デジタル人材の育成
公開日:2025年5月7日
現代では、生活がインターネットにつながっていることが当たり前となり、ウェブ技術やクラウド技術が社会の基盤として重要な役割を果たしています。一方で、ゲームや動画配信、SNSといった日常的なサービスだけでなく、教育(EdTech)、金融(FinTech)、医療(HealthTech)など、さまざまな業界においてクラウドの利活用が進む中で、プロダクトセキュリティの重要性もますます高まっています。プロダクトセキュリティは、開発者に対する制約ではなく、安全にサービスを提供し、社会の信頼を確保するための不可欠な手段です。
本クラスでは、XaaS(Everything as a Service)やX-Tech分野のプロダクト開発・運用に必要なセキュリティ知識とスキルを体系的に学びます。クラウド環境におけるセキュリティ設計、認証技術、監視・ログ管理、APIセキュリティといった技術的な要素を深く理解するとともに、セキュリティを考慮した設計・開発の手法を身につけます。また、攻撃者の視点から脆弱性を分析し、どのようにシステムが狙われるのかを考えることで、より実践的な対策を学びます。さらに、プロダクトの信頼性を高め、競争力を強化するために、経営層や他の関係者へ適切にセキュリティの重要性を伝える力も養います。
このクラスを受講する皆さんは、単なる技術習得にとどまらず、チームで協力しながらプロダクトセキュリティを向上させる方法を学びます。異なるバックグラウンドを持つメンバーと共に多角的な視点を養い、組織の中でリーダーとして、あるいは協力者として、セキュリティを推進できる人材を目指します。
8月12日(火曜日) 8時30分~12時30分
クラウドプラットフォームはリソース構成の自由度が高く、素早く柔軟にサービスを提供したい人にとっては強い武器になる反面、その自由度故に脆弱な構成になりやすい側面もあります。また、クラウドサービスを活用したプロダクト開発は便利な半面、サプライチェーン攻撃などをうける脆弱さもあります。本講義ではこれらの対策の一つであるセキュリティ監視について学びます。
前半ではセキュリティ監視を実践するにあたっての前提や設計などについて学びます。セキュリティ監視は他のセキュリティ対策と組み合わせて活用することとなるので、利用するアーキテクチャやクラウドプラットフォームが提供しているセキュリティ機能を活用・理解している必要があります。これらを理解しつつ、どのように設計するかについて解説します。
後半では実際にセキュリティ監視のための機能を構築する実習に取り組みます。実際にクラウドプラットフォーム上でセキュリティ監視の基本であるログの収集、保全、管理、検知を簡易的なセキュリティ監視基盤を構築します。セキュリティ監視は組織の成熟度に応じて取り組み方や規模が変化するため、今回は組織が小さい段階からどのような取り組みができるかを順を追って体験できるようにしたいと考えています。
8月12日(火曜日)13時30分~17時30分
プロダクトのセキュリティを担保するためには、できる限り開発工程の前段階でセキュリティリスクを発見することが大事であり、これを Shift-left と呼びます。
そのようなプロダクト開発の潮流の中で、セキュリティを担保するために、広範な知識と多くの技術が要求されるようになりました。
本講義では、ソフトウェア開発ライフサイクル(SDLC)をもとに、各工程でセキュリティをどのように担保すべきかについて、考え方や実践方法を学びます。
それにより、DevSecOps に代表されるセキュアな開発工程を俯瞰的に理解し、エンジニアの総合的な力を身につけます。
また、技術的な能力を高めるだけではなく、脆弱性に起因するリスクを他人にわかりやすく説明するなどのいわゆるソフトスキルの向上も目指します。
本講義のゴールはプロダクトのセキュリティに関心を寄せるエンジニアとしての総合的な力を身につけることです。
8月13日(水曜日)8時30分~12時30分
本講義は、デジタルアイデンティティの基礎とパスキーの実装について学びます。
前半では、本人確認、ログイン・再認証、認可・ID連携、アカウントリカバリーなど、デジタルアイデンティティの利活用に必要な基礎的な知識を学びます。
インターネットサービスの機能が充実していく中で、気軽に匿名で利用できるものから本人確認(Know Your Customer、KYC)が求められるサービスに変化してきています。世の中でKYCが求められる背景やトレンドをおさらいします。
また、パスワードや二要素認証であるワンタイムパスワードなどの既存の認証技術、OAuth 2.0やOpenID Connectといった認可・ID連携の技術についても解説します。
後半では「パスキー」について解説をします。パスキーはパスワードレス認証を実現する最新の認証技術です。
近年パスワードのリスト型攻撃に加えてフィッシング攻撃の被害も増加しています。フィッシング攻撃の対策として期待されるパスキーの概要やプロトコルをご紹介します。
座学に加えて、実際にWebアプリケーションにパスキーをプログラミングし、UI/UXや実装のポイントをハンズオン形式で学びます。
講義を通じて、デジタルアイデンティティで実現する安心・安全なインターネットサービスのあり方を参加者のみなさんと一緒に考えていきます。
8月13日(水曜日) 13時30分~17時30分
現代のソフトウェア開発は、クラウドネイティブなアプローチへと急速に移行しています。コンテナ化やマイクロサービス、Kubernetesなどのオーケストレーション技術の採用により、開発速度とスケーラビリティは劇的に向上しました。しかし一方で、新たなセキュリティリスクへの対応も不可欠となります。本講義では、プラットフォーム提供者の視点に立ち、Kubernetesにおける安全なプラットフォームの構築・運用を実践的に学びます。
受講生は、実際にKubernetesクラスタに触れながら、ハンズオン形式でセキュリティ対策を実装します。潜在的な脅威と対策への理解を深め、開発ライフサイクル全体を意識した適切なセキュリティ対策を選定・実装する能力を養います。
8月14日(木曜日) 8時30分~12時30分
架空の組織に対して行われる一連のサイバー攻撃のプロセスを辿ることにより、攻撃者の視点で物事を捉える機会を受講生に提供し、ベストプラクティスの確立されていない領域においても自らセキュリティ対策を立案できる人材の育成を目指します。
セキュリティエンジニアを目指す人にとって、単体のセキュリティ技術あるいはトレンドとなる攻撃技術について学ぶ機会は多くあり、良質なコンテンツに個人が自由にアクセスできる時代になりました。しかし、個々のセキュリティ技術や攻撃手法を理解することと、攻撃者の思考や感情を理解することには大きな違いがあります。ほとんどの人にとって、現実世界に対してサイバー攻撃を実施し、攻撃者の見る世界を肌で感じる機会はごく限られています。
本講義では、講師が従事するサイバー攻撃シミュレーションサービス「レッドチーム演習」での経験に基づき、ゼロトラスト、ソースコード共有サービス、CI/CD、クラウドなどモダンなプロダクト開発環境に対する一連のサイバー攻撃を取り上げます。受講生は、講義、デモ、ハンズオン、ディスカッションを通じ、攻撃者がどのように考え、感じ、行動するかを疑似体験することができます。攻撃者の思考や感情を理解することができれば、セキュリティ対策をこれまでとは違った視点で捉えることができるはずです。
本講義を通じて、開発するプロダクトやそこで利用するテクノロジに関わらず、あらゆる環境に適用可能な「攻撃者が何を狙うかを自ら考える力」を体得することにより、広くITに携わるすべての受講者に、セキュリティを意識した業務を行なうための地図を提供することを目指します。
8月14日(木曜日) 13時30分~17時30分
API開発の現場では、技術の進化やビジネスの要求に応じてアーキテクチャを柔軟に変更する「進化的アーキテクチャ」の考え方が採用されています。これはセキュリティの分野でも重要であり、変化し続ける環境に適応しながら、セキュリティを確保する設計・運用が求められます。
本講義では、既存のAPIアーキテクチャのセキュリティ課題を分析し、アーキテクチャの変化に対応しながら、どのように堅牢なセキュリティを確保するかを考察します。講義と演習を通じて、「セキュリティアーキテクト」としての視点を養い、脅威に強いAPIアーキテクチャの設計・構築戦略を習得することを目指します。
講義と演習を通して、既存のAPIアーキテクチャをセキュリティの観点から評価し、脅威モデリングなどを活用してリスクを特定・分析し、改善策を検討・立案するプロセスを学びます。また、理想的な「ベストプラクティス」を理解するだけでなく、リソースや技術的制約、ビジネス上の優先事項を考慮しながら、現実的に実現可能なセキュリティ対策の最適解を見出す力を身につけます。
2025年5月7日
ページを公開しました