ALSI (アルシー)

アルシー セキュリティブログ

「セキュア開発」トレーニングのご紹介

セキュリティ被害

2021-2022年の1年で企業に対するサイバー攻撃は増大し、大きな被害をもたらしています。とくに大手企業における被害は甚大で、操業停止をやむなくするなど情報漏洩のみにとどまらず、事業継続へ直接被害が発生する事態も起きています。

サイバー攻撃におけるリスクの代表格として挙げられるのが「ランサムウェア」による被害です。

ランサムウェア被害.png

ランサムウェアによる被害は、IPAが毎年発表している「情報セキュリティ10大脅威」においても2年連続で組織の1位となり、対策が必須のリスクと言えるでしょう。

01.png

警察庁の発表でも、ランサムウェアの被害報告は1年で4倍も増加しています。

図表1.pngブログ用画像1012.png


警察庁 「令和3年におけるサイバー空間をめぐる脅威の情勢等について(速報版)」より

セキュリティ対策はいつ、どこでやるのがよいのか

では、このランサムウェア対策には、どういったことがあるのでしょうか。

まずはシステム的に感染を防ぐ対策です。Webフィルタリングで危険なサイトへのアクセスを防止したり、ウイルス対策ソフトでマルウェアを検知したり、といった基本的な対策のほか、EDRSIEMによる不審な挙動を検知し対処することが有効です。

また、OSやアプリケーション、データベースなどは最新バージョンを利用することで、攻撃からシステムを守る基本的な対策となる、「脆弱性対応」を実施できます。これらと同時にアプリケーションの脆弱性対策も重要です。外部へ公開しているアプリケーションはもとより、外部に公開していない内製アプリケーションによるサービスサイトであったとしても、ネットワークにつながるシステムであれば必要不可欠です。

それに加えて、「セキュリティ教育」を社員に実施することも有効な対策です。しかし、実際にはセキュリティ教育を十分に行えていない企業も多く見受けられます。その理由として挙げられるのが「セキュリティ人材の不足」や「セキュリティ教育の難しさ」です。

07.png

経済産業省とIPAの「サイバーセキュリティ体制構築・人材確保の手引き」によると、日本のユーザー企業で専任のCISO(最高情報セキュリティ責任者)を設置している企業はわずか7.5%であるなど、「セキュリティ人材の不足」は最も大きなセキュリティ体制の課題となっています。「セキュリティ教育の難しさ」についても、教育プログラムやコミュニティ活動を活用した知識・スキルを習得が、セキュリティ人材を育成することに効果的と言えます。


システム開発現場のセキュリティ対策について

ランサムウェアなどのサイバー攻撃の対策としては、侵入の入り口となる脆弱性への対応をするということが基本です。脆弱性は運用、開発、設計、企画などのフェーズを問わず、いつでもどこでも発生しえますが、初期段階から対応することが効果的と言われています。設計段階での対策コストを1とするとテスト段階でのコストは25倍、運用段階では100倍になるとの試算もあります。

このような背景のなか、内閣サイバーセキュリティセンター(NISC)にて「情報セキュリティを企画・設計段階から確保するための方策」として定義されているのが、「セキュアバイデザイン」です。このメリットとして、手戻りが少なくなる、対応コストが少なくなる、保守性が挙がり運用コストが下がる、といった点が挙げられます。

セキュアバイデザイン.png

また、システム開発のより上流の工程でセキュリティ対策を行うことをセキュリティ対策の「シフトレフト化」と呼んでいます。これにより初期段階で対応をすることで脆弱性の発生リスクを低減できます。時間や工数のロスを最小限にするためにはシフトレフト化による初期段階での対応が有効です。

「セキュア開発」プログラムの紹介

システム開発現場でのセキュリティ対策には、次のような課題があります。



03.png

これらの課題に対応するためにALSIが提供しているのが、今回ご紹介している「セキュア開発」トレーニングです。「セキュア開発」トレーニングは、システム開発者やシステム開発企画者に向けたトレーニングで、次のような学習を実施いたします。

04.png

05.png

これらの学習には実際に体験することの難しい内容も含まれています。特に脆弱性のあるプログラム(Java)へのサイバー攻撃体験は、一連の攻撃を体験して攻撃手法を学び、プログラムコードの問題点を把握して修正する対策方法まで、実践的に学ぶことができます。

演習内容.png

本トレーニングは座学パートとハンズオンパートの2パートで構成されており、2日間のトレーニングとなっております。コース受講目標と効果については、以下の図を参照ください。

0810.png

実践型教育の効果(参加者の声)

実際に本トレーニングを受講なさった方々からのご意見を紹介します。

06.png

このように、多くの参加者のみなさまに本トレーニングの効果を実感いただいております。少しでもご関心のある方は、以下より、資料をダウンロードしてご覧ください。

0712.png

CYBERGYMプログラムの紹介

最後に、本トレーニングのベースとなりますCYBERGYMトレーニングをご紹介いたします。

Cyber_Threats_and_Defense Essentials

Penetration Tester Training

最新記事

自治体

ガバメントクラウドとは?セキュリティ要件や課題、対策方法を解説

クラウドセキュリティファイル暗号化情報漏洩対策自治体

ガバメントクラウドとは?セキュリティ要件や課題、対策方法を解説
個人情報漏洩対策

個人情報漏洩事件から考察する内部犯行の手口とその対策

ランサムウェア対策ログ管理個人情報漏洩対策内部不正対策情報漏洩対策

個人情報漏洩事件から考察する内部犯行の手口とその対策
個人情報漏洩対策

自治体は、サイバー攻撃対策をいかに見直すべきか 〜 自治体セキュリティガイドラインの改定ポイントをや...

ホワイトペーパーランサムウェア対策個人情報漏洩対策

自治体は、サイバー攻撃対策をいかに見直すべきか 〜 自治体セキュリティガイドラインの改定ポイントをやさしく解説 〜