HOME 情報セキュリティ情報セキュリティ対策脆弱性対策IPA セキュア・プログラミング講座

IPA セキュア・プログラミング講座

最終更新日　2017年 6月 9日
独立行政法人情報処理推進機構
セキュリティセンター

歴代講座

セキュア・プログラミング講座 (2016年10月版／2017年6月一部修正)

2002年 2月に「Webプログラマコース」と「製品プログラマコース」、2007年の 6月に「Webアプリケーション編」と同年の 9月に「C/C++編」と分けて公開してきました。今回は原則を中心として共通的なものをまとめて再編することにいたしました。

※上記以外の旧版資料については更新を行いません。

旧 2007年版（ソフトウェア開発部門向け）
- (旧)Webアプリケーション編（2007年 6月）
- (旧)C/C++言語編（2007年 9月）

参考資料

セミナー等資料
- 早めのチェック　3工程によるセキュリティ品質確保(2010年8月)
- 『セキュア・プログラミング講座(Webアプリケーション編)』ブートアップセミナー資料(5.87MB)(2014年10月)
- 『セキュア・プログラミング講座(Webアプリケーション編)』マッシュアップセミナー資料(3.82MB)(2013年12月)

『情報セキュリティ技術動向調査報告書』

「Ajaxブラウザセキュリティ - 主戦場をDOMに移したXSS」（2011年 9月）
「IETFにおけるWeb 2.0 セキュリティ（Websec WG,JWT等）」（2011年 9月）
「Ruby on Rails とセキュアプログラミング」（2011年 3月）
「Apache Shiroアプリケーションフレームワーク」（2011年 3月）
「URI のエスケープ」（2010年 3月）
「Untrusted search path vulnerability」（2009年 9月）
「テンポラリファイルの扱い」（2009年 3月）
「Debian の openssl」（2008年 8月）

『オープンソース・ソフトウェアのセキュリティ確保に関する調査報告書』（2004年 3月）

効率的なソースコード検査技術の調査 (282KB)
代表的なソースコード検査ツールについて、どのようにセキュリティ脆弱性がチェックされ、どのような検査報告が行われるか等について整理しました。
効率的なソースコード検査技術利用ガイド (99KB)
代表的なソースコード検査ツールのひとつである RATS の利用法を説明しています。
セキュアな実行コードの生成・実行環境技術の利用ガイド (1,117KB)
バッファオーバーフロー対策に有効な 2 つのツール（Stack Smashing Protector と Libsafe）の利用法を説明しています。

国際ジャーナル

IJSSE（International Journal of Secure Software Engineering）

参考文献ほか

開発工程全体にわたるセキュリティについての参考文献

上流工程における脅威分析についての参考文献

CERT, "SQUARE"
CERT, "SQUARE Instructional Materials"
Frank Swiderski, Window Snyder, 渡部洋子訳,『脅威モデル ― セキュアなアプリケーション構築』,日経BP出版センター（2005年 6月：絶版）

セキュリティ脆弱性の低減に関する参考文献（製品プログラマ向け）

CERT Secure Coding Standards
Fred Long,Dhruv Mohindra,Robert Seacord,David Svoboda, "Java Concurrency Guidelines" , CERT（2010年 6月）
JPCERTコーディネーションセンター, 「セキュアコーディング」
「AusCERT セキュアプログラミングチェックリスト」（日本語訳） (88KB)
原文：AusCERT, "Secure Unix Programming Checklist"
Brian Chess, Jacob West, "Secure Programming with Static Analysis", Addison-Wesley Professional (July 2007)
Michael Howard & David LeBlanc 著,トップスタジオ訳, 「WRITING SECURE CODE 」第 2 版（上）,（下）マイクロソフト公式解説書,日経 BP ソフトプレス（2004年12月）
FreeBSD「安全なプログラミングのためのガイドライン」
David A. Wheeler 著,高橋聡訳, "Secure Programming for Linux and Unix HOWTO"日本語訳
原文："Secure Programming for Linux and Unix HOWTO"
David Kennedy,Jim O'Gorman,Devon Kearns,Mati Aharoni, 『実践 Metasploit - ペネトレーションテストによる脆弱性評価』,オライリー・ジャパン（2012年 5月）
Mark G. Graff
原書："Secure Coding: Principles & Practices",O’Reilly(2003/6)
日本語訳:"セキュアプログラミング―失敗から学ぶ設計・実装・運用・管理 ",オライリージャパン (2004/04)
Gary McGraw, John Viega, 『Building Secure Software』,オーム社（2006：絶版）
原書："Building Secure Software: How to Avoid Security Problems the Right Way"(September 2001: Out of Stock)
「Androidアプリのセキュア設計・セキュアコーディングガイド」,一般社団法人日本スマートフォンセキュリティ協会

ツールプロジェクト情報（製品プログラマ向け）

Java言語関連

参考文献

JPCERT/CC,「Javaセキュアコーディング入門」,CodeZine．
JPCERT/CC,「Java セキュアコーディングスタンダード CERT/Oracle 版」
Fred Long , Dhruv Mohindra, Robert C. Seacord, Dean F. Sutherland, David Svoboda, 歌代和正 (監修), 久保正樹 (訳), 戸田洋三 (訳), 『Javaセキュアコーディングスタンダード CERT/ Oracle版』, アスキー・メディアワークス (2012年 1月)

C/C++言語関連

処理系

Fail-Safe C
http://staff.aist.go.jp/y.oiwa/FailSafeC/index-ja.html

参考文献

Robert C. Seacord 著, 歌代和正,久保正樹,椎木孝斉翻訳, 『C/C++セキュアコーディング第2版』, KADOKAWA/アスキー・メディアワークス（2014年 9月）
原書： Robert C. Seacord, Secure Coding in C and C++, Second Edition , Addison-Wesley Professional (2013)
JPCERT/CC, 「C/C++ セキュアコーディングセミナー資料」
John Viega & Matt Messier,『C/C++ セキュアプログラミングクックブック VOLUME 1』, オライリー・ジャパン（2004年 9月：絶版）
原書： "Secure Programming Cookbook for C and C++: Recipes for Cryptography, Authentication, Input Validation & More" O'REILLY (2003)
ISO/IEC TR24731-1,Information Technology - Programming languages, their environments and system software interfaces - Extensions to the C Library, - Part I: Bounds-checking interfaces -

Web アプリケーション関連

参考文献

OWASP Top 10 日本語版
https://www.owasp.org/images/2/23/OWASP_Top_10-2017(ja).pdf
Paco Hope, Ben Walther, "Web Security Testing Cookbook", O'Reilly (2008)
W3C, "The World Wide Web Security FAQ"（日本語版）
http://www.w3.org/Security/Faq/001031wwwsfj.ja.sjis.html
Ruby On Rails Security Guide
http://guides.rubyonrails.org/security.html
PHP Security（Chris Shiflett）
原書："Essential PHP Security: A Guide to Building Secure Web Applications",O'Reilly(2005/10)
日本語訳："入門PHPセキュリティ",オライリージャパン (2006/5)

ツール

WebProbe
http://www.softek.co.jp/SSG/products/wp/wp.html
Fiddler
https://www.telerik.com/download/fiddler
Burp Proxy
https://portswigger.net/burp/proxy.html
OWASP ZAP
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
Charles Web Debugging Proxy
http://www.charlesproxy.com/

更新履歴

2020年 2月 20日	本ページの歴代講座で2002年及び2003年から公開していた旧版の情報を削除いたしました。
2017年 6月 9日	最新の2016年10月版のP13「実施細則2」とP30「5.5.出力のエスケープ」の記述を訂正
2016年10月31日	本ページの歴代講座のセキュア・プログラミング講座を改定
2014年10月 2日	本ページのセミナー等資料の「Webアプリケーション編」ブートアップセミナー資料を更新「Webアプリケーション編」の「アクセス制御」を更新
2014年 9月 5日	「Webアプリケーション編」に「Web関連技術」を追加
2014年 7月11日	「C/++言語編」の「著名な脆弱性対策」を更新
2014年 3月18日	「C/++言語編」の「総論」を更新
2013年12月17日	本ページのセミナー等資料に「Webアプリケーション編」マッシュアップセミナー資料を掲載
2013年10月 1日	「Webアプリケーション編」の「マッシュアップ」を更新
2013年 8月 6日	「Webアプリケーション編」の「総論」および「エコーバック対策」を更新
2013年 7月 2日	本ページのセミナー等資料に「Webアプリケーション編」ブートアップセミナー資料を掲載
2013年 2月26日	本ページのセミナー等資料を再編
2013年 2月 7日	「C/C++言語編」の「エラーハンドリング」の節を更新
2012年11月30日	「Webアプリケーション編」の「マッシュアップ」関連の節を更新
2012年 5月25日	参考資料セキュリティ脆弱性の低減に関する参考文献（製品プログラマ向け）を更新
2012年 5月 2日	参考資料セキュリティ脆弱性の低減に関する参考文献（製品プログラマ向け）を更新
2012年 3月16日	「Webアプリケーション編」に「マッシュアップにおけるセキュアプログラミング」関連の節を追加
2011年 9月27日	参考資料『情報セキュリティ技術動向調査報告書』に項目追加等
2011年 3月28日	参考資料『情報セキュリティ技術動向調査報告書』に項目追加
2010年12月27日	「Webアプリケーション編」総論に「Webアプリケーションフレームワーク」の項を追加
2010年 7月16日	ツールプロジェクト情報（製品プログラマ向け）
2010年 4月16日	品質保証部門向けに早めのチェック - 3工程によるセキュリティ品質確保を公開

情報セキュリティ