logo

セキュア開発ライフサイクルセミナー~脆弱性を作り込まない開発プロセス~

2013年1月29日 (火)~
[ セミナー ] NRIセキュアテクノロジーズ株式会社

開催場所:東京

開催日:  2013年1月29日

SDLC(Software Development Life Cycle)が提唱されてから長い年月が立ちます。その間、企業の業務にはITが浸透し、システムが大規模化することで必要な関係者が増え、複数の要素が開発工程に入り込み、開発プロセスを複雑にしてきました。その中にセキュリティの観点が盛り込まれたのは、実はここ10年程のことではないでしょうか。
サイバー攻撃が増えているのは、攻撃者が増えていることが大きな原因です。一方で、セキュアな開発、リリース前チェック、セキュアな運用が揃ったシステムが実現されていないことも、原因と言えるのではないでしょうか。
なぜ運用に入って、攻撃されてしまうのでしょうか。もちろん攻撃手法は日々進化していますが、主要な脆弱性に大きな入れ替わりはありません。つまり、既知の脆弱性について対策が十分にできていれば、攻撃されても耐性があるといえるのではないでしょうか。事実、有名なサイトや大規模ユーザを抱えるシステムでも、攻撃を受けて持ちこたえているケースはたくさんあります。

最初からセキュアなシステムを作る。このシンプルな仕組みは、確実に攻撃耐性を高めてくれるでしょう。本セミナーでは、10年の脆弱性診断の歴史からセキュアなシステムリリースに必要な観点と、開発者のセキュリティスキルを高めていくアクションについてご紹介します。システム開発会社や企業のシステム子会社では、既に挙がっているテーマの一つと思われますので、ご参考いただければ幸いです。

■13:30 <開場・受付開始>

■14:00 ~ 14:35 <セッション1>
「セキュア開発プロセスのデファクトスタンダード」
セキュリティ診断で発見される脆弱性は、その多くが事前に対策すべき問題であり、開発プロセスの早い段階で見つかる程、対策コストは低く抑えられます。
最初からセキュアなシステムを開発するために、アプリケーション開発について、セキュリティ観点を実現する取り組みについてご紹介します。
  NRIセキュアテクノロジーズ テクニカルコンサルティング部

■14:40 ~ 15:30 <セッション2>
「アプリ開発に必須! ITコスト削減と脆弱性検出に有効な静的解析の勧め」
新たなサービスをタイムリーに提供するために、アプリケーション開発の劇的なスピード・アップが望まれています。このようななかで、運用するすべてのアプリケーションの品質とセキュリティを確保する事は、アプリケーションの発注者、運用担当者、開発者、そしてセキュリティ担当者にとって頭の痛い問題です。本セッションでは、従来の対策の問題点を明らかにしながら、静的解析技術とそのメリットと、静的解析を開発部門や開発ベンダーに効果的に利用してもらうためのポイントを解説します。
  コベリティ日本支社 ビジネスデベロップメント・マネージャ 雨宮 吉秀 氏

■15:35 ~ 16:10 <セッション3>
「セキュア開発人材育成
 ~新しい開発者トレーニングの形。開発者向けセキュアe-learning~」
ソフトウェア開発者向けのトレーニングには、集合研修やハンズオンなど様々ですが、セキュア開発に関しては、まだそれほど多くのラインナップはありません。
開発者一人一人に、セキュリティの観点をインプットするのに、e-learningという手段を用いたトレーニングがあります。
北米で実績を積んだSecurityInnovationの開発者向けe-learningをご紹介します。
  NRIセキュアテクノロジーズ 事業開発部

■16:10 ~ 16:30 <質疑応答・相談会>

今日の主要記事