クエストセキュリティ意識と設計コンセプトカタログ – SCWヘルプセンター

この概念的なコースでは、AIエージェントと、エージェント間の相互作用・協調・複雑なタスク実行を可能にする新興通信プロトコル（MCP、A2A、ACPを含む）を探求します。開発者は、エージェント通信における一般的な脆弱性、実用的なセキュリティ上の考慮事項、およびMCP、A2A、ACPプロトコル使用時のAIエージェント保護に関するベストプラクティスについて学びます。

対象者：アーキテクト、エンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック：

AIエージェント入門
エージェント通信プロトコル
AIエージェントと通信プロトコルの脆弱性
AIエージェントと通信プロトコルのベストプラクティス

認証および認可プロトコル

OAuth 2.0 セキュリティ

OAuth 2.0はAPIへのアクセスを保護するために広く使われているフレームワークです。このトピックでは、OAuth 2.0の基本概念を紹介し、推奨されるフローを調査します。また、廃止されたフローについて簡単に説明し、一般的なセキュリティの落とし穴と誤解についても触れます。

対象者：アーキテクト、エンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック：

OAuth 2.0の必要性
OAuth 2.0による委任アクセス
OAuth 2.0のグラントタイプの概要
機密クライアントからの委任アクセス
公開クライアントからの委任アクセス
長期委任アクセス
一般的な落とし穴と誤解
OAuth 2.0のまとめ

OAuth 2.0を使用したAPIへの安全なアクセス

このコースでは、OAuth 2.0を使用してリモートAPIにアクセスする方法に焦点を当てます。クライアントの登録、異なるフロー、および追加のセキュリティ考慮事項を見ていきます。

対象者：アーキテクト、エンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック：

イントロダクション
クライアントアプリケーションの登録
スコープと権限
認可コードグラントフロー
クライアントクレデンシャルグラントフロー
リフレッシュトークンフロー
トークンのセキュリティ推奨事項

OAuth 2.0を使用したAPIへの安全なアクセス許可付与

このコースでは、OAuth 2.0を使用するバックエンドアプリケーションのアーキテクチャを見ます。異なる種類のアクセストークンのセキュリティ特性を調査し、トークンイントロスペクションの重要性と、そのデータを使ったアクセス制御の方法を学びます。

対象者：アーキテクト、エンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック：

イントロダクション
認証、認可、およびOAuth 2.0
異なるアクセストークンタイプ
受信アクセストークンの処理
明確に定義されたスコープを用いたアクセス制限
OAuth 2.0によるアクセス制御の実装
トークン処理の落とし穴とベストプラクティス

OAuth 2.0 高度なトピック

OAuth 2.0は現在も活発に開発されており、さまざまな複雑な展開シナリオがサポートされています。このコースでは、OAuth 2.0のほぼすべての側面のセキュリティを強化するさまざまな追加仕様を調査します。

対象者：アーキテクト、エンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック：

イントロダクション
強力なクライアント認証メカニズム
クライアントベースのトークン取り消し
リソースインジケータの使用
ベアラートークンの強化
OAuth 2.0アーキテクチャにおける委任
フローの初期化強化
高度なスコープと同意
OAuth 2.0のまとめ

必須APIセキュリティ：認証と認可

このコースでは、認証、認可、OAuth 2.0、OpenID Connect、JSON Webトークン（JWT）、アクセス制御モデル（RBACおよびABAC）、および一般的なセキュリティの落とし穴を含むAPIセキュリティの基本をカバーします。

対象者：アーキテクト、APIエンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック：

APIセキュリティ入門
認証の基礎
OAuth 2.0とOpenID Connectの詳細
JWTおよびトークンベース認証
認可制御の実装と一般的な落とし穴
高度な認証メカニズム
APIセキュリティ標準とプロトコル

SAMLセキュリティ

このコースでは、Security Assertion Markup Language（SAML）を紹介し、その主要コンポーネント、シングルサインオンフロー、関係者のセキュリティ責任、およびOAuth 2.0やOpenID Connectなどの最新技術との関係をカバーします。

対象者：アーキテクト、エンジニア、バックエンドエンジニア、APIエンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック：

SAML入門
SAMLの概念的アイデア
SAMLの長所と短所
SAML構成要素の概要
SAMLアサーション
SAMLプロトコル、バインディング、およびプロファイル
サービスプロバイダ向けSAML
アイデンティティプロバイダ向けSAML
SAMLセキュリティの考慮事項
SAMLセキュリティのまとめ

クラウドセキュリティ

クラウドセキュリティ入門

このトピックでは、安全なクラウドインフラストラクチャを探求し、データ保護、アイデンティティ管理、コンプライアンス、コンテナ化およびサーバーレス環境のセキュリティに焦点を当てます。AWS、Azure、GCPでの理論と実践例を通じて、進化する課題に対応する安全なクラウドソリューションの設計と維持のスキルを習得します。

対象者：アーキテクト、クラウドエンジニア、QAエンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック：

クラウドコンピューティングとセキュリティの入門
クラウドセキュリティの核心原則
クラウドセキュリティリスクの管理
アイデンティティとアクセス管理の戦略
クラウド内のデータ保護
ネットワークセキュリティとセグメンテーション
監視、コンプライアンス、インシデント対応
高度なクラウドセキュリティ実践

Amazon Web Services（AWS）のセキュリティ

このトピックでは、AWSセキュリティの包括的な概要を提供し、クラウドセキュリティ、コンプライアンス、インフラストラクチャおよびアプリケーションセキュリティ、アイデンティティおよびデータ管理、インシデント対応をカバーします。

対象者: アーキテクト、クラウドエンジニア、QAエンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック：

AWSセキュリティ入門
コンプライアンスとガバナンス
インフラストラクチャセキュリティの基本
ウェブおよびアプリケーションセキュリティ
アイデンティティとアクセス管理の基本
データセキュリティの基本
監視とアラートの基礎
インシデント対応と脅威検出

Microsoft Azureのセキュリティ

このトピックでは、Microsoft Azureクラウドプラットフォーム上で構築および展開されたソフトウェアのセキュリティの詳細を探ります。Azure固有の機能を使用して、アプリケーションの本番データを適切に保護および監視する方法を学びます。

対象者：アーキテクト、クラウドエンジニア、QAエンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック：

Microsoft Azure入門
Azureのネットワークセキュリティ
アイデンティティとアクセス管理
データセキュリティと暗号化
Azureプラットフォームのセキュリティ機能
Azureの監視とログ記録

Google Cloud Platformのセキュリティ

このトピックでは、Google Cloud Platformで安全な環境を構築および運用する方法を案内し、インフラストラクチャとデータを保護するためのセキュリティ機能とサービスをカバーします。終了時には、クラウドネイティブアプリケーションとサービスを展開するための安全なGCPインフラストラクチャを設定できるようになります。

対象者：アーキテクト、クラウドエンジニア、QAエンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック：

Google Cloud Platform（GCP）入門
GCPインフラストラクチャとネットワークセキュリティ
GCPのアイデンティティとアクセス管理
データセキュリティと暗号化
セキュリティ管理
ログ記録と監視

コードとしてのインフラストラクチャ（IaC）のセキュリティ

このトピックは、iOSオペレーティングシステムのアーキテクチャとセキュリティ機能から、アプリ開発と展開の詳細に至るまで、幅広い概念をカバーします。

対象者: プラットフォームエンジニア、アーキテクト、およびIaCツールを扱うその他のエンジニアとエンジニアリングマネージャー

このテンプレートで扱うトピック：

IaCとセキュリティの入門
IaCの核心概念
IaCツールの概要
IaCにおけるセキュリティの詳細
IaCにおけるシークレット管理
セキュリティに焦点を当てたIaCのベストプラクティス
CI/CDにおけるIaC：セキュリティ上の懸念

Dockerの安全な実装

このトピックは、開発者のラップトップから本番環境へのコンテナの移行をDockerを使って安全に行うためのモダンクラウドインフラ構築の詳細に焦点を当てます。

対象者： アーキテクト、CI/CDエンジニア、クラウドエンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック：

デプロイメントとコンテナオーケストレーション
コンテナセキュリティ
コンテナデプロイメント技術
DevSecOpsパイプライン

Kubernetesの安全な実装

このトピックは、開発者のラップトップから本番環境へのコンテナの移行をKubernetesを使って安全に行うためのモダンクラウドインフラ構築の詳細に焦点を当てます。

対象者： アーキテクト、CI/CDエンジニア、クラウドエンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック：

デプロイメントとコンテナオーケストレーション
コンテナデプロイメント技術
Kubernetes入門
Kubernetesクラスターとネットワーキングの操作
Kubernetesのセキュリティ考慮事項
クラウドにおけるマネージドKubernetes
DevSecOpsパイプライン

Kubernetesセキュリティ

このトピックでは、Kubernetesアーキテクチャの主要コンポーネント、攻撃面、および関連リスクを紹介します。ノードセキュリティ、強化されたコンテナイメージ、ポッドセキュリティ標準、ネットワークポリシー、監査ログをカバーし、攻撃面の最小化に焦点を当てます。

対象者：プラットフォームエンジニア、CI/CDエンジニア、クラウドエンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック：

Kubernetes入門
インフラストラクチャセキュリティ
イメージセキュリティ
ランタイムセキュリティ
ログ記録と監査

暗号技術

開発者およびアーキテクト向け暗号技術入門

このトピックでは、学習者に安全なアプリケーションやシステムの設計・開発に役立つ暗号技術の基礎を教えます。

対象者：アーキテクト、エンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック：

暗号技術の基礎
暗号化
対称暗号化
非対称暗号化
暗号学的ハッシュ関数
メッセージ認証コード
デジタル署名
実践的暗号技術

データセキュリティ

データベースセキュリティ

このトピックでは、脅威の理解やコンプライアンスから認証、暗号化、効果的な監視および監査の実装まで、データベースを保護するための重要なステップをカバーします。

対象者：アーキテクト、データサイエンティスト、データエンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック：

データベースセキュリティ入門
ガバナンスとコンプライアンス
認証とアクセス制御
暗号化
運用と監視
まとめ

データサイエンティスト＆アナリスト向けセキュリティ

このトピックでは、サイバーセキュリティ、データセキュリティ、高度なセキュリティ原則、データパイプラインセキュリティ、異常検知、SIEM、脅威インテリジェンス、安全なコーディングプラクティスなどの主要トピックをカバーします。

対象者：データサイエンティスト、データエンジニア、データアナリスト、アーキテクト

このテンプレートで扱うトピック：

サイバーセキュリティ入門
データセキュリティの基礎
現代のセキュリティ原則とCIAトライアドの超越
データパイプラインのセキュリティ
異常検知のための機械学習
セキュリティ情報およびイベント管理（SIEM）
脅威インテリジェンスの基礎
データサイエンスのための安全なコーディング

安全なパスワード保管

このトピックは、進化するパスワードセキュリティ分野に関する詳細な洞察を提供し、基本概念からユーザー認証情報を保護するための高度な戦略までを案内します。

対象者：アーキテクト、エンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック：

現代のパスワードの状況
パスワード保管のニュアンスの理解
基本的なハッシュ関数を超えて
パスワードのソルトの科学と技術
一方向関数：新たなフロンティア
安全なボールトサービスとハードウェアセキュリティモジュール（HSM）
現代のパスワード保管メカニズムへの移行
最適なパスワードセキュリティ設計の策定

DevSecOpsセキュリティ

このトピックでは、チームの役割、プロセスの変更、脅威モデリング、セキュリティテストツール、問題の修正、効果測定のための指標など、DevSecOpsの基本をカバーします。

対象者：アーキテクト、CI/CDエンジニア、クラウドエンジニア、エンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック：

DevSecOps入門
DevSecOpsプログラムの構築
DevSecOpsプロセス
DevSecOpsの実装
DevSecOpsの監視

コンテナセキュリティ

このコースでは、コンテナのアーキテクチャ、主なリスク、コンテナライフサイクル全体のセキュリティ、および一般的なコンテナ技術のセキュリティ機能を紹介します。

対象者：アーキテクト、CI/CDエンジニア、エンジニア、エンジニアリングマネージャー、QAエンジニア

このテンプレートで扱うトピック：

コンテナ入門
コンテナのリスク
コンテナのセキュリティ
コンテナ技術

OWASPトップ10 CI/CD（GitHub Actions）

このトピックでは、GitHub Actionsを使用したOWASP CI/CDトップ10のセキュリティリスクをカバーし、不十分なアクセス管理、依存関係の悪用、汚染されたパイプライン、資格情報の不適切な管理などの問題を扱います。また、不安全なシステム構成、サードパーティサービスのリスク、ログ記録不足にも言及します。

対象者：アーキテクト、CI/CDエンジニア、クラウドエンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック：

不十分なフロー制御メカニズム
不十分なアイデンティティおよびアクセス管理
依存関係チェーンの悪用
汚染されたパイプライン実行（PPE）
不十分なPBAC（パイプラインベースアクセス制御）
不十分な資格情報管理
不安全なシステム構成
管理されていないサードパーティサービスの使用
不適切なアーティファクト整合性検証
不十分なログ記録と可視性

OWASPトップ10 CI/CD（Jenkins 宣言型）

このトピックでは、Jenkins 宣言型を使用したOWASP CI/CDトップ10のセキュリティリスクをカバーし、不十分なアクセス管理、依存関係の悪用、汚染されたパイプライン、資格情報の不適切な管理などの問題を扱います。また、不安全なシステム構成、サードパーティサービスのリスク、ログ記録不足にも言及します。

対象者：アーキテクト、CI/CDエンジニア、クラウドエンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック：

不十分なフロー制御メカニズム
不十分なアイデンティティおよびアクセス管理
依存関係チェーンの悪用
汚染されたパイプライン実行（PPE）
不十分なPBAC（パイプラインベースアクセス制御）
不十分な資格情報管理
不安全なシステム構成
管理されていないサードパーティサービスの使用
不適切なアーティファクト整合性検証
不十分なログ記録と可視性

OWASPトップ10 CI/CD（Jenkins スクリプト型）

このトピックでは、Jenkins スクリプト型を使用したOWASP CI/CDトップ10のセキュリティリスクをカバーし、不十分なアクセス管理、依存関係の悪用、汚染されたパイプライン、資格情報の不適切な管理などの問題を扱います。また、不安全なシステム構成、サードパーティサービスのリスク、ログ記録不足にも言及します。

対象者：アーキテクト、CI/CDエンジニア、クラウドエンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック：

不十分なフロー制御メカニズム
不十分なアイデンティティおよびアクセス管理
依存関係チェーンの悪用
汚染されたパイプライン実行（PPE）
不十分なPBAC（パイプラインベースアクセス制御）
不十分な資格情報管理
不安全なシステム構成
管理されていないサードパーティサービスの使用
不適切なアーティファクト整合性検証
不十分なログ記録と可視性

AWS向けTypescript Pulumiセキュリティ入門

このトピックでは、AWSにおけるPulumi（Typescript）の安全な使用方法をカバーし、公開アクセス可能なリソースのセキュリティ、保護されていない保存データと転送データ、不安全なネットワーク権限、不十分な検証などの重要なIaCセキュリティトピックを扱います。

対象者: アーキテクト、CI/CDエンジニア、クラウドエンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック：

公開アクセス可能なリソース
無効化されたセキュリティ機能
保護されていない保存データ
保護されていない転送データ
ハードコードされた資格情報
不十分なセキュリティログ記録と監視
不安全なネットワーク権限
信頼されていないソースからのコンポーネント使用
不十分な検証
過度に許可されたポリシー

組み込みセキュリティ

組み込みセキュリティ入門

このコースでは、組み込みシステムの基礎、セキュリティの重要性、一般的なセキュリティ問題、設計上の欠陥、ハードウェアの脆弱性、ネットワークセキュリティ、物理的セキュリティ、倫理的ハッキングを含む包括的な組み込みセキュリティの概要を提供します。

対象者：組み込みシステムに携わるアーキテクト、エンジニア、エンジニアリングマネージャー、QA

このテンプレートで扱うトピック：

組み込みシステムの基礎
組み込みセキュリティの基礎
一般的な組み込みセキュリティ問題
ハードウェアの脆弱性
組み込みネットワークセキュリティ入門
物理的およびハードウェアセキュリティの基礎
組み込みシステムの倫理的ハッキングとセキュリティ監査

高度な組み込みセキュリティ

このコースでは、組み込みシステムのための高度なセキュリティ実践を包括的にカバーします。ハードウェア制約に合わせた暗号技術の基礎から始まり、信頼できる実行環境やセキュアブート機構を組み込んだ安全なアーキテクチャ設計へと進みます。

対象者：組み込みシステムに携わるアーキテクト、エンジニア、エンジニアリングマネージャー、QA

このテンプレートで扱うトピック：

組み込みシステムのための暗号技術
安全な組み込みアーキテクチャ設計
組み込みオペレーティングシステムの詳細分析
組み込みデバイスの高度なネットワークセキュリティ
物理的およびハードウェアセキュリティ技術
高度なファームウェア攻撃への防御
組み込みデバイスのペネトレーションテストと倫理的ハッキング
組み込みシステムのコンプライアンス、認証、およびセキュリティ監査

業界別セキュリティ

自動車セキュリティ入門

このトピックでは、自動車セキュリティの概要を提供し、脅威、基礎、脅威モデリング、標準をカバーし、ISO 26262に深く踏み込みます。さらに、コーディングプラクティス、テスト、保守についても扱い、車両のセキュリティリスクを軽減する支援をします。

対象者：アーキテクト、エンジニア、QAエンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック：

自動車セキュリティ入門
自動車技術の基礎
自動車車両のセキュリティ脅威モデリング
安全な設計原則
規制要件、標準、およびガイドライン
安全なソフトウェアおよびハードウェア開発
安全なテストと保守

医療向け安全な開発

このトピックでは、医療アプリケーションおよび医療機器ソフトウェアのコンプライアンス状況を探り、法的要件と機微な健康情報保護のベストプラクティスに焦点を当てます。

対象者：アーキテクト、エンジニア、エンジニアリングマネージャー、QA、プロダクトマネージャー、ビジネスアナリスト

このテンプレートで扱うトピック：

安全な医療アプリケーションの開発
医療業界の法的および規制コンプライアンス
健康情報保護
安全な医療アプリケーションの開発
医療機器のセキュリティ
インシデントのテストと対応

モノのインターネット（IoT）

モノのインターネットのセキュリティ入門

このトピックでは、IoTの複雑さとセキュリティ課題を探り、プライバシーと脆弱性に焦点を当てます。IoTベンダー、企業、消費者として情報に基づいた意思決定を行うために必要な知識を提供します。

対象者：アーキテクト、エンジニア、エンジニアリングマネージャー、QA、プロダクトマネージャー、ビジネスアナリスト

このテンプレートで扱うトピック：

モノのインターネット入門
IoTアーキテクチャ
IoT通信プロトコル
IoT脅威モデリング
IoTのセキュリティ懸念
IoTの規制上の懸念

モノのインターネットの安全な通信

このコースでは、モノのインターネット（IoT）における主要なセキュリティ課題と、実際の攻撃者がそれらを悪用する技術を探ります。終了時には、ベンダーおよび消費者の視点から安全なIoT製品開発とセキュリティ評価の確かな理解を得られます。

対象者：アーキテクト、エンジニア、エンジニアリングマネージャー、QA、プロダクトマネージャー、ビジネスアナリスト。

このテンプレートで扱うトピック：

IoTのレビュー
IoT通信のセキュリティ
IoTファームウェアのセキュリティ
IoT認証
IoTモバイルおよびウェブアプリケーションのセキュリティ

メインフレームセキュリティ

COBOLセキュリティの基礎

このトピックでは、COBOLシステムのリスクを探り、セキュリティ神話を打破し、脆弱性を検討します。セキュリティ問題を軽減するためのベストプラクティスと戦略をカバーします。

対象者：アーキテクト、メインフレームエンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック：

COBOL入門
セキュリティ原則の理解
COBOLのセキュリティ神話
典型的なCOBOLシステム資産とセキュリティ影響
安全な入力検証とデータ表現
安全なデータベースアクセス
安全なログ記録プラクティス
安全なエラー処理

COBOLの防御的プログラミング

このトピックでは、安全なCOBOLアプリケーション開発のための特化した防御的プログラミング技術とベストプラクティスを探ります。入力検証、セキュアなデータベース操作、堅牢なエラー処理、適切なリソース同期のCOBOL固有の方法を含みます。

対象者：アーキテクト、メインフレームエンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック：

イントロダクション
機密情報の取り扱い
認証と認可
安全なメモリ取り扱い
暗号技術とCOBOL
一般的な脆弱性
時間と状態の問題
安全な現代的統合

モバイルセキュリティ

モバイルセキュリティの基礎

このトピックは、モバイル開発者が認識すべきリスクの概要を提供します。モバイルプラットフォームとアプリケーション、データ保護リスク、ネットワーク通信の脅威、安全な設定とバイナリ強化、アプリケーションセキュリティテストを含みます。

対象者：アーキテクト、モバイルエンジニア、エンジニアリングマネージャー、QA、プロダクトマネージャー、ビジネスアナリスト

このテンプレートで扱うトピック：

モバイルプラットフォーム
モバイルアプリケーション
モバイルリスク
ネットワーク通信のリスク
安全な設定とバイナリ強化
モバイルアプリケーションセキュリティテスト

Java Androidセキュリティ

このトピックでは、Androidオペレーティングシステムの組み込みセキュリティ機能と、ユーザー保護における不足点をカバーします。また、Javaアプリケーションとユーザーデータを一般的な攻撃から守るためにAndroid開発者が使用すべき防御的プログラミング技術に焦点を当てます。

対象者：アーキテクト、モバイルエンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック：

イントロダクション：Androidアプリのリスク
Android APK構造
Androidセキュリティモデル
権限の問題
インテントの問題
クライアント側コントロールの使用
安全な通信

Kotlin Androidセキュリティ

このトピックでは、Androidオペレーティングシステムの組み込みセキュリティ機能と、ユーザー保護における不足点をカバーします。また、Kotlinアプリケーションとユーザーデータを一般的な攻撃から守るためにAndroid開発者が使用すべき防御的プログラミング技術に焦点を当てます。

対象者：アーキテクト、モバイルエンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック：

イントロダクション：Androidアプリのリスク
Android APK構造
Androidセキュリティモデル
権限の問題
インテントの問題
クライアント側コントロールの使用
安全な通信

Kotlin高度なAndroidセキュリティ

このコースでは、安全なネットワーク通信、シークレットの取り扱い、認証の処理、権限の管理などのトピックを扱います。すべてのAndroid開発者が現代のAndroidアプリケーションのセキュリティベストプラクティスを学ぶべきコースです。

対象者：アーキテクト、モバイルエンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック：

Android向け安全なアプリケーション開発
Kotlinにおける高度な例外処理
安全なネットワーク通信
シークレットおよび機微データの取り扱い
ローカルユーザー認証
APIベースのユーザー認証
安全なAPIアクセス
ウェブコンテンツの取り扱い
インテントの保護
権限の効果的な使用
まとめ

iOS（Objective-C）の基礎

このトピックでは、iOSオペレーティングシステムのアーキテクチャとセキュリティ機能から、Objective-Cアプリ開発と展開の詳細まで幅広いトピックをカバーします。

対象者：アーキテクト、モバイルエンジニア、エンジニアリングマネージャー、QAエンジニア

このテンプレートで扱うトピック：

iOS入門
iOSアーキテクチャ
開発のセキュリティ原則とアプリケーション構造
高度なiOS機能
iOSのセキュリティ
ジェイルブレイク、シングルクリックおよびノークリック攻撃
iOSアプリの安全な展開と維持

iOS（Objective-C）向け安全なプログラミング

Objective-CアプリにおけるiOSアプリケーションのリスクを軽減する防御的プログラミング技術を学び、主要なプラットフォームセキュリティコントロールを効果的に使用することに焦点を当てます。

対象者: アーキテクト、モバイルエンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック:

安全な開発入門
安全な通信
クライアント側インジェクション
認証
安全なストレージ
バイナリ保護
プロセス間通信

iOS（Swift）の基礎

このトピックでは、iOSオペレーティングシステムのアーキテクチャとセキュリティ機能から、Swiftアプリ開発と展開の詳細まで幅広いトピックをカバーします。

対象者：アーキテクト、モバイルエンジニア、エンジニアリングマネージャー、QAエンジニア

このテンプレートで扱うトピック：

iOS入門
iOSアーキテクチャ
開発のセキュリティ原則とアプリケーション構造
高度なiOS機能
iOSのセキュリティ
ジェイルブレイク、シングルクリックおよびノークリック攻撃
iOSアプリの安全な展開と維持

iOS（Swift）向け安全なプログラミング

SwiftアプリにおけるiOSアプリケーションのリスクを軽減する防御的プログラミング技術を学び、主要なプラットフォームセキュリティコントロールを効果的に使用することに焦点を当てます。

対象者: アーキテクト、モバイルエンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック:

安全な開発入門
安全な通信
クライアント側インジェクション
認証
安全なストレージ
バイナリ保護
プロセス間通信

オープンソースとサプライチェーン

オープンソースソフトウェア（OSS）

このトピックでは、オープンソースソフトウェアの利点と欠点、および関連リスクを効果的に管理する戦略を探ります。参加者は、主要なOSSの脆弱性の実例を検証し、セキュリティリスク軽減のための重要な教訓とベストプラクティスを理解します。

対象者：アーキテクト、エンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック：

オープンソースソフトウェア入門
オープンソースライセンス
オープンソースライセンスの正しい使用法
オープンソースソフトウェアのOWASPトップ10リスク概要
ケーススタディ
オープンソースソフトウェアリスクの管理
オープンソースポリシーの構築

オープンソースポリシーとリスク

このトピックでは、主要なオープンソースライセンス、その義務、関連するセキュリティリスク、および組織全体での使用のための企業ポリシー構築の手順をカバーします。

対象者：アーキテクト、エンジニア、エンジニアリングマネージャー、プロダクトマネージャー、ビジネスアナリスト

このテンプレートで扱うトピック：

オープンソースポリシーとそのリスクの紹介
オープンソースライセンス
オープンソースライセンスの正しい使用法
オープンソースソフトウェアのセキュリティリスク
オープンソースポリシーの構築
オープンソースポリシーとそのリスクのまとめ

デジタルサプライチェーンの審査

このコースでは、デジタルサプライチェーンセキュリティの進化する状況を探り、サードパーティリスク、SBOMおよびHBOM、セキュアなサプライヤー関係をカバーします。また、安全なコーディング、ガバナンス、現代のサプライチェーンにおけるAIの増大する役割にも触れます。

対象者：アーキテクト、エンジニア、エンジニアリングマネージャー、プロダクトマネージャー、ビジネスアナリスト

このテンプレートで扱うトピック：

デジタルサプライチェーンのナビゲーション：コンポーネントからリスクまで
安全なサプライチェーンの指導と戦略
組織プロセスの合理化：サードパーティリスク管理のための設計図
サードパーティ情報セキュリティリスクに対応しつつ安全な開発を実践
デジタルサプライチェーンにおけるコンプライアンスとリスク管理
AI関連のデジタルサプライチェーン管理：AI成熟度の低い企業向けサービス
AI成熟度の高い企業向けAI関連サービス

ペイメントカード業界（PCI）

PCI DSS v4.0 コンセプトとコンプライアンス

この概念的トピックは、PCI DSS関連アプリケーションに携わる開発者向けの基本的なセキュリティトレーニングとして意図されています。開発者向けの年間PCI DSSトレーニング要件を説明し、その後必要なトレーニングを提供します。

対象者：アーキテクト、エンジニア、エンジニアリングマネージャー、QA、プロダクトマネージャー、ビジネスアナリスト

このテンプレートで扱うトピック：

PCI DSS開発者トレーニング入門
PCI DSS v4.0 要件1-4
PCI DSS v4.0 要件5-12
実例
PCI DSS評価の準備

プライバシー

GDPR入門

このトピックでは、個人データ使用の原則、役割、規制をカバーし、データ主体の権利とGDPRがソフトウェア開発ライフサイクルに与える影響に焦点を当てます。

対象者：アーキテクト、エンジニア、エンジニアリングマネージャー、QA、プロダクトマネージャー、ビジネスアナリスト

このテンプレートで扱うトピック：

GDPRとは何か、なぜ重要か
タイムラインと注目すべき罰金
GDPRの主要な役割
個人データ
個人データの処理と保護のGDPR原則
データ保護とデータ漏洩の概念
データ主体の主要な権利

開発者およびアーキテクト向けGDPR

この中級トピックでは、ソフトウェア開発者およびアーキテクト向けにGDPRの原則と要件をカバーします。コンセントの取得、個人データのアクセスおよび共有管理、データ主体アクセス要求、国際データ転送などの概念を含みます。

対象者：アーキテクト、エンジニア、データエンジニア、データサイエンティスト、エンジニアリングマネージャー

このテンプレートで扱うトピック：

デザインおよびデフォルトによるデータ保護の原則
プライバシー要件
個人データ
同意の取得
個人データの収集と処理
子供の個人データの収集
個人データへのアクセス
法執行機関への個人データ共有
データポータビリティと削除
匿名化と暗号化
データ主体アクセス要求（DSARs）
国際データ転送（IDTs）
アクセス制御とログ記録

開発およびプロジェクトマネージャー向けGDPR

この中級トピックでは、開発者およびプロジェクトマネージャー向けにGDPRの原則をカバーします。デザインによるデータ保護、データ主体の権利、設計および生産要件、プライバシー影響評価、データ共有、国際転送などの概念を含みます。

対象者：アーキテクト、エンジニア、エンジニアリングマネージャー、プロダクトマネージャー、ビジネスアナリスト、プロジェクトマネージャー

このテンプレートで扱うトピック：

デザインおよびデフォルトによるデータ保護の原則
個人データマッピングの実施
データ主体の権利
設計要件
データプライバシー影響評価（DPIA）
開発、テスト、生産の要件
法執行機関への個人データ共有
国際データ転送（IDTs）

CCPA入門

このトピックは、アプリケーションがCCPA（カリフォルニア消費者プライバシー法）に準拠するために必要なすべてのガイドラインを提供します。消費者に提供すべき通知と、それを効果的に実装するためのプロセスを詳述します。

対象者：アーキテクト、エンジニア、エンジニアリングマネージャー、QA、プロダクトマネージャー、ビジネスアナリスト

このテンプレートで扱うトピック：

CCPAとは？
消費者の権利
企業の要件
CCPA準拠へのロードマップ

安全なソフトウェア設計

アーキテクチャリスク分析

この概念的トピックでは、設計欠陥とそれがシステムに及ぼすリスクを発見することを目的とした一連の技術であるアーキテクチャリスク分析（ARA）をカバーします。設計レベルの欠陥を特定するスキルを教えます。

対象者: アーキテクト、エンジニア、QAエンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック：

ARAの概要
設計欠陥とそれを発見する技術
ARAの概要
ARAにおける図と図解の役割
ビジネスコンテキスト
依存関係分析
ARAのための設計原則の適用
既知の攻撃分析
SDLへのARAの組み込み

リスクベースのセキュリティテスト戦略

このトピックでは、ソフトウェアシステムのセキュリティ姿勢を効果的に評価および強化するための方法論、ツール、およびベストプラクティスを包括的に理解します。リスク評価、テスト計画、設計、実行、報告の核心概念を探ります。

対象者：エンジニア、QAエンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック：

リスクベースのセキュリティテスト入門
企業内のソフトウェアシステムのリスク特定
リスク評価と優先順位付け技術
リスクベースのテスト計画、設計、実装
テスト実行、評価、報告
リスクベースのセキュリティテストのためのツールと技術
継続的な改善と適応

脅威モデリング

このトピックでは、ソフトウェアシステムへの潜在的な脅威を特定し緩和するための体系的な方法論を学びます。システムアーキテクチャ、データフロー、脅威の状況を理解し、脅威モデリングツールの適用を含みます。

対象者：アーキテクト、エンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック：

脅威モデリングの概要
脅威モデリング入門
システムと環境の理解
脅威モデリング方法論
S.T.R.I.D.E.
脅威モデリングツール
脅威モデリング実践の実装
脅威モデリング事例研究

セキュリティ要件

この概念的トピックでは、セキュリティ要件の収集、定義、検証の方法論をカバーします。参加者はセキュリティ要件とは何かを学び、組織の目標に沿った実行可能なセキュリティ要件の書き方を習得します。

対象者：アーキテクト、エンジニアリングマネージャー、プロダクトマネージャー、ビジネスアナリスト

このテンプレートで扱うトピック：

ソフトウェアセキュリティ要件の紹介
要件収集と方法論
セキュリティ要件の書き方
セキュリティ要件の検証

セキュリティ基礎

ソフトウェアセキュリティの基礎

この言語非依存トピックでは、ソフトウェア開発ライフサイクル（SDLC）全体の基本的なソフトウェアセキュリティ概念を紹介します。参加者はソフトウェアセキュリティイニシアティブ（SSI）の確立、安全なコードレビューの実施、アプリケーションセキュリティテストの実装を学びます。

対象者：アーキテクト、エンジニア、エンジニアリングマネージャー、QA、プロダクトマネージャー、ビジネスアナリスト

このテンプレートで扱うトピック：

ソフトウェアセキュリティ概念の紹介と概要
ソフトウェアセキュリティイニシアティブ（SSI）
ソフトウェア開発ライフサイクル（SDLC）とSSDLC
安全なコードレビュー
アプリケーションセキュリティテスト
SAST入門
DAST入門
ペネトレーションテスト入門
セキュリティ標準入門
OWASP入門
OWASP ASVS入門
SEI CERTコーディング標準入門

攻撃と防御

この概念的トピックでは、攻撃者が現実世界で脆弱性を発見し悪用する方法の概要を学び、強力な防御線を構築するためのベストプラクティスを提供します。

対象者：アーキテクト、エンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック：

ダイヤモンド対抗者モデル
攻撃者の四象限、高度持続的脅威（APT）グループ、戦術・技術・手順（TTP）の実例
サプライチェーンの脆弱性とオープンソースライブラリのテスト
クラウドセキュリティとインフラストラクチャ保護
安全なアーキテクチャ設計、安全な構成、管理、および監視とアラート
良いおよび悪いアプリケーションセキュリティ防御の例
さらなる防御戦略とベストプラクティス

APIの強化

このトピックでは、攻撃者がAPIを標的にする攻撃技術と、それらの脅威に対抗する防御的セキュリティ対策の実装方法を探ります。トピック終了時には、APIセキュリティ強化のためのベストプラクティスのセットが形成されます。

対象者：アーキテクト、APIエンジニア、バックエンドエンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック：

API入門
セキュリティにおけるクライアントの役割
レート制限と乱用防止の使用
サーバーサイドリクエストフォージェリ（SSRF）の緩和
APIのCORSの展開
APIのセキュリティヘッダー設定
まとめ：APIの強化

ローコードおよびノーコード（LCNC）

このトピックでは、ノーコードおよびローコードプラットフォームの基礎を紹介し、その利点と制限を強調します。OWASPローコード/ノーコードトップ10をカバーし、ローコードおよびノーコード開発における主要なセキュリティリスクの特定と緩和を支援します。

対象者：アーキテクト、エンジニア、エンジニアリングマネージャー、プロダクトマネージャー

このテンプレートで扱うトピック：

ローコード入門
ノーコード入門
OWASPローコード/ノーコードトップ10の概要

アプリケーションセキュリティの概念

このトピックでは、開発者に堅牢なソフトウェアを構築するための基本原則と実践を装備し、深層防御、最小権限、安全な初期設定などのトピックを強調します。信頼できるフレームワークの再利用、入力検証、データ保護などの戦略を探り、設計上安全で安全に失敗するアプリケーションを保証します。

対象者：アーキテクト、エンジニア、エンジニアリングマネージャー、QA、プロダクトマネージャー、ビジネスアナリスト

このテンプレートで扱うトピック：

深層防御
オープンデザイン
ログ記録
堅牢なエラーチェック
フレームワークや言語での既存セキュリティコントロールの再利用
データ保護
最小権限
安全な初期設定
入力を信用しない
安全に失敗する

非人間アイデンティティ（NHI）

このOWASPトップ10非人間アイデンティティ（NHI）に関するトピックでは、アプリケーションアイデンティティや機械認証情報などのNHIをソフトウェアシステムに統合する際の最も重要なセキュリティリスクを概説します。

対象者：アーキテクト、DevOpsエンジニア、プラットフォームエンジニア、クラウドエンジニア、バックエンドおよびAPIエンジニア、QAエンジニア、プロダクトマネージャー

このテンプレートで扱うトピック：

不適切なオフボーディング
シークレット漏洩
脆弱なサードパーティNHI
不安全な認証
過剰権限のNHI
不安全なクラウド展開構成
長期間有効なシークレット
環境の分離
NHIの再利用
人間によるNHIの使用

アプリケーションセキュリティテストの概要

このコースでは、SAST、DAST、ペネトレーションテストを含むアプリケーションセキュリティテストの高レベルな概要を提供します。主要なツール、技術、および結果の解釈方法を学び、アプリケーションの脆弱性を特定し緩和します。

対象者：あらゆるタイプのエンジニア、エンジニアリングマネージャー、プロダクトマネージャー

このテンプレートで扱うトピック：

アプリケーションセキュリティテスト
SAST入門
DAST入門
ペネトレーションテスト入門

システムプログラミングセキュリティ

モダンCセキュリティ

このトピックでは、C言語のセキュリティ観点からの複雑さを探り、文字列処理、メモリ管理、整数オーバーフロー、フォーマットストリング攻撃などの主要な脆弱性と、それらを緩和する戦略をカバーします。

対象者：エンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック：

モダンセキュリティ入門
データ型
文字列
インターフェース、前提条件、後条件
メモリ安全性
並行性
未定義動作
GNU Cライブラリ
コンパイラ
自動防御
コードレビュー

モダンC++セキュリティ

このトピックでは、C++のセキュリティ観点からの複雑さを探り、文字列処理、メモリ管理、整数オーバーフロー、フォーマットストリング攻撃などの主要な脆弱性と、それらを緩和する戦略をカバーします。

対象者：エンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック：

モダンセキュリティ入門
データ型
文字列
インターフェース、前提条件、後条件
並行性
未定義動作
コンパイラ
自動防御
コードレビュー

ウェブセキュリティ

ウェブアプリケーションセキュリティ101

このトピックでは、ウェブアプリケーションセキュリティに深く入り込み、クライアント側の脆弱性とサーバー側の防御に焦点を当てます。安全なセッション処理、ブラウザのセキュリティポリシー、アクセス制御、インジェクションリスク、認証およびパスワード保管のベストプラクティスを含みます。

対象者：アーキテクト、エンジニア、エンジニアリングマネージャー、QA、プロダクトマネージャー、ビジネスアナリスト

このテンプレートで扱うトピック：

クッキーとセッションの詳細
ローカルストレージ
クライアント側セキュリティ対策の問題
CSP、SOP、CORS
不十分なデータエスケープ
不適切または欠落したHTTPヘッダー
機能レベルのアクセス制御の欠如
SQLインジェクション
不適切な認証
パスワードの平文保管

HTML5セキュリティ入門

このコースでは、HTML5に焦点を当てたウェブセキュリティモデルを紹介し、一般的なブラウザ攻撃技術、固有の弱点、および防御に活用できるセキュリティ機構をカバーします。

対象者: アーキテクト、エンジニア、バックエンドエンジニア、フロントエンドエンジニア、モバイルエンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック:

基礎となるセキュリティモデル
iframeによる強力な分離
コンテキスト間通信
タブナビング、クリックジャッキング、UIリダレッシング
HTML5フォームのセキュリティ
高度なインジェクション攻撃
クライアント側ストレージ機構

HTML5セキュリティのための防御的プログラミング

このコースでは、フロントエンド開発におけるセキュリティリスクをカバーし、DOM操作、JavaScriptおよびHTML5機能、ブラウザのセキュリティ機構、防御的プログラミング技術、一般的なJavaScriptのソースとシンクを扱います。

対象者: フロントエンドエンジニア、モバイルエンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック:

リスクの状況
ウェブのセキュリティモデル
クライアント側データストレージ
ウェブメッセージング
iframeサンドボックス
コンテンツセキュリティポリシー（CSP）
クロスオリジンリソース共有の理解
CORSによるウェブアプリケーションの保護
追加のHTML5機能
まとめ

Go言語の安全なプログラミング

このトピックでは、Go言語における安全なプログラミングをカバーし、ウェブインターフェースのセキュリティ、並行処理、セッション管理、暗号技術、エラー処理に焦点を当て、一般的な脆弱性を防ぐ戦略を紹介します。

対象者：エンジニア、エンジニアリングマネージャー

このテンプレートで扱うトピック：

イントロダクション
ウェブインターフェース
並行処理
セッション管理とアクセス制御
暗号技術
エラー処理

Menu

AI/LLM セキュリティ

AIによるコーディング

AIを用いた脅威モデリング

AIリスクとセキュリティの紹介

大規模言語モデル（LLM）アプリケーション向けOWASPトップ10

AIエージェントとそのプロトコル（MCP、A2A、ACP）

認証および認可プロトコル

OAuth 2.0 セキュリティ

OAuth 2.0を使用したAPIへの安全なアクセス

OAuth 2.0を使用したAPIへの安全なアクセス許可付与

OAuth 2.0 高度なトピック

必須APIセキュリティ：認証と認可

SAMLセキュリティ

クラウドセキュリティ

クラウドセキュリティ入門

Amazon Web Services（AWS）のセキュリティ

Microsoft Azureのセキュリティ

Google Cloud Platformのセキュリティ

コードとしてのインフラストラクチャ（IaC）のセキュリティ

Dockerの安全な実装

Kubernetesの安全な実装

Kubernetesセキュリティ

暗号技術

開発者およびアーキテクト向け暗号技術入門

データセキュリティ

データベースセキュリティ

データサイエンティスト＆アナリスト向けセキュリティ

安全なパスワード保管

DevSecOpsセキュリティ

DevSecOpsセキュリティ

コンテナセキュリティ

OWASPトップ10 CI/CD（GitHub Actions）

OWASPトップ10 CI/CD（Jenkins 宣言型）

OWASPトップ10 CI/CD（Jenkins スクリプト型）

AWS向けTypescript Pulumiセキュリティ入門

組み込みセキュリティ

組み込みセキュリティ入門

高度な組み込みセキュリティ

業界別セキュリティ

自動車セキュリティ入門

医療向け安全な開発

モノのインターネット（IoT）

モノのインターネットのセキュリティ入門

モノのインターネットの安全な通信

メインフレームセキュリティ

COBOLセキュリティの基礎

COBOLの防御的プログラミング

モバイルセキュリティ

モバイルセキュリティの基礎

Java Androidセキュリティ

Kotlin Androidセキュリティ

Kotlin高度なAndroidセキュリティ

iOS（Objective-C）の基礎

iOS（Objective-C）向け安全なプログラミング

iOS（Swift）の基礎

iOS（Swift）向け安全なプログラミング

オープンソースとサプライチェーン

オープンソースソフトウェア（OSS）

オープンソースポリシーとリスク

デジタルサプライチェーンの審査

ペイメントカード業界（PCI）

PCI DSS v4.0 コンセプトとコンプライアンス

プライバシー

GDPR入門

開発者およびアーキテクト向けGDPR

開発およびプロジェクトマネージャー向けGDPR

CCPA入門

安全なソフトウェア設計

アーキテクチャリスク分析

リスクベースのセキュリティテスト戦略

脅威モデリング

セキュリティ要件

セキュリティ基礎

ソフトウェアセキュリティの基礎

攻撃と防御

APIの強化

ローコードおよびノーコード（LCNC）

アプリケーションセキュリティの概念

非人間アイデンティティ（NHI）