受講状況

ネットワークにおける境界防御や基盤部分のセキュリティ対策が浸透・普及するにつれて、攻撃の対象はアプリケーションに移行してきています。アプリケーションには、汎用アプリケーションや、組織が自社専用に開発した業務アプリケーション、その他汎用ソフトウェアや組込みソフトウェアなどが含まれますが、とりわけWebアプリケーションは、重要なデータベースへアクセスしているケースも多く、攻撃が成功することによる影響は極めて深刻です。新たに発見される脆弱性の数も、ここ数年の間に増加の一途をたどっています。
SANSでは、これらアプリケーション/ソフトウェアに起因するリスクを低減するために、ユニークで画期的な取組みを、政府機関や民間の多くの組織と連携しながら行っています。

GIAC Secure Software Programmer(GSSP)Certification Exam
-GSSP認定試験-

GSSPGIAC Secure Software Programmer(GSSP)認定試験は、SANS Institute、US CERT/CC、米国政府機関と、米国、日本、インド、ドイツのリーディング・カンパニーの尽力によって開発されました。この試験は、急激に増加するアプ リケーションの脆弱性を突いたターゲテッドアタック(標的型攻撃)に対する本質的な対抗策です。 >>More Info

CWE/SANS TOP 25 Most Dangerous Software Errors
-CWE/SANS最も危険なソフトウェアエラーTOP25

2009年1月12日、ワシントンDCで米国をはじめとする各国のサイバーセキュリティ会社に所属する30名以上の専門家が、セキュリティバグの 原因になったり、サイバースパイ活動やサイバー犯罪につながる恐れのある最も危険なプログラミング上のエラー25項目のコンセンサスリストを共同発表しました。以来、この「CWE/SANS 最も危険なソフトウェアエラーTOP25」は、最新の情報と経験に基づき、この分野への深い理解を有する個人と組織の貢献によって継続的にアップデートされてきました。ソフトウェア開発におけるセキュリティ確保のために世界的に活用されているこの内容を、是非みなさんの関係する開発現場へもお役立てください。最新版は以下のリンクからご覧になれます。(英語)
http://www.sans.org/top25-software-errors/

Application Security Procurement Language
-アプリケーションセキュリティ調達基準-

一般に、ほとんどのセキュリティ事件・事故(悪意あるユーザが、他人のコンピュータを乗っ取るような事象)の根幹にある原因は、設定の問題と不適切なコンピュータコードという2つの問題のいずれかです。特に、不適切なコードの重大性が増しています。2000 年2 月、ホワイトハウスで行われたクリントン大統領とインターネットおよびソフトウェア専門家との会談において、Mudgeと名乗るハッカーは大統領に次のように述べています―「ソフトウェアがずさんに開発されている。発売前に、ソフトウェアの誤りを検出するための検査すら行われていない」。
それ以来、長い時間が経過しました。しかし、犯罪者や国家によるバグの多いソフトウェアへの攻撃が増す一方である以外、ほとんど変化は見られません。
本資料は、上記の2つの構想と併せて、ソフトウェアの購入者とユーザがこうした状況に対処するための第一歩となるべきものです。本資料の活用により、カスタムソフトウェアの購入者は、ソフトウェア納入前にコードの検査とセキュリティ上の弱点の修正をコード作成者の責任で行うよう求めることができます。
本ドキュメントは以下からダウンロードしてご覧ください。
http://www.sans.org/appseccontract/appseccontract_japanese.pdf
 >>アプリケーションセキュリティ調達基準の英語サイトへ