サイバーセキュリティ研修委託ガイド│セキュケン
サイバーセキュリティ研修委託ガイド│セキュケン » 目的(業務)別に知る サイバーセキュリティ研修 » セキュアプログラミング(コーディング)

セキュアプログラミング(コーディング)

ここでは、ハッカーなどの攻撃から自社のシステムを守るための「セキュアプログラミング」について、研修・セミナーの特徴などをまとめています。

目次

セキュアプログラミング(コーディング)とは?

セキュアプログラミングとは、ハッカーなどの攻撃からシステムを守るために、セキュリティ上の脆弱性を避けてソフトウェアコードを設計・実装する開発手法です。ハッカーはプログラムの脆弱な箇所やバグをターゲットとして攻撃を仕掛け、個人情報などを不正に取得・悪用します。

このようなトラブルを回避するための安全対策や、開発指針をセキュアプログラミングやセキュアコーディングと呼びます。具体的な対策方法は、本人認証システムの採用やシステム運用ルールの制定などが挙げられるでしょう。

セキュアプログラミングの対象となるサイバー攻撃

SQLインジェクション

SQLとは、データベースの操作時に使われる命令文を指します。データベースには、企業情報やユーザーの個人情報などが保管されているので、防御の隙を狙って攻撃される機会が多い部分です。

SQLインジェクションは、入力欄やフォームにSQL文を入力する攻撃方法です。プログラムに不備があった場合、入力されたSQL文が実行され、システムを不正に操作される可能性があるでしょう。具体的なトラブルは、ファイルの改ざん・削除、ウイルスの紛れ込みなどです。

コマンドインジェクション

コマンドインジェクションとは、フォームや入力欄にシェルコマンドを入力する攻撃方法です。シェルコマンドは、コンピューターへ指示を出す役割を担っており、ソフトウェアの設定変更やファイル削除なども行えます。

SQLインジェクションはデータベースだけを攻撃対象としていますが、コマンドインジェクションはより攻撃範囲が広く、攻撃される予想外の被害が発生する可能性も。予期せぬトラブルを回避するために、特殊な入力を無効化しておくのが重要です。

パラメータの変更

パラメータの変更とは、URLのパラメータを改ざんする攻撃方法です。URLの「?」以降にはパラメータがついており、プログラムはこれをベースにデータの送受信を実施しています。そのため、パラメータはECサイトやWebアプリに欠かせません。

ECサイトの場合、商品番号のパラメータを付ければ、番号に沿った商品購入ページを表示可能です。ただし、パラメータはユーザーが勝手に変更できるため、対策としてプログラムを組む必要があります。

対象者別に選べる
サイバーセキュリティ研修会社を見る

セキュアコーディングを行う際の原則

バリデーションを行う

ユーザーが入力した全データを対象に、不正データによってシステムに悪影響が及ばないよう、入力の長さ・形式・内容を検証します。

コンパイラの警告をチェック

コードのコンパイル時に、表示される警告をそのままにせず、全てチェック・修正します。システムの脆弱性や潜在的なバグの発見につながります。

セキュリティポリシーの実装

組織・企業のセキュリティポリシーに沿ってコードを記述します。これによって、データ暗号化や認証・アクセス制限などを実現可能です。

シンプルな設計を行う

システムを設計する際は、バグや脆弱性を最小限に抑えられるよう、シンプルでわかりやすくするのが重要です。

最小特権の原則を厳守

権限乱用や侵害リスクを減らすために、ユーザーやプログラムには必要最低限の権限を与えましょう。

デフォルトで拒否する

不必要なアクセスを防止するために、デフォルト状態でのアクセスは拒否。必要な場合だけ明示的に許可します。

データのサニタイズを徹底する

他のシステムにデータを送信する場合は、サニタイズ(無害化)を行います。SQLインジェクションなどの攻撃対策として効果的です。

多層防御を実践

システム全体のセキュリティを強化するために、複数の防御層を設けましょう。これにより、どれか1つが破られてもセキュリティの維持が可能です。

品質保証技術の使用

コードレビューやテストなどを対象とした品質保証技術を利用し、コードの品質や安全性を確保します。

セキュアコーディング標準の採用

業界のセキュアコーディング標準などを使ってコードを記載すれば、一般的な脆弱性の回避につながります。

セキュアプログラミングについて学べる研修・セミナーは?

Secure Coding for Developers(サイバージムジャパン)

システム開発プログラマー・エンジニア・システム開発管理者を対象として、2日間にわたりサイバーセキュリティの基礎からセキュアコーディング手法、Web脆弱性演習まで学べる研修です。システムにおける一連の攻撃を体験しながら、攻撃手法についての知識を深められます。

研修に参加すれば、安全性の高いシステムを構築できるようになるでしょう。

サイバージムジャパンの研修の
特徴や受講者の声を見る

よく読まれている他の記事
   

サイバーセキュリティ研修会社
おすすめ3選

経産省の資料では、サイバーセキュリティに関する組織体制において、IT、デジタル部門の開発、運営者・事業部門などの「実務者・技術者層」、セキュリティ部門・監査部門などの「戦略マネジメント層」、取締役・執行役員などの「経営層」、の3つに分類され、必要なスキルや具体的にやるべきこと(タスク)が定義されています。

該当の対象者に向けた研修を展開しているおすすめの会社を合わせて見られるようにしているので、検討している受講者の欄からご覧ください。

エンジニア向け
模擬攻撃を仮想環境で体験
“即戦力”を鍛えたいなら
Top Out Human Capital
Top Out Human Capital公式
画僧引用元:Top Out Human Capital公式
(https://www.topout.co.jp/)
研修の特徴

CompTIA CASP+やCySA+など上位資格を学べる研修ラインナップ。CompTIAプラチナパートナーとして上位資格を一気通貫で学べる国内数少ない会社です。
実務や技術者が仮想空間で手を動かしながら実践的にスキルを習得できる点が特徴です。

対応する資格・コースの一例

CompTIA(Pentest+、CASP+、CySA+他)、EC-Council(CEH、CCT他)、ICT(OT)、SecuriST、インシデント対応、ペネトレーションテスト、フォレンジック など

公式HPで
コースや内容を見る

当サイトで
この会社の詳細を見る

マネジメント層向け
インシデント発生時の対応方法を
実践的に体験したいなら
ラック
ラック公式
画僧引用元:ラック公式
(https://www.lac.co.jp/service/education/)
研修の特徴

セキュリティ事故などインシデント対応者に必要な知識を学べる専用プログラムが特徴。
基礎的な知識から、デジタルフォレンジックやマルウェア解析など専門技術を内製できる企業向けにもコースを展開しています。

対応する資格・コースの一例

インシデントレスポンス、マルウェア解析、セキュリティオペレーション、デジタルフォレンジック、脆弱性ハンドリング、情報セキュリティ事故対応 など

公式HPで
コースや内容を見る

当サイトで
この会社の詳細を見る

経営者向け
セキュリティで企業価値を守る
経営者に必要な講座なら
ニュートン・コンサルティング
ニュートン・コンサルティング公式
画僧引用元:ニュートン・コンサルティング公式
(https://www.newton-consulting.co.jp/)
研修の特徴

企業のリスクマネジメントを支援するコンサルティング業務を主軸としており、企業経営の推進力を高めるリスクマネジメント力が身に着く研修を提供しています。
経営層向けだけで3段階のコースを展開し、着実なステップアップができます。

対応する資格・コースの一例

経営層向けサイバーセキュリティ対応能力向上、CSIRT構築、情報セキュリティ入門、組織サイバーレジリエンス力向上 など

公式HPで
コースや内容を見る

当サイトで
この会社の詳細を見る

サイバーセキュリティ研修を受ける
対象者にあった
研修会社の選び方