Topics

ソフトウェアの脆弱性発生を抑制する「セキュアWebアプリケーション開発　－Java編－」プログラミングトレーニングコース開講についてインタービューしました。

ソフトウェアの脆弱性に関するニュースは毎日のように流れ、毎日のように日本のどこかの企業が脆弱性によりWebサイトが改ざんされています。2013年は1160件(*1)の脆弱性に関する届け出がされ、届け出数は前年比35.7%増加となっています。ソフトウェアの脆弱性が発生し、放置されると、不正アクセスやウイルス感染などによるWebサイト改ざんや情報漏えいにつながる可能性があり、企業に深刻なダメージを与えます。そこで、NECマネジメントパートナーは年々増加する脆弱性発生を抑制するべく、セキュアプログラミングトレーニングコース「セキュアWebアプリケーション開発　－Java編－」を開講することにいたしました。
今回は「セキュアWebアプリケーション開発　－Java編－」コースのトレーナーを務める弊社　人材開発サービス事業部　浦本正（以下、浦本）にコースの魅力、必要性について、人材開発サービス事業部　シニアマネージャー　山崎明子（以下、山崎）がインタビューしました。

*1　独立行政法人情報処理推進機構技術本部セキュリティセンターと一般社団法人JPCERTコーディネーションセンターが2014年4月24日に公開したソフトウェア等の脆弱性関連情報に関する活動報告レポートによる

1日に4件の脆弱性が報告されるこの状況を制御するべく「セキュアWebアプリケーション開発-Java編-」12月から開講

2014年11月

山崎：: 浦本さん、今回はお疲れ様でした。ようやくコース開講にこぎつけられましたね。
浦本：: 山崎さん、ありがとうございます。ソフトウェアの脆弱性について年々届け出数が伸び、情報化の推進に伴い、その被害額も大きくなってきていると聞いています。そのような状況を打開するためにも今回のようなセキュアプログラミングコースは重要な役割を果たしていると考えています。
山崎：: そうですね。脆弱性の大半はソフトウェアプログラミングに問題があると言われていますので、プログラマー一人一人が脆弱性の発生を抑制することを意識したうえでプログラミングすることが必要ですよね。

NECマネジメントパートナー
人材開発サービス事業部
トレーナー　浦本　正

浦本：

はい。脆弱性発生を抑制するために、セキュリティを意識したプログラミングは重要です。「意識すること」に加え、基本的な知識を抑えておく必要があります。実はWebサイトの脆弱性を作る原因はいくつかあります。しかし、JPCERTに届け出のあったWebサイトの脆弱性のうち、クロスサイトスクリプティングとSQLインジェクションの二つが全体の７割近くを占めます。この２つの脆弱性対策を把握しておくことは特に重要となります。是非この機会に本コースを受講いただき、安全なWebサイトを構築するためのセキュアプログラミングをマスターしていただきたいです。

山崎：

そうですね。ではこのコースを受講するとどのようなことを得られるのでしょうか？

浦本：

本コースでは、簡単なメッセージ投稿機能をもったサンプルWebアプリケーションに対する攻撃と防御を通してWebアプリケーションの基本的なセキュリティ対策を学習します。実際に動くアプリケーションを操作していくことで、わかりやすく学習できます。このコースを受講された方が修得できるのは以下を想定しています。

Webアプリケーションを作成する際に注意すべきセキュリティ項目を説明できる
入出力値検査の必要性を理解し、安全なWebアプリケーションを作成できる
セッション管理におけるセキュリティ上の注意点を理解し、安全なWebアプリケーションを作成できる

セキュリティに関する知識は常に進化しているので、受講後も継続して情報を収取していただきたいのですが、このコースを受講いただくと上記のように、一通り基本的な部分を抑えつつ、実際の攻撃を体感しながら実践的な部分も学べます。

山崎：

素晴らしいですね。実践的な学習も含まれるのはうれしいですね。ちなみに、このコースは全くの初心者でも受講できるのでしょうか？

浦本：

はい、Javaプログラミングの初心者であれば、「JavaによるWebアプリケーション開発１－サーブレット・JSP－」を事前に修了いただくと理解しやすいと思います。Javaプログラミングの経験者であれば、いきなり受講いただいても大丈夫です。あと過去に上記コースと同様の内容を自己学習された方も、ある程度期間が開いている場合は、受講いただき再度学習されることをお勧めします。理由はセキュリティに関する情報と対策は常に進化しているため、セキュアプログラミングに関する情報やノウハウもアップデートされているからです。企業研修としてある期間毎に定期的に部門単位で受講されるのもよいと考えます。Webアプリケーションプログラミングは、一般的なプログラミングとは違い、コーディングのミスがあった場合、多くのクライアントに直接的な損害を与えてしまいかねないため、しっかりとした教育を受けられた方が良いと考えます。

NECマネジメントパートナー
人材開発サービス事業部
シニアマネージャー
山崎　明子

山崎：

そうですね。私もそう思います。まさに転ばぬ先の杖と言う感じですね。最後に今後受講される方に一言、浦本さんの講義への拘りと合わせてお話しください。

浦本：

講義をするときに気を付けているのが説得力を如何に増すかです。技術を説明するときに、なぜそうなのか？どうすればよくなるのか？を常に考えながら講義を予習し、実践しています。お陰様で、「是非またうけたいです」というコメントも割と多いように思えます。もともと講師になりたくて。講師が好きなんですよね。知っていることを伝えのが好きというか、新しい良いことを知ったら誰かに伝えたい性格なんです。今回のコースで教えるセキュアプログラミングもそうですね。様々な経験を積んだ方が受講をされ、またそれぞれの職場に戻っていきます。様々な環境にあわせた最新のセキュアプログラミングのノウハウを教えます。ぜひ当コースを受講ください。