デジタル人材の育成
公開日:2024年4月8日
最終更新日:2024年6月3日
現代では、生活がインターネットにつながっていることが当たり前となっています。パソコンやスマートフォンがインターネットに接続され、背景にはウェブ技術やクラウド技術が重要な役割を果たしています。一方で、プロダクトセキュリティは、このインターネットの発展とともにより重要性を増しています。ゲームや動画、SNSなどの私生活だけでなく、給与計算や人事、行政業務などでもクラウドの利活用が進み、セキュリティがますます求められています。このような状況の中で、プロダクトセキュリティはどのような役割を果たすのでしょうか?プロダクトセキュリティは、開発者に対する制約ではなく、むしろリスクに適切に対処し安全に変化を遂げるための手段です。
このクラスを受講した学生は、個々のセキュリティ要素のみならず、あまたあるセキュリティの手段の中から、自身がこれから所属する組織やチームにおいて、プロダクトセキュリティを高めるために、どのような優先順位で、どのように推進していくかを身に着けることを目指します。さらに、組織でプロダクトセキュリティを高める活動を進めるためには、チームでの協力が不可欠です。自身の思いや考えを明確に伝え、共通言語化することで、チーム全体が目標に向かって一丸となって進むことができます。そして、全員が異なる環境で育ってきたことを前提に、それぞれの専門性を活かして業務を進めていくことになります。異なるバックグラウンドを持つメンバーが集まることで、より多角的な視点からのプロダクトセキュリティの向上につながるでしょう。
このクラスを受講する皆さんは、プロダクトセキュリティの専門家として、上手に周囲を巻き込みつつ、時にはリーダーや先生として、時には協力者として、時にはチームの一員として活躍できることを目指します。そして、その貢献が、より安全で信頼性の高いデジタル社会の実現につながることを願っています。
8月13日(火曜日) 8時30分~12時30分
本講義では、ウェブとクラウドの技術を用いたプロダクト開発において、セキュリティの重要性とその実践法を学ぶことで、5日間で学ぶ要素技術の関連性を大まかに理解することを目指します。プロダクト開発におけるセキュリティ対策の基本から、企業の事業フェーズに応じた体制構築、リスクへの対処法までを広く俯瞰します。アイスブレークとして事前課題の成果発表や講師との対話を通じてコミュニケーション能力も高め、さまざまな組織文化のもとでセキュリティを推進するためのリーダーシップを学びます。
8月13日(火曜日) 13時30分~17時30分
講師の今までの経験も踏まえ、組織の情報セキュリティ対策に関する戦略と戦術の話をしながら、いくつかのテーマでワークを実施します。
- 座学(イントロダクション・俯瞰視点の情報セキュリティ・戦略戦術等の話)
- グループディスカッション x 1(情報セキュリティ対策の0->1)
- グループワーク x 1(インシデントハンドリング演習)
- 個人ワーク x 1(ゼロトラストやWAFに関するワークを予定)
注釈:環境や時間によって内容が多少変更される可能性があることをご了承下さい。
8月14日(水曜日) 8時30分~12時30分
組織におけるセキュリティ対策では脆弱性を塞ぐような「防御」的な対策が注目されがちですが、同様に「監視」的な対策も重要です。組織内のリスクを早期に検出、調査そして管理ができる「監視」体制を構築することで、「防御」で防げなかった問題による影響を極小化できます。セキュリティ監視は大きくイベント監視(攻撃などの検出)とアセット監視(システムの脆弱性や設定ミスの検出)に分類できます。本講義ではこれら2つのセキュリティ監視についての概要を説明しつつ、具体的に取り組む際の考え方やエンジニアリング的なアプローチについて紹介します。
8月14日(水曜日) 13時30分~17時30分
モダンなプロダクト開発環境に対するサイバー攻撃のシナリオを題材に、攻撃者の思考・感情・判断基準に関する深い理解を受講者に与えるとともに、ベストプラクティスの確立されていない領域においても攻撃者目線で脅威分析を行い、自らセキュリティ対策を立案できる人材の育成を目指します。
講義では、講師が従事するサイバー攻撃シミュレーションサービス「レッドチーム演習」での経験に基づき、ゼロトラスト、ソースコード共有サービス、CI/CD、クラウドなどモダンなプロダクト開発環境に対するサイバー攻撃がどのように行われているかを解説した上で、ハンズオンで実践します。
また、学んだ攻撃者の考え方をどのように対策として活かせるかを、組織・技術の双方の観点から、脅威分析なども用いて解説を行います。
本講義を通じて、開発するプロダクトやそこで利用するテクノロジに関わらず、あらゆる環境に適用可能な「攻撃者が何を狙うかを自ら考え、対策を推進する力」を体得することにより、広くITに関わるすべての受講者に、セキュリティを意識した業務を行なうための地図を提供することを目指します。
8月15日(木曜日) 8時30分~12時30分
Shift-leftと呼ばれる言葉があるように、プロダクトのセキュリティを担保するためには、できる限り工程の前でセキュリティリスクを発見し、セキュリティ対応をすることが大事であると言われています。 そのようなプロダクト開発の潮流の中で、セキュリティを担保するための技術というのは、広範な知識と多くの技術が要求されるようになってきています。 本講義では、開発工程を「設計」「実装」「テスト」「修正」の4つのフェーズに分割し、各フェーズにおける考え方や実践方法を学ぶことで俯瞰的に理解します。
また、技術的な能力を高めるだけではなく、脆弱性におけるリスクを他人にわかりやすく説明するなどのいわゆるソフトスキルの向上も目指します。
本講義のゴールはプロダクトのセキュリティに関心を寄せるエンジニアとしての総合的な力を身につけることになります。
8月15日(木曜日) 13時30分~17時30分
コンテナ実行基盤としてKubernetesが広く普及する中、そのセキュリティ対策の重要性が高まっています。本講義では、Kubernetesクラスタやコンテナアプリケーションを保護するための各種機能と、OSSを利用したセキュリティ強化について実践的に学びます。
Kubernetes環境における脅威の理解と対策の優先順位付け、さらに運用面も考慮した現実的な対策実施方法の習得を目指します。