Kubernetesで実現するモダンなセキュアコーディング
昨今ではクラウドネイティブ化が普及し、Kubernetesなどをプラットフォームとするモダンなアプリケーション開発が急速に拡充しています。
その一方で、リリースサイクルの高速化に伴い、各リリースにおけるセキュリティの継続的な確保が難しくなりつつあります。
こうした課題を解決するため、DevSecOpsサイクルにおいて開発工程の早い段階でセキュリティの検証を組み込む、モダンな「セキュアコーディング」が求められています。
これは、従来のセキュアコーディングに加え、米国F5, Inc.社が提供するKubernetesリソースとして扱える唯一のWAF「NGINX App Protect」を導入することで実現できます。

本コースでは、先ず攻撃者の視点に立って実際に不正ログインや機密情報の盗用といったサイバー攻撃を行うことで、セキュアコーディングの重要性を再認識していただきます。
そして、WAF「NGINX App Protect」を導入することで、DevSecOpsサイクルにおいてセキュリティの確保が、開発・運用といった役割を超えてシームレスに機能することを体験していただくことが可能です。
本コースを受講することで、従来のセキュアコーディングとWAFの組み合わせによる「より堅牢なWebアプリケーション」の開発を実践的に学ぶことができます。

※本コースでは、クラウドネイティブ環境としてAWSを使用します。

※本コースは2025年3月をもちまして開催を終了いたします。


※受講に関する注意点※
進行の都合上、研修開始時間を過ぎてからのご参加はご遠慮いただいております。
大変恐れ入りますが、研修開始時間までにご参加いただけていない場合、
当日キャンセル扱いをさせていただく場合がございますのでご注意ください。

開催日程

オンライン
オフライン

学習目標

■ 開発エンジニアにセキュリティに対する意識付けを行える
■ 主だったセキュリティの脅威(サイバー攻撃)を具体的に確認できる
■ セキュアコーディングの重要性を再認識できる
■ WAF(NGINX App Protect)を使った対策について理解できる
■ セキュアコーディングとWAF をバランスよく組み合わせた防御について、理解できる
■ ダッシュボードでセキュリティログを確認する運用について理解できる

*1:本コースでは、AWSを使用します。
*2:本コースでは、AWS EKSを使用します。

対象者

■ モダンなアプリケーション開発におけるセキュアコーディングに興味のある方
■ セキュリティに関する対策や運用を担当する方
■ より堅牢なWebアプリケーションの開発を目指している方

前提条件

■ 基本的なLinuxコマンド操作が行える方
■ 基本的なWebアプリケーションの知識がある方
■ Docker、Kubernetesなど、コンテナに関する基本的な知識がある方
■ TCP/IP(IPアドレス、ポート番号)など、ネットワークに関する基本的な知識がある方

研修概要

  • 実行環境
    ■ 操作PC(macOS、Windows10以降、Chromebook)
    ■ Webブラウザ(Chromeの最新バージョンを推奨します。)
    ■ クラウドサービス(AWS)
     (今回使用するAWSアカウントは、こちらで用意したアカウントを使用していただきます。)
    ■ 統合開発環境(WebIDE)
    ■ コミュニケーション(Mattermost)
     (Slackライクな本コース内受講専用のチャットシステムを用意しております)
    ※ 使用するソフトウェアおよびバージョンについては予告なく変更する可能性がありますのでご了承ください。
  • 配布資料
    ■ オンラインテキスト (受講日から4週間参照可能)
  • 受講料
    72,600円(税込)※受講料にはテキスト代も含まれます。
  • お支払い
    研修終了後に請求書払いとなります。
    請求書は研修終了日の属する月の月末までに送付いたします。
  • 開催日数
    1日間
  • 時間
    9時30分~17時00分

カリキュラム

■ 概要と準備
 □ 使用するAWS環境のセットアップ
 □ Kubernetes 実行環境セットアップ(AWS EKS:Elastic Kubernetes Service)
■ アンセキュアなアプリへの攻撃
 □ アンセキュアなアプリのデプロイ
 □ SQLインジェクションによる不正ログイン
■ セキュアコーディングの実装
 □ SQLインジェクションへの対策
■ WAFの導入
 □ NGINX App Protectの有効化
■ NGINX App Protectによる対策
 □ 機密情報漏洩の対策
 □ アカウント情報盗用の対策
 □ 不正リクエストの検知
■ ダッシュボードの導入
 □ Elastic Stack環境の構築
 □ ダッシュボードによるセキュリティログ監視
※最新でより良い内容をお届けするため、一部の学習項目を予告なく変更する可能性がありますのでご了承ください。

オンライン研修環境

  • 使用ツール
    動画配信:Zoom
    質疑応答:オンラインチャットシステム(Mattermost)

    ※業務用PCに追加アプリをインストールできない場合は、ブラウザからのご参加をお願いします。
    ※Zoomのシステム要件について、より詳細な情報は、こちらをご参照ください。
  • システム要件
    ・Zoom、およびWebブラウザが快適に動くスペックのPC
    インターネット接続(社内ネットワークの場合、演習にて証明書なしのhttp接続を行うため、プロキシ制限などがないもの)
    ・複数画面推奨(1つはZoom用、もう一つを作業用)
  • 対応OS
    Windows
  • WEBブラウザ
    Chrome(最新版を推奨)

開催日程

    開催予定がありません

学習目標

■ 開発エンジニアにセキュリティに対する意識付けを行える
■ 主だったセキュリティの脅威(サイバー攻撃)を具体的に確認できる
■ セキュアコーディングの重要性を再認識できる
■ WAF(NGINX App Protect)を使った対策について理解できる
■ セキュアコーディングとWAF をバランスよく組み合わせた防御について、理解できる
■ ダッシュボードでセキュリティログを確認する運用について理解できる

*1:本コースでは、AWSを使用します。
*2:本コースでは、AWS EKSを使用します。

対象者

■ モダンなアプリケーション開発におけるセキュアコーディングに興味のある方
■ セキュリティに関する対策や運用を担当する方
■ より堅牢なWebアプリケーションの開発を目指している方

前提条件

■ 基本的なLinuxコマンド操作が行える方
■ 基本的なWebアプリケーションの知識がある方
■ Docker、Kubernetesなど、コンテナに関する基本的な知識がある方
■ TCP/IP(IPアドレス、ポート番号)など、ネットワークに関する基本的な知識がある方

研修概要

  • 実行環境
    ■ 操作PC(macOS、Windows10以降、Chromebook)
    ■ Webブラウザ(Chromeの最新バージョンを推奨します。)
    ■ クラウドサービス(AWS)
     (今回使用するAWSアカウントは、こちらで用意したアカウントを使用していただきます。)
    ■ 統合開発環境(WebIDE)
    ■ コミュニケーション(Mattermost)
     (Slackライクな本コース内受講専用のチャットシステムを用意しております)
    ※ 使用するソフトウェアおよびバージョンについては予告なく変更する可能性がありますのでご了承ください。
  • 配布資料
    ■ オンラインテキスト (受講日から4週間参照可能)
  • 受講料
    72,600円(税込)※受講料にはテキスト代も含まれます。
  • お支払い
    研修終了後に請求書払いとなります。
    請求書は研修終了日の属する月の月末までに送付いたします。
  • 持ち物
    特にございません
  • 開催日数
    1日間
  • 時間
    9時30分~17時00分

カリキュラム

■ 概要と準備
 □ 使用するAWS環境のセットアップ
 □ Kubernetes 実行環境セットアップ(AWS EKS:Elastic Kubernetes Service)
■ アンセキュアなアプリへの攻撃
 □ アンセキュアなアプリのデプロイ
 □ SQLインジェクションによる不正ログイン
■ セキュアコーディングの実装
 □ SQLインジェクションへの対策
■ WAFの導入
 □ NGINX App Protectの有効化
■ NGINX App Protectによる対策
 □ 機密情報漏洩の対策
 □ アカウント情報盗用の対策
 □ 不正リクエストの検知
■ ダッシュボードの導入
 □ Elastic Stack環境の構築
 □ ダッシュボードによるセキュリティログ監視
※最新でより良い内容をお届けするため、一部の学習項目を予告なく変更する可能性がありますのでご了承ください。

開催日程

    開催予定がありません

コースフロー

SREを学ぶ 動的なクラウドネイティブ環境のメトリクス監視入門 Kubernetesにおける運用基本操作 Terraform、Ansible を使ったインフラストラクチャアズコード入門 <ソフトバンク監修>運用までを見据えたコンテナ・Kubernetes入門 レガシーアプリのコンテナ環境への移行 マイクロサービスアーキテクチャにおけるトランザクション入門 マイクロサービス概要 モジュラーモノリスから始めるマイクロサービス入門 マネージドサービスで始めるCI/CD
SREを学ぶ