セキュア開発の全体像と見落としがちな脆弱性 ～開発者必見！セキュア開発トレーニング～（5/20）

セミナー概要

ソフトウェア開発において「脆弱性診断」は必須のプロセスです。しかし、リリース前の診断で検知された脆弱性の修正に、多大なコストとスケジュールが必要になることは少なくありません。また、診断を実施しても、ログの出力や検知の仕組み、ユーザーごとの権限など、診断では見つけられない脆弱性は開発者の経験と知識に委ねられることになります。

神戸デジタル・ラボでは、そのようなリスク、コスト、スケジュール遅延を低減するため、開発の初期段階からセキュリティに考慮する、「セキュア開発」に取り組んでいます。

本セミナーでは、神戸デジタル・ラボのセキュア開発に対する取り組みの一つである「セキュア開発トレーニング（インジェクション対策編）」を体験いただけます。また、当社のセキュリティ事業「Proactive Defense」の脆弱性診断士より、脆弱性診断でよく検出される項目とその対策についてご紹介します。

セキュア開発トレーニングとは

KDLの開発者全員が受講している、システム開発段階から脆弱性を作りこまないためのトレーニングです。OWASP Top 10、OWASP Top 10 Proactive Controls、OWASP ASVS、OWASP MASVS、OWASP Cheat Sheet Seriesなど、多くのOWASPプロジェクトを活用し、すぐ使える実践的な内容で実施しています。​

＜ セッション1 ＞​脆弱性を防ぐセキュア開発トレーニング ～セキュア開発の全体像とトレーニング体験（インジェクション対策編）～

セキュア開発に取り組みたいが、何から始めたらよいのかわからない、といった声をよく耳にします。本セッションでは、当社がどのようにセキュア開発に取り組み始めたか？を踏まえながら、セキュア開発の全体像のご紹介と、トレーニングの一部を体験受講していただきます。

• なぜセキュア開発に取り組む必要があるか？
• セキュア開発の始め方
• 実践！トレーニング体験（インジェクション編）

＜ セッション2 ＞​脆弱性診断って何してるの？ ～診断項目とよく検出される脆弱性～

開発したソフトウェアの脆弱性診断を依頼したり、自社内で診断したことがあっても、専門の診断士がどのように診断しているのかを知っている、という方はあまり多くないのではないでしょうか。 本セッションでは、神戸デジタル・ラボのセキュリティ事業「Proactive Defense」の脆弱性診断士が、脆弱性診断の方法とよく検出される脆弱性についてご紹介します。

• 脆弱性診断とは？
• 診断項目と実施方法
• よく検出される脆弱性とその対策

＜ こんな方におすすめ ＞​

• 自社のソフトウェア開発に取り組んでいる開発チーム・エンジニア
• Webアプリケーション・システム開発会社のエンジニア
• セキュア開発・脆弱性診断に興味のあるエンジニア

＜ 登壇者 ＞

松田 康司

神戸デジタル・ラボ　 デジタルビジネス本部　生産技術チーム / KDL-SIRT PSIRT

神戸大学情報知能工学科卒。2014年にKDLに入社。自社で構築するECサイトのほぼすべてのプロジェクトに関与しながら、多くの開発プロジェクトを経て、現在は全社のセキュア開発を推進する生産技術チームにて、開発部門主導のセキュア開発を実践している。また、KDL-SIRT PSIRT を兼務している。コミュニティ活動としては、OWASP Kansaiボードメンバー、アルティメットサイバーセキュリティクイズ実行委員として活動している。

田所 成久

神戸デジタル・ラボ　 デジタルビジネス本部　Securityチーム

2007年に神戸デジタル・ラボ入社。15年以上に渡り脆弱性診断業務に従事。 主にECサイトや企業内の業務システムなどのWebアプリケーションに対する診断を担当。診断の傍ら一般財団法人関西情報センターが主催するサイバーセキュリティ研修プログラムの講師を務めるなど、セキュリティ人材の育成にも尽力している。

開催概要

• 開催日時 2025年5月20日（火）14:00～15:00（入室 13:55～）
• 会場　オンライン（お申込みいただいた方にZoomのURLをお送りします。）
• 参加費 無料

お申込み方法

当connpassページの【 このイベントに申し込む 】ボタン、もしくは、下記URLよりお申込みいただけます

https://2e946dff.form.kintoneapp.com/public/secure-dev-seminar