Menu

    セキュリティ入門・設計コース テンプレートカタログ

    Avatar
    Secure Code Warrior Elves
    • 更新
    フォローする

    以下のコーステンプレートは、「セキュリティ意識向上と設計」セクションでご利用いただけます。

     

     

    セキュリティ入門

    このコースは、ソフトウェアセキュリティと最も一般的な脆弱性について学習者に紹介するために設計された、ビデオ、ガイドライン、および、ミッションを含んでいます。このコースは、SDLC に非常に関連する、幅広いセキュリティの概念とトピックの優れた包括的な概要として機能します。

    対象者アーキテクト、エンジニア、エンジニアリングマネージャ、QA、プロダクトマネージャ、ビジネスアナリスト

    このテンプレートで扱うトピック

    • アプリケーション・セキュリティの概念
      • 深層防御
      • オープンデザイン
      • ロギング
      • 堅牢なエラーチェック
      • フレームワークや言語における既存のセキュリティ・コントロールの再利用
      • データ保護
      • 最小限の特権
      • デフォルトで安全
      • 無入力を信頼する
      • 安全に失敗する
    • ウェブアプリケーション・セキュリティ
      • クッキーとセッションの詳細
      • ローカルストレージ
      • クライアント側のセキュリティ対策の問題点
      • CSP、SOP、CORS
      • データ不足のエスケープ
      • HTTPヘッダーの不適切または欠落
      • 関数レベルのアクセス制御の欠落
      • SQLインジェクション
      • 不適切な認証
      • パスワードの平文保管
    • 脅威のモデリング
      • 脅威モデリングの概要
      • はじめに
      • システムと環境を理解する
      • 方法論
      • S.T.R.I.D.E.
      • 脅威モデリングツール
      • 脅威モデリングの実践
      • 脅威モデリングのワークフロー
    • ソフトウェア・セキュリティの基礎
      • はじめに
      • ソフトウェア・セキュリティ・イニシアティブ(SSI)
      • ソフトウェア開発ライフサイクル(SDLC)とSSDLC
      • アプリケーション・セキュリティ・テスト
      • セキュアコードレビュー
      • セキュリティ標準の紹介
      • OWASP入門
    • セキュリティ要件
      • ソフトウェア・セキュリティ要件の紹介
      • 要件収集と方法論
      • セキュリティ要求事項の書き方
      • セキュリティ要件の検証
    • オープンソース・ソフトウェア
      • はじめに
      • OWASPトップ10リスクの概要
      • ケーススタディ
      • オープンソースソフトウェアのリスク管理
    • LLMの認識
      • コードを書くときにAIを使う利点
      • コードを書く際にAIを使うことの潜在的危険性

     

    ソフトウェア・セキュリティの基礎

    このコースでは、言語にとらわれず、ソフトウェア開発ライフサイクル(SDLC)を通して基本的なソフトウェアセキュリティの概念を紹介します。受講者は、ソフトウェアセキュリティイニシアチブ(SSI)の確立、安全なコードレビューの実施、アプリケーションセキュリティテストの実施について学びます。

    対象者アーキテクト、エンジニア、エンジニアリングマネージャ、QA、プロダクトマネージャ、ビジネスアナリスト

    このテンプレートで扱うトピック

    • ソフトウェア・セキュリティの概念の紹介と概要
    • ソフトウェア・セキュリティへの取り組み(SSI)
    • ソフトウェア開発ライフサイクル(SDLC)とSSDLC
    • アプリケーション・セキュリティ・テスト
    • セキュアコードレビュー
    • セキュリティ標準の紹介
    • OWASP入門

     

    セキュリティ要件

    この概念的なコースでは、セキュリティ要件の収集、定義、検証の方法論について学ぶ。参加者は、セキュリティ要件とは何かを学び、組織の目標に沿った実用的なセキュリティ要件を作成する方法を学びます。

    対象者アーキテクト、エンジニアリングマネジャー、プロダクトマネジャー、ビジネスアナリスト

    このテンプレートで扱うトピック

    • ソフトウェア・セキュリティ要件の紹介
    • 要件収集と方法論
    • セキュリティ要求事項の書き方
    • セキュリティ要件の検証

     

    脅威のモデル化

    このコースでは、ソフトウェアシステムに対する潜在的な脅威を特定し、緩和するための体系的な方法論を学びます。トピックには、システムアーキテクチャ、データフロー、脅威ランドスケープの理解、脅威モデリングツールの適用が含まれます。

    対象者アーキテクト、エンジニア、エンジニアリングマネージャー

    このテンプレートで扱うトピック

    • 脅威モデリングの概要
    • 脅威モデリング入門
    • システムと環境の理解
    • 脅威モデリングの方法論
    • S.T.R.I.D.E.
    • 脅威モデリングツール
    • 脅威モデリングの実践
    • 脅威モデリングのケーススタディ


    オープンソースソフトウェア(OSS)

    このコースでは、オープンソースソフトウェア、その長所と短所、関連するリスクを効果的に管理するための戦略について説明します。参加者は、OSSの著名な脆弱性に関する実際のケーススタディを検証し、セキュリティリスクを軽減するための重要な教訓とベストプラクティスを理解します。

    対象者建築家、エンジニア、エンジニアリングマネージャー

    このテンプレートで扱うトピック

    • オープンソースソフトウェア入門
    • オープンソースライセンス
    • オープンソースライセンスの正しい使い方
    • オープンソースソフトウェアに関するOWASPトップ10リスクの概要
    • ケーススタディ
    • オープンソースソフトウェアのリスク管理
    • オープンソースポリシーの構築

     

    オープンソースの方針とリスク

    このコースでは、主要なオープンソースライセンス、その義務、関連するセキュリティリスク、および組織全体で使用するための企業ポリシー構築の手順について説明します。

    対象者アーキテクト、エンジニア、エンジニアリングマネージャー、プロダクトマネージャー、ビジネスアナリスト

    このテンプレートで扱うトピック

    • オープンコースの方針とそのリスクの紹介
    • オープンソースライセンス
    • オープンソースライセンスの正しい使い方
    • オープンソースソフトウェアのセキュリティリスク
    • オープンソースポリシーの構築
    • オープンソースポリシーとそのリスクのまとめ


    PCI DSS v4.0の概念とコンプライアンス

    このコンセプトコースは、PCI DSSに関連するアプリケーションに携わる開発者向けのセキュリティトレーニングを目的としています。このコースでは、開発者に対するPCI DSSの年間トレーニング要件を説明し、必要なトレーニングの実施に進みます。

    対象者アーキテクト、エンジニア、エンジニアリングマネージャ、QA、プロダクトマネージャ、ビジネスアナリスト

    このテンプレートで扱うトピック

    • PCI DSS開発者トレーニングの紹介
    • PCI DSS v4.0 要件 1-4
    • PCI DSS v4.0 要件 5-12
    • 実例
    • PCI DSS評価の準備

     

    建築リスク分析

    この概念的なコースでは、設計上の欠陥とそれがシステム内にもたらすリスクを発見することを目的とした一連の技法である、アーキテクチャリスク分析(ARA)を扱います。このコースでは、設計レベルの欠陥を特定するために必要なスキルを学びます。

    対象者 アーキテクト、エンジニア、QAエンジニア、エンジニアリングマネージャ

    このテンプレートで扱うトピック

    • ARAの概要
    • デザインの欠陥とそれを見つける技術
    • ARAの概要
    • ARAにおけるダイアグラムと図解の役割
    • ビジネス・コンテクスト
    • 依存関係の分析
    • ARAの設計原則の適用
    • 既知の攻撃分析
    • ARAをSDLに適合させる

     

    攻撃と守備

    このコンセプチュアルなコースでは、攻撃者が現実世界でどのように脆弱性を発見し、悪用するかを概観し、強力な防御ラインを構築する方法についてのベストプラクティスを学習者に提供します。

    対象者建築家、エンジニア、エンジニアリングマネージャー

    このテンプレートで扱うトピック

    • ダイヤモンド逆境モデル
    • 攻撃者の象限、高度な持続的脅威(APT)グループ、戦術・技術・手順(TTP)の実例
    • サプライチェーンの脆弱性とオープンソースライブラリのテスト
    • クラウドセキュリティとインフラ保護
    • セキュアなアーキテクチャ設計、セキュアな構成、管理、モニタリングとアラート機能
    • 良いアプリケーションセキュリティ防御と悪いアプリケーションセキュリティ防御の例
    • さらなる防御戦略とベストプラクティス

     

    リスクベースのセキュリティテスト戦略

    このコースでは、ソフトウェアシステムのセキュリティ態勢を効果的に評価し、強化するための方法論、ツール、ベストプラクティスを総合的に理解します。学習者は、リスクアセスメント、テスト計画、テスト設計、実行、および報告の中核となる概念を探求します。

    対象者エンジニア、QAエンジニア、エンジニアリングマネージャ

    このテンプレートで扱うトピック

    • リスクベース・セキュリティ・テスト入門
    • 企業内のソフトウェアシステムにおけるリスクの特定
    • リスク評価と優先順位付けのテクニック
    • リスクベースのテスト計画、設計、実施
    • テストの実施、評価、報告
    • リスクベースのセキュリティテストのためのツールと技法
    • 継続的改善と適応

     

    データサイエンティストのためのセキュリティ& アナリスト

    このコースでは、サイバーセキュリティ、データセキュリティ、高度なセキュリティ原則、データパイプラインセキュリティ、異常検知、SIEM、脅威インテリジェンス、セキュアコーディングの実践など、主要なトピックを取り上げます。

    対象者データサイエンティスト、データエンジニア、データアナリスト、アーキテクト

    このテンプレートで扱うトピック

    • サイバーセキュリティ入門
    • データセキュリティの基礎
    • 最新のセキュリティ原則でCIAの三原則を超える
    • データパイプラインのセキュリティ
    • 異常検知のための機械学習
    • セキュリティ情報とイベント管理(SIEM)
    • 脅威インテリジェンスの基礎
    • データサイエンスのためのセキュアコーディング

     

    大規模言語モデル(LLM)アプリケーションのOWASPトップ10

    このコースでは、大規模言語モデル(LLM)アプリケーションのための 2025 OWASP TOP 10 を調査します。トップ 10 の各項目の概念的な概要と、LLM アプリケーションで出現している主要な脆弱性の影響とリスクをよりよく理解するためのインタラクティブなミッションを提供します。

    対象者建築家、エンジニア、エンジニアリングマネージャ

    このテンプレートで扱うトピック

    • ダイレクト・プロンプト・インジェクション
    • 間接プロンプト注射
    • 機密情報の開示
    • サプライチェーン
    • データとモデルのポイズニング
    • 不適切な出力処理
    • 過剰なエージェンシー
    • システムの迅速なリーク
    • ベクターとエンベッディングの弱点
    • 誤情報
    • 制限のない消費

     

    データベースのセキュリティ

    このコースでは、脅威とコンプライアンスの理解から、認証、暗号化、効果的な監視と監査の実装まで、データベースのセキュリティを確保するために不可欠な手順を説明します。

    対象者アーキテクト、データサイエンティスト、データエンジニア、エンジニアリングマネージャー

    このテンプレートで扱うトピック

    • データベースセキュリティ入門
    • ガバナンスとコンプライアンス
    • 認証とアクセス・コントロール
    • 暗号化
    • 運用と監視
    • 概要

     

     

    OAuth 2.0 セキュリティ

    OAuth 2.0は、APIへのアクセスを保護するために広く使われているフレームワークです。このコースでは、OAuth 2.0 の中核となる概念を紹介し、推奨されるフローを調査します。また、非推奨のフローについても簡単に説明し、よくあるセキュリティの落とし穴や誤解についても見ていきます。

    対象者アーキテクト、エンジニア、エンジニアリングマネージャー

    このテンプレートで扱うトピック

    • OAuth 2.0の必要性
    • OAuth 2.0によるアクセスの委譲
    • OAuth 2.0 グラントタイプの概要
    • 機密クライアントからの委任アクセス
    • パブリッククライアントからの委任アクセス
    • 長期的な権限委譲アクセス
    • よくある落とし穴と誤解
    • OAuth 2.0のまとめ

     

    自動車セキュリティ入門

    このコースでは、自動車セキュリティの概要、脅威、基礎、脅威モデリング、ISO26262を深く掘り下げた標準規格について学びます。また、自動車のセキュリティリスクを軽減するためのコーディングプラクティス、テスト、メンテナンスについても取り上げます。

    対象者アーキテクト、エンジニア、QAエンジニア、エンジニアリングマネージャー

    このテンプレートで扱うトピック

    • 自動車セキュリティ入門
    • 自動車技術の基礎
    • 自動車セキュリティ脅威モデリング
    • セキュア設計の原則
    • 規制要件、標準、ガイドライン
    • セキュアなソフトウェアとハードウェアの開発
    • セキュアなテストとメンテナンス

     

    ヘルスケアのための安全な開発

    このコースでは、ヘルスケアアプリケーションと医療機器ソフトウェアのコンプライアンス状況を調査し、機密性の高い医療情報を保護するための法的要件とベストプラクティスに焦点を当てます。

    対象者アーキテクト、エンジニア、エンジニアリングマネージャー、QA、プロダクトマネージャー、ビジネスアナリスト

    このテンプレートで扱うトピック

    • 安全なヘルスケア・アプリケーションの開発
    • ヘルスケア業界における法的および規制コンプライアンス
    • 医療情報保護
    • 安全な医療アプリケーションの開発
    • 医療機器のセキュリティ
    • テストとインシデントへの対応

     

    GDPR入門

    このコースでは、データ主体の権利とGDPRがソフトウェア開発ライフサイクルに与える影響を中心に、個人データ利用の原則、役割、規制について学びます。

    対象者アーキテクト、エンジニア、エンジニアリングマネージャー、QA、プロダクトマネージャー、ビジネスアナリスト

    このテンプレートで扱うトピック

    • GDPRとは何か、なぜ重要なのか
    • タイムラインと注目すべき罰金
    • GDPRにおける主な役割
    • 個人データ
    • 個人データの処理と保護に関するGDPR原則
    • データ保護とデータ侵害の概念
    • データ主体の主な権利

     

    開発者と建築家のためのGDPR

    この中級コースでは、ソフトウェア開発者とアーキテクトのためのGDPRの原則と要件について学びます。トピックには、同意の取得、個人データへのアクセスと共有の管理、データ対象者へのアクセス要求、国際的なデータ転送などが含まれます。

    対象者アーキテクト、エンジニア、データエンジニア、データサイエンティスト、エンジニアリングマネージャー

    このテンプレートで扱うトピック

    • 設計によるデータ保護およびデフォルトによるデータ保護の原則
    • プライバシー要件
    • 個人データ
    • 同意の取得
    • 個人データの収集と処理
    • 児童の個人情報の収集
    • 個人データへのアクセス
    • 法執行機関との個人データの共有
    • データのポータビリティと削除
    • 匿名化と暗号化
    • データ対象者アクセス要求(DSAR)
    • 国際データ移転(IDTs)
    • アクセス・コントロールとロギング

     

    開発およびプロジェクトマネージャーのためのGDPR

    この中級コースでは、開発者とプロジェクトマネージャーのためのGDPRの原則について学びます。トピックには、設計によるデータ保護、データ主体の権利、設計および生産要件、プライバシー影響評価、データ共有、国際移転などが含まれます。

    対象者アーキテクト、エンジニア、エンジニアリングマネージャー、プロダクトマネージャー、ビジネスアナリスト、プロジェクトマネージャー

    このテンプレートで扱うトピック

    • 設計によるデータ保護およびデフォルトによるデータ保護の原則
    • 個人データマッピングの実行
    • データ主体の権利
    • 設計要件
    • データ・プライバシー影響評価(DPIA)
    • 開発、テスト、生産に関する要件
    • 法執行機関との個人データの共有
    • 国際データ移転(IDTs)

     

    CCPAの紹介

    このコースでは、アプリケーションがCCPA(カリフォルニア州消費者プライバシー法)に準拠するために必要なガイドラインを提供します。このコースでは、消費者に提供しなければならない必要な通知の詳細と、それらを効果的に実施するためのプロセスの概要を説明します。

    対象者アーキテクト、エンジニア、エンジニアリングマネージャー、QA、プロダクトマネージャー、ビジネスアナリスト

    このテンプレートで扱うトピック

    • CCPAとは?
    • 消費者の権利
    • 事業者の要件
    • CCPAコンプライアンスへのロードマップ

    開発者と建築家向けの暗号化の紹介

    このコースでは、独自の安全なアプリケーションとシステムを設計および開発するのに役立つ暗号化の基本を教えます。

     

    対象者 建築家、エンジニア、エンジニアリング・マネージャー

    このテンプレートで扱うトピック

    • 暗号技術の基礎
    • 暗号化
    • 対称暗号
    • 非対称暗号
    • 暗号ハッシュ関数
    • メッセージ認証コード
    • デジタル署名
    • 実践的暗号技術

    パスワードストレージを保護します

    このコースは、パスワードセキュリティの進化する分野に関する詳細な洞察を提供し、ユーザーの資格情報を保護するための高度な戦略への基本的な概念を通じて学習者を導きます。

    対象者 建築家、エンジニア、エンジニアリング・マネージャー

    このテンプレートで扱うトピック

    • 現代のパスワード事情
    • パスワード保管の複雑さを理解する
    • 基本的なハッシュ関数を超える
    • ソルティング・パスワードの科学と技術
    • 一方向性関数 新しいフロンティア
    • セキュアボールトサービスとハードウェアセキュリティモジュール(HSM)
    • 最新のパスワード保管メカニズムへの移行
    • 最適なパスワードセキュリティの設計図

    APIを強化します

    このコースでは、攻撃者がAPIをターゲットにして攻撃的なテクニックを使用し、これらの脅威に対抗するために防御的なセキュリティ対策を実装する方法を探ります。コースの終わりまでに、APIセキュリティを強化するために一連のベストプラクティスが開発されます。

    対象者 アーキテクト、APIエンジニア、バックエンドエンジニア、エンジニアリングマネージャー

    このテンプレートで扱うトピック

    • API入門
    • セキュリティにおけるクライアントの役割
    • レート制限と不正使用防止の使用
    • サーバーサイドリクエストフォージェリ(SSRF)の軽減
    • API用CORSの導入
    • API用セキュリティヘッダの設定
    • 結論 APIの堅牢化

    AIでコーディング

    このコースは、言語モデル(LLM)がどのように機能するか、およびコーディングに使用する方法を理解するのに役立ちます。セキュリティのリスクと法的問題を避けながら、コーディングでAIで作業する最良の方法を学びます。

    対象者 建築家、あらゆる分野のエンジニア、エンジニアリング・マネージャー

    このテンプレートで扱うトピック

    • 大規模言語モデルの仕組み
    • コードを書く際にAIを使うことの潜在的危険性
    • セキュリティと法的落とし穴
    • コード記述時にAIを使用する利点
    • ベストプラクティス


    関連リンク

     

    関連記事

    コメント

    0件のコメント

    サインインしてコメントを残してください。