 事例研究
• オープンソースソフトウェアのリスク管理
• オープンソースポリシーの構築

オープンソースのポリシーとリスク

このコースでは、主要なオープンソースライセンス、その義務、関連するセキュリティリスク、および組織全体での使用に関する企業ポリシーの構築手順について説明します。

聴衆： 建築家、エンジニア、エンジニアリングマネージャー、プロダクトマネージャー、ビジネスアナリスト

このテンプレートで取り上げられているトピック:

• オープンソースポリシーとそのリスクの紹介
• オープンソースライセンス
• オープンソースライセンスの正しい使用
• オープンソースソフトウェアのセキュリティリスク
• オープンソースポリシーの構築
• オープンソースポリシーとそのリスクの概要

デジタルサプライチェーンの審査

このコースでは、デジタルサプライチェーンセキュリティの進化する状況を探り、サードパーティリスク、SBOMとHBOM、および安全なサプライヤー関係をカバーします。また、セキュア コーディング、ガバナンス、および現代のサプライ チェーンにおける AI の役割の増大にも対処します。

聴衆： 建築家、エンジニア、エンジニアリングマネージャー、プロダクトマネージャー、ビジネスアナリスト

このテンプレートで取り上げられているトピック:

• デジタルサプライチェーンの舵取り:コンポーネントからリスクまで
• 安全なサプライチェーンの舵取り:リーダーシップと戦略
• 組織プロセスの合理化:サードパーティリスクを管理するための青写真
• 第三者情報セキュリティリスクに対処しながらセキュアな開発を実践
• デジタルサプライチェーンにおけるコンプライアンスとリスク管理
• AI関連のデジタルサプライチェーンの管理
• AI成熟度が低い企業向けAI関連サービス
• AIの成熟度が高い企業向けのAI関連サービス

 

ペイメントカード業界(PCI)

PCI DSS v4.0 の概念とコンプライアンス

この概念コースは、PCI DSS関連アプリケーションに取り組むすべての開発者向けのセキュリティトレーニングを目的としています。このコースでは、開発者向けの年間PCI DSSトレーニング要件について説明し、必要なトレーニングの提供に進みます。

聴衆： アーキテクト、エンジニア、エンジニアリングマネージャー、QA、プロダクトマネージャー、ビジネスアナリスト

このテンプレートで取り上げられているトピック:

• PCI DSS開発者トレーニングの紹介
• PCI DSS v4.0 要件 1 から 4
• PCI DSS v4.0 要件 5-12
• 実例
• PCI DSS 評価の準備

 

プライバシー

GDPRの概要

このコースでは、データ主体の権利とソフトウェア開発ライフサイクルに対するGDPRの影響に焦点を当てて、個人データの使用の原則、役割、および規制について説明します。

聴衆： アーキテクト、エンジニア、エンジニアリングマネージャー、QA、プロダクトマネージャー、ビジネスアナリスト

このテンプレートで取り上げられているトピック:

• GDPRとは何か、なぜそれが重要なのか
• タイムラインと注目すべき罰金
• GDPRにおける主な役割
• 個人データ
• 個人データの処理と保護に関するGDPRの原則
• データ保護とデータ侵害の概念
• データ主体の主な権利

開発者とアーキテクトのためのGDPR

この中級コースでは、ソフトウェア開発者とアーキテクト向けのGDPRの原則と要件について説明します。トピックには、同意の取得、個人データのアクセスと共有の管理、データ主体のアクセス要求、および国際的なデータ転送が含まれます。

聴衆： アーキテクト、エンジニア、データエンジニア、データサイエンティスト、エンジニアリングマネージャー

このテンプレートで取り上げられているトピック:

• 設計およびデフォルトによるデータ保護の原則
• プライバシー要件
• 個人データ
• 同意を得る
• 個人データの収集と処理
• お子様の個人データの収集
• 個人データへのアクセス
• 法執行機関との個人データの共有
• データのポータビリティと削除
• 匿名化と暗号化
• データ主体アクセス要求(DSAR)
• 国際データ転送(IDT)
• アクセス制御とロギング

開発およびプロジェクトマネージャーのためのGDPR

この中級コースでは、開発者とプロジェクトマネージャー向けのGDPRの原則について説明します。トピックには、設計によるデータ保護、データ主体の権利、設計と製造の要件、プライバシー影響評価、データ共有、国際転送が含まれます。

聴衆： 建築家、エンジニア、エンジニアリングマネージャー、プロダクトマネージャー、ビジネスアナリスト、プロジェクトマネージャー

このテンプレートで取り上げられているトピック:

• 設計およびデフォルトによるデータ保護の原則
• 個人データマッピングの実行
• データ主体の権利
• 設計要件
• データプライバシー影響評価(DPIA)
• 開発、テスト、および運用の要件
• 法執行機関との個人データの共有
• 国際データ転送(IDT)

CCPAの紹介

このコースでは、アプリケーションがCCPA(カリフォルニア州消費者プライバシー法)に準拠するために必要なすべてのガイドラインを提供します。消費者に提供する必要のある通知を詳しく説明し、それらを効果的に実装するためのプロセスの概要を示します。

聴衆： アーキテクト、エンジニア、エンジニアリングマネージャー、QA、プロダクトマネージャー、ビジネスアナリスト

このテンプレートで取り上げられているトピック:

• CCPAとは?
• 消費者の権利
• ビジネスの要件
• CCPAコンプライアンスへのロードマップ

 

セキュアなソフトウェア設計

アーキテクチャ・リスク分析

この概念コースでは、設計上の欠陥とそれらがシステム内にもたらすリスクを発見することを目的とした一連の手法であるアーキテクチャリスク分析(ARA)について説明します。このコースでは、設計レベルの欠陥を特定するために必要なスキルを学びます。

聴衆： 建築家、エンジニア、QAエンジニア、エンジニアリングマネージャー

このテンプレートで取り上げられているトピック:

• ARA の概要
• 設計上の欠陥とそれを見つける手法
• ARAの一言
• ARAにおけるダイアグラムとダイアグラムの役割
• ビジネスコンテキスト
• 依存関係の分析
• ARA の設計原則の適用
• 既知の攻撃分析
• ARA を SDL に適合させる

リスクベースのセキュリティテスト戦略

このコースでは、ソフトウェアシステムのセキュリティ体制を効果的に評価および強化するための方法論、ツール、およびベストプラクティスを包括的に理解します。学習者は、リスク評価、テスト計画、テスト設計、実行、およびレポート作成の主要な概念を探求します。

聴衆： エンジニア、QAエンジニア、エンジニアリングマネージャー

このテンプレートで取り上げられているトピック:

• リスクベースのセキュリティテストの概要
• 企業内のソフトウェアシステムにおけるリスクの特定
• リスク評価と優先順位付けの手法
• リスクベースのテスト計画、設計、実装
• テストの実行、評価、およびレポート
• リスクベースのセキュリティテストのためのツールと手法
• 継続的な改善と適応

セキュリティ要件

この概念コースでは、セキュリティ要件の収集、定義、および検証の方法論について説明します。参加者は、自分たちが何であるか、そして組織の目標に沿った実行可能なセキュリティ要件をどのように作成するかを学びます。

聴衆： アーキテクト、エンジニアリングマネージャー、プロダクトマネージャー、ビジネスアナリスト

このテンプレートで取り上げられているトピック:

• ソフトウェアセキュリティ要件の紹介
• 要件の収集と方法論
• セキュリティ要件の書き方
• セキュリティ要件の確認

脅威モデリング

このコースでは、参加者はソフトウェアシステムに対する潜在的な脅威を特定して軽減するための体系的な方法論を学びます。トピックには、システム アーキテクチャ、データ フロー、脅威の状況の理解、脅威モデリング ツールの適用が含まれます。

聴衆： 建築家、エンジニア、エンジニアリングマネージャー

このテンプレートで取り上げられているトピック:

• 脅威モデリングの概要
• 脅威モデリングの概要
• システムと環境を理解する
• 脅威モデリングの方法論
• S.T.R.I.D.E.
• 脅威モデリングツール
• 脅威モデリング手法の実装
• 脅威モデリングのケーススタディ

 

セキュリティ基盤

セキュリティ意識 101

この事前に入力された概念コースには、ソフトウェアセキュリティと最も一般的な脆弱性を学習者に紹介するように設計されたビデオ、ガイドライン、およびミッションが含まれています。これは、SDLC に非常に関連性の高い幅広いセキュリティ概念とトピックの優れた包括的な概要として機能します。

聴衆： アーキテクト、エンジニア、エンジニアリングマネージャー、QA、プロダクトマネージャー、ビジネスアナリスト

このテンプレートで取り上げられているトピック:

• アプリケーション・セキュリティの概念
  • 多層防御
  • オープンデザイン
  • 伐採
  • 堅牢なエラーチェック
  • フレームワークまたは言語での既存のセキュリティ制御の再利用
  • データ保護
  • 最小特権
  • デフォルトで保護
  • 入力を信頼しない
  • 安全にフェイル
• Webアプリケーションのセキュリティ
  • Cookieとセッションの詳細
  • ローカルストレージ
  • クライアント側のセキュリティ対策に関する課題
  • CSP、SOP、CORS
  • 不十分なデータエスケープ
  • HTTP ヘッダーが不適切または欠落している
  • 機能レベルのアクセス制御がありません
  • SQLインジェクション
  • 不適切な認証
  • パスワードのプレーンテキスト保存
• 脅威モデリング
  • 脅威モデリングの概要
  • 紹介
  • システムと環境を理解する
  • 方法
  • S.T.R.I.D.E.
  • 脅威モデリングツール
  • 脅威モデリング手法の実装
  • 脅威モデリングのワークフロー
• ソフトウェアセキュリティの基礎
  • ソフトウェア・セキュリティの概念の概要と概要
  • ソフトウェアセキュリティイニシアチブ(SSI)
  • ソフトウェア開発ライフサイクル (SDLC) と SSDLC
  • セキュアなコードレビュー
  • アプリケーションセキュリティテスト
  • SASTの概要
  • DASTの紹介
  • 侵入テストの概要
  • セキュリティ標準の概要
  • OWASPの紹介
  • OWASP ASVSの概要
  • SEI CERTコーディング標準の概要
• セキュリティ要件
  • ソフトウェアセキュリティ要件の紹介
  • 要件の収集と方法論
  • セキュリティ要件の書き方
  • セキュリティ要件の確認
• オープンソースソフトウェア
  • 紹介
  • OWASP Top 10 Risksの概要
  • 事例研究
  • オープンソースソフトウェアのリスク管理
• LLMの認識
  • コードを書くときにAIを使用する利点
  • コードを書くときにAIを使用することの潜在的な危険性

ソフトウェアセキュリティの基礎

この言語に依存しない概念コースでは、ソフトウェア開発ライフサイクル(SDLC)全体にわたる基本的なソフトウェアセキュリティの概念を紹介します。参加者は、Software Security Initiatives(SSI)の確立、安全なコードレビューの実施、およびアプリケーションセキュリティテストの実装について学びます。

聴衆： アーキテクト、エンジニア、エンジニアリングマネージャー、QA、プロダクトマネージャー、ビジネスアナリスト

このテンプレートで取り上げられているトピック:

• ソフトウェア・セキュリティの概念の概要と概要
• ソフトウェアセキュリティイニシアチブ(SSI)
• ソフトウェア開発ライフサイクル (SDLC) と SSDLC
• セキュアなコードレビュー
• アプリケーションセキュリティテスト
• SASTの概要
• DASTの紹介
• 侵入テストの概要
• セキュリティ標準の概要
• OWASPの紹介
• OWASP ASVSの概要
• SEI CERTコーディング標準の概要

攻撃と防御

この概念コースでは、攻撃者が現実世界で脆弱性を発見して悪用する方法の概要を説明し、強力な防御ラインを構築する方法に関するベスト プラクティスを提供します。

聴衆： 建築家、エンジニア、エンジニアリングマネージャー

このテンプレートで取り上げられているトピック:

• ダイヤモンド・アドバーサリー・モデル
• 攻撃者クアドラント、Advanced Persistent Threat(APT)グループ、および戦術、技術、手順(TTP)の実例
• サプライ チェーンの脆弱性とオープンソース ライブラリのテスト
• クラウドセキュリティとインフラストラクチャ保護
• セキュアなアーキテクチャ設計、セキュアな構成、管理、監視とアラート
• アプリケーションセキュリティの防御の良し悪しの例
• さらなる防御戦略とベストプラクティス

API の強化

このコースでは、攻撃者が攻撃的な手法を使用してAPIを標的にする方法と、これらの脅威に対抗するための防御的なセキュリティ対策を実装する方法について説明します。コースの終わりまでに、APIセキュリティを強化するための一連のベストプラクティスが開発されます。

聴衆： アーキテクト、APIエンジニア、バックエンドエンジニア、エンジニアリングマネージャー

このテンプレートで取り上げられているトピック:

• API の概要
• セキュリティにおけるクライアントの役割
• レート制限と不正使用防止の使用
• サーバーサイド リクエスト フォージェリ (SSRF) の軽減
• API の CORS のデプロイ
• API のセキュリティヘッダーの設定
• 結論:APIの強化

アプリケーション・セキュリティ・テストの概要

このコースでは、SAST、DAST、およびペネトレーションテストをカバーする、アプリケーションセキュリティテストの概要を説明します。主要なツール、手法、および結果を解釈してアプリケーションの脆弱性を特定して軽減する方法を学びます。

聴衆： あらゆるタイプのエンジニア、エンジニアリングマネージャー、プロダクトマネージャー

このテンプレートで取り上げられているトピック:

• アプリケーションセキュリティテスト
• SASTの概要
• DASTの紹介
• 侵入テストの概要

ローコードおよびノーコード(LCNC)

このコースでは、ノーコードとローコードプラットフォームの基礎を紹介し、その利点と制限に焦点を当てます。OWASP Low and No-Code Top 10 をカバーしており、ローコード開発とノーコード開発における主要なセキュリティリスクを特定して軽減するのに役立ちます。

聴衆： 建築家、エンジニア、エンジニアリングマネージャー、プロダクトマネージャー

このテンプレートで取り上げられているトピック:

• ローコードの概要
• ノーコード入門
• OWASP Low-Code/No-Code Top 10の概要

非人間的アイデンティティ(NHI)

OWASP Top 10 for Non-Human Identities (NHI) に関するこのコースでは、アプリケーション ID やマシンの資格情報など、NHI をソフトウェア システムに統合することに関連する最も重要なセキュリティ リスクについて概説します。

聴衆： アーキテクト、DevOpsエンジニア、プラットフォームエンジニア、クラウドエンジニア、バックエンドおよびAPIエンジニア、QAエンジニア、プロダクトマネージャー

このテンプレートで取り上げられているトピック:

• 不適切なオフボーディング
• シークレットリーク
• 脆弱な第三者NHI
• 安全でない認証
• 過度に特権的なNHI
• 安全でないクラウド展開構成
• 長期にわたる秘密
• 環境の分離
• NHIリユース
• NHIの人間による使用

 

HTML5セキュリティ入門

このコースでは、HTML5に焦点を当てたウェブセキュリティモデルを紹介し、一般的なブラウザ攻撃手法、固有の弱点、防御に活用できるセキュリティメカニズムを扱います。

聴衆:建築家、エンジニア、バックエンドエンジニア、フロントエンドエンジニア、モバイルエンジニア、エンジニアリングマネージャー

このテンプレートで取り上げられているトピック:

• 基盤となるセキュリティモデル
• iframeによる強力な分離
• コンテキスト間の通信
• タブナビゲーション攻撃、クリックジャッキング、UI改ざん
• HTML5フォームのセキュリティ
• 高度なインジェクション攻撃
• クライアントサイドストレージ機構

HTML5セキュリティのための防御的プログラミング

このコースでは、フロントエンド開発におけるセキュリティリスクを扱います。特に、DOM操作、JavaScriptおよびHTML5の機能、ブラウザのセキュリティメカニズム、防御的プログラミング技術、そして一般的なJavaScriptのソースとシンクに焦点を当てます。

聴衆:フロントエンドエンジニア、モバイルエンジニア、エンジニアリングマネージャー

このテンプレートで取り上げられているトピック:

• リスクの全体像
• ウェブのセキュリティモデル
• クライアントサイドデータストレージ
• ウェブメッセージング
• iframeのサンドボックス化
• コンテンツセキュリティポリシー（CSP）
• クロスオリジンリソース共有（CORS）の理解
• CORSによるウェブアプリケーションの保護
• 追加のHTML5機能
• まとめ

 

COBOLの

COBOLセキュリティの基礎

このコースでは、COBOLシステムのリスクを調査し、セキュリティの神話を否定し、脆弱性を調査します。セキュリティの問題を軽減するためのベスト プラクティスと戦略について説明します。

対応言語: COBOLメインフレーム

聴衆： 建築家、メインフレームエンジニア、エンジニアリングマネージャー

このテンプレートで取り上げられているトピック:

• COBOL の概要
• セキュリティ原則を理解する
• COBOLセキュリティの通説
• 一般的なCOBOLシステム資産とセキュリティへの影響
• 安全な入力検証とデータ表現
• 安全なデータベースアクセス
• 安全なロギングの実践
• セキュア・エラー処理

COBOLのディフェンシブプログラミング

このコースでは、セキュアなCOBOLアプリケーションを開発するための専門的な防御的プログラミング手法とベスト・プラクティスを探ります。トピックには、入力検証のための COBOL 固有の方法、セキュアなデータベース対話、堅牢なエラー処理、および適切なリソース同期が含まれます。

対応言語: COBOLメインフレーム

聴衆： 建築家、メインフレームエンジニア、エンジニアリングマネージャー

このテンプレートで取り上げられているトピック:

• 紹介
• 機密情報の取り扱い
• 認証と承認
• セキュアメモリ処理
• 暗号化と COBOL
• 一般的な脆弱性
• 時間と状態の問題
• セキュアな最新の統合

IOSの

iOSの基礎

このコースでは、iOSオペレーティングシステムのアーキテクチャとセキュリティ機能から、アプリの開発とデプロイの複雑さまで、幅広いトピックを扱います。

対応言語: Objective-C iOS SDK、Swift iOS SDK

聴衆： アーキテクト、モバイルエンジニア、エンジニアリングマネージャー、QAエンジニア

このテンプレートで取り上げられているトピック:

• iOSの紹介
• iOS アーキテクチャ
• 開発セキュリティの原則とアプリケーション構造
• 高度なiOS機能
• iOSのセキュリティ
• ジェイルブレイク、シングルクリック、ノークリックエクスプロイト
• iOSアプリの安全なデプロイと保守

iOS用のセキュアプログラミング

iOS アプリケーションのリスクを軽減するための防御的なプログラミング手法を、主要なプラットフォームのセキュリティ制御を効果的に使用することに焦点を当てて学習します。

対応言語:Objective-C iOS SDK、Swift iOS SDK

聴衆：建築家、モバイル エンジニア、エンジニアリング マネージャー

このテンプレートで取り上げられているトピック:

• セキュア開発の紹介
• セキュアな通信
• クライアント側インジェクション
• 認証
• 安全なストレージ
• バイナリ保護
• プロセス間通信

アンドロイド

Androidのセキュリティ

このコースでは、Androidオペレーティングシステムに組み込まれているセキュリティ機能と、ユーザーの保護に不十分な点について説明します。また、Android 開発者がアプリケーションとユーザー データを一般的な攻撃から保護するために使用する必要がある防御的なプログラミング手法にも焦点を当てています。

対応言語: Java Android SDK、Kotlin Android SDK

聴衆： 建築家、モバイルエンジニア、エンジニアリングマネージャー

このテンプレートで取り上げられているトピック:

• はじめに:Androidアプリのリスク
• Android APKの構造
• Android のセキュリティ モデル
• 権限の問題
• インテントの問題
• クライアント側コントロールの使用
• セキュアな通信

高度なAndroidセキュリティ

このコースでは、安全なネットワーク通信、シークレットの処理、認証の処理、アクセス許可の処理などのトピックについて説明します。すべての Android デベロッパーは、このコースに従って、最新の Android アプリケーションのセキュリティのベスト プラクティスについて学ぶ必要があります。

対応言語: Kotlin Android SDK

聴衆： 建築家、モバイルエンジニア、エンジニアリングマネージャー

このテンプレートで取り上げられているトピック:

• Android向けの安全なアプリケーション開発
• Kotlin での例外処理の強化
• 安全なネットワーク通信
• シークレットと機密データの取り扱い
• ローカル ユーザー認証
• API ベースのユーザー認証
• 安全なAPIアクセス
• Webコンテンツの取り扱い
• インテントの保護
• 権限の効果的な使用
• 結論

 

Kubernetesのセキュリティ

このコースでは、Kubernetesアーキテクチャの主要なコンポーネント、その攻撃対象領域、および関連するリスクを紹介します。ノードのセキュリティ、強化されたコンテナイメージ、ポッドのセキュリティ標準、ネットワークポリシー、監査ログをカバーすることで、攻撃対象領域を最小限に抑えることに重点を置いています。

対応言語: Kubernetes の

聴衆： プラットフォームエンジニア、CI/CDエンジニア、クラウドエンジニア、エンジニアリングマネージャー

このテンプレートで取り上げられているトピック:

• Kubernetes の概要
• インフラストラクチャのセキュリティ
• イメージのセキュリティ
• ランタイムセキュリティ
• ログ記録と監査

最新の C/C++ セキュリティ

このコースでは、セキュリティの観点からCの複雑さを探り、文字列処理、メモリ管理、整数オーバーフロー、フォーマット文字列攻撃などの主要な脆弱性と、それらを軽減するための戦略について説明します。

対応言語: C、C++

聴衆： エンジニア、エンジニアリングマネージャー

このテンプレートで取り上げられているトピック:

• 最新のセキュリティの概要
• データ型
• ストリングス
• インターフェイス、事前条件、事後条件
• メモリ安全性(Cバリアントのみ)
• 並行 処理
• 未定義の動作
• GNU C ライブラリ (C バリアントのみ)
• コンパイラ
• 自動防御
• コードレビュー

GOのためのセキュアプログラミング

このコースでは、Webインターフェイスのセキュリティ、同時実行性、セッション管理、暗号化、およびエラー処理に焦点を当て、一般的な脆弱性を防ぐための戦略を使用して、Goでの安全なプログラミングについて説明します。

対応言語: GOベーシック、GO API

聴衆： エンジニア、エンジニアリングマネージャー

このテンプレートで取り上げられているトピック:

• 紹介
• Web インターフェイス
• 並行 処理
• セッション管理とアクセス制御
• 暗号化手法
• エラー処理

 

CERT の推奨事項

このコースには、SEI CERTコーディング標準に基づくガイドラインと課題が事前に入力されています。

対応言語: C、C++

聴衆： エンジニア

このテンプレートで取り上げられているトピック:

• 宣言と初期化 (DCL)
• 式 (EXP)
• 整数 (INT)
• コンテナ(CTR)
• 文字と文字列 (STR)
• メモリ管理 (MEM)
• 入力出力(FIO)
• 例外とエラー処理 (ERR)
• オブジェクト指向プログラミング (OOP)
• コンカレンシー (CON)
• その他 (MSC)

MISRA(ミスラ)

このコースでは、MISRAコンプライアンスについて、決定可能性、タイプセーフ、未定義の動作に焦点を当てます。メモリの安全性に関するベスト プラクティスと、セキュア プログラミングでよくある落とし穴を回避するための戦略について説明します。

対応言語: C組み込み

聴衆： エンジニア

このテンプレートで取り上げられているトピック:

• MISRAの紹介
• 決定可能性
• タイプセーフティ
• 動作
• バッファオーバーフロー
• スタックオーバーフロー
• Null 逆参照
• ダブルフリー
• 初期化されていない変数
• 競合状態

NIS2 の

このNIS2トレーニングコースでは、サプライチェーンのセキュリティ、暗号化、暗号化、多要素認証などの実践的なトピックを取り上げています。また、ネットワークセキュリティ、リスク管理、インシデント処理、脆弱性管理などの重要な要件にも触れています。

聴衆： エンジニア

このテンプレートで取り上げられているトピック:

• サプライ チェーン セキュリティ (概念トピック)
  • オープンソースソフトウェアの紹介
  • オープンソースライセンス
  • オープンソースライセンスの正しい使用
    OWASP Top 10 Risks for Open Source Softwareの概要
  • 事例研究
  • オープンソースソフトウェアのリスク管理
• リスク評価と管理(概念トピック)
  • サイバーセキュリティリスクマネジメント対策
  • 脆弱性管理
• ネットワークセキュリティ、暗号化、多要素認証(実用的なトピック)
  • ネットワークセキュリティ
  • パスワードのプレーンテキスト保存
  • アルゴリズムの使用が弱い
  • 単一要素認証の使用
• ビジネス継続性とインシデント対応 (概念的なトピック)
  • 危機管理
  • インシデント対応
• リスク評価と管理: アーキテクチャ リスク分析 (概念トピック)
  • ARA の概要
  • 設計上の欠陥とその発見技術
  • ARAの一言
  • ダイアグラムの役割、ARAでのダイアグラム作成
  • ビジネスコンテキスト
  • 依存関係の分析
  • ARA の設計原則の適用
  • 既知の攻撃分析
  • ARA を SDL に適合させる
• リスク評価と管理:脅威モデリング(概念トピック)
  • 脅威モデリングの概要 & 紹介
  • システムと環境を理解する
  • S.T.R.I.D.E.
  • 脅威モデリングツール
  • 脅威モデリングの実践の実装
  • 脅威モデリングのワークフロー

オワスプ 

OWASP Top 10 Awareness の概要

このショートコースには、OWASP Top 10 for web languages (2021)、OWASP Top 10 for mobile languages (2016)、OWASP Top 10 for API languages (2023) に基づく課題があらかじめ用意されています

聴衆：エンジニア

このテンプレートで取り上げられているトピック:

• OWASP 1-5 脆弱性の選択
• OWASP 6-10 の脆弱性の選択

OWASP Top 10 の詳細な認識

このコースには、OWASP Top 10 for web languages (2021)、OWASP Top 10 for mobile languages (2016)、OWASP Top 10 for API languages (2023) に基づく課題があらかじめ用意されています。これら 3 つの OWASP リストに当てはまらない他の言語は、SCW の推奨言語に従います。

聴衆： エンジニア

このテンプレートで取り上げられているトピック:

すべてのトピックがすべての言語で利用可能または適用できるわけではありません。

• Web 言語 (OWASP Web Top 10 に続く)
  • A1 - アクセス制御の不備
  • A2 - 暗号化の失敗
  • A3 - インジェクション
  • A4 - 安全でない設計
  • A5 - セキュリティの設定ミス
  • A6 - 脆弱で古いコンポーネント
  • A7 - 識別と認証の失敗
  • A8 - ソフトウェアとデータの整合性の障害
  • A9 - セキュリティ ログと監視の失敗
  • A10 - サーバーサイド リクエスト フォージェリ (SSRF)
• API言語(OWASP API Top 10に準拠)
  • A1 - 壊れたオブジェクト レベルの認証
  • A2 - 認証が壊れています
  • A3 - 壊れたオブジェクト プロパティ レベルの承認
  • A4 - 無制限のリソース消費
  • A5 - 機能レベルの認証が壊れている
  • A6 - 機密性の高いビジネスフローへの無制限のアクセス
  • A7 - サーバーサイドリクエストフォージェリ
  • A8 - セキュリティの設定ミス
  • A9 - 不適切な在庫管理
  • A10 - API の安全でない消費
• モバイル言語(OWASP Mobile Top 10に続く)
  • M1 - 資格情報の不適切な使用
  • M2 - 不十分なサプライチェーンのセキュリティ
  • M3 - 安全でない認証/承認
  • M4 - 不十分な入力/出力検証
  • M5 - 安全でない通信
  • M6 - プライバシー管理が不十分
  • M7 - バイナリ保護が不十分
  • M8 - セキュリティの設定ミス
  • M9 - 安全でないデータストレージ
  • M10 - 不十分な暗号化

インジェクションの欠陥

このコースには、注入の欠陥に焦点を当てた課題があらかじめ用意されています

聴衆：エンジニア

このテンプレートで取り上げられているトピック:

すべてのトピックがすべての言語で利用可能または適用できるわけではありません。

• SQLインジェクション
• OSコマンドインジェクション
• メールインジェクション
• 信頼できないデータの逆シリアル化
• NoSQLインジェクション
• パストラバーサル
• コードインジェクション
• XML インジェクション
• LDAP インジェクション
• XPath インジェクション
• HTTP インジェクション

OWASP認証プログラム

認定プログラムレベル1

OWASPカテゴリ1から5の脆弱性をカバーする認定プログラムレベル1 - 初心者レベル。

聴衆： エンジニア

このテンプレートで取り上げられているトピック:

• A1 - アクセス制御の不備
• A2 - 暗号化の失敗
• A3 - インジェクション
• A4 - 安全でない設計
• A5 - セキュリティの設定ミス

認定プログラムレベル2

認定プログラム レベル 2 で、OWASP カテゴリ 1 から 5 の要約と、OWASP カテゴリ 6 から 10 の脆弱性 - 初心者レベルをカバーしています。

聴衆： エンジニア

このテンプレートで取り上げられているトピック:

• OWASP 1-5のまとめ
• A6 - 脆弱で古いコンポーネント
• A7 - 識別と認証の失敗
• A8 - ソフトウェアとデータの整合性の障害
• A9 - セキュリティ ログと監視の失敗
• A10 - サーバーサイド リクエスト フォージェリ (SSRF)

認定プログラムレベル3

認定プログラムレベル3、OWASPカテゴリー1から10の要約、および追加のSCW推奨カテゴリー-中級レベル。

聴衆： エンジニア

このテンプレートで取り上げられているトピック:

• OWASP 1-10 のまとめ
• SCW の推奨カテゴリ

認定プログラムレベル4

認定プログラムレベル4、OWASPカテゴリー1から5のミッションとハードチャレンジ-ハードレベル。

聴衆： エンジニア

このテンプレートで取り上げられているトピック:

• アクセス制御の解除
• 暗号化の失敗
• インジェクションの欠陥
• 安全でない設計
• セキュリティの設定ミス

認定プログラムレベル5

認定プログラムレベル5、OWASPカテゴリー6から10のミッションとハードチャレンジ-ハードレベル。

聴衆： エンジニア

このテンプレートで取り上げられているトピック:

• 脆弱で古いコンポーネント
• 識別と認証の失敗
• ソフトウェアとデータの整合性の障害
• セキュリティログと監視の失敗
• サーバーサイドリクエストフォージェリ(SSRF)

PCI DSS v4.0 の推奨事項

このコースには、PCI DSS v4 要件 (ソフトウェア開発の制御 2 から 8 および 10、4.3) に基づく課題が事前に入力されています & 4.7 モバイル用コントロール)。

聴衆： エンジニア

このテンプレートで取り上げられているトピック:

PCI DSS v4.0 のすべての要件がエンジニアに適用されるわけではありません。すべてのトピックがすべての言語で利用可能または適用できるわけではありません。

• 要件 2: 既定の設定に依存しない
• 要件 3: 保存されたアカウントとカード所有者のデータを保護する
• 要件4:支払いプロセスでカード所有者データを暗号化する
• 要件 5: マルウェア対策の改善と更新
• 要件 6: アプリを最新の状態に保ち、保守する
• 要件 7: カード会員データにアクセスできるユーザーを制限する
• 要件8:ユーザーを特定して認証する
• 要件 10: すべてのシステム アクセスをログに記録して監視する

Secure Code Warrior の推奨事項

このコースには、独自の推奨事項に基づいた課題があらかじめ用意されています。OWASPおよびPCI-DSS標準を考慮に入れていますが、最近出現した脆弱性のリストを完成させ、特定の言語またはフレームワークでの脆弱性の蔓延も考慮しています。

聴衆： エンジニア

このテンプレートで取り上げられているトピック:

• トピックは非常に多様で、SCWの専門知識とその言語に対する推奨事項に基づいて、言語の選択に応じてカスタマイズされています。

「EO-Critical Software」EO 14028のセキュリティ対策

2021年5月12日の大統領令(EO)14028「国家のサイバーセキュリティの改善に関する」の指示に従い、EOクリティカルなソフトウェアの使用に対するセキュリティ対策に関する米国国立標準技術研究所(NIST)のガイダンスに基づくコース。

聴衆： エンジニア

このテンプレートで取り上げられているトピック:

すべてのセキュリティ対策トピックが、すべてのエンジニアの専門分野またはすべての言語で利用可能または適用できるわけではありません。コースは言語によって大きく異なります。

• SM 1.1: すべてのユーザーと管理者に対して検証ツールのなりすましに強い多要素認証を使用する
• SM 1.3: ネットワークベースの管理のための特権アクセス管理の原則に従う
• SM 1.4: 必要に応じて境界保護技術を採用する
• SM 2.2: データとリソースに対するきめ細かなアクセス制御の使用
• SM 2.3: 保存データの保護
• SM 2.4: 転送中のデータの保護
• SM 3.2: パッチ管理の手法を使用する
• SM 3.3: 構成管理プラクティスを使用する
• SM 4.1: セキュリティイベントに関する必要な情報を記録するためのロギングの設定
• SM 4.2:セキュリティを継続的に監視する

 

関連リンク:

• コースの作成方法
• ガイドラインの概要