ご参加いただきました皆様、誠にありがとうございました。
脆弱性のない安全なプログラムを開発するために ~ソフトウェアの脆弱性が作りこまれる根本的な問題を学び、 それを回避する~ |
従来のプログラミング教育は、基本的なアルゴリズムをどのようにコーディングするかが主なものでした。 そのため、基本的な C/C++ 言語によるプログラミングは、予期せぬ脆弱性を多く含む結果を招いています。 このセミナーを受講することにより、ソフトウェアの脆弱性によるリスクの把握ができるようになり、 安全なソフトウェア開発への投資の意義が理解できるようになります。 特定のアプリケーションに限らず C/C++ 言語を使って安全なプログラムを開発する業務に携わる全ての方を対象としています。
講師
SEI/CMU (カーネギーメロン大学ソフトウェア工学研究所) 脆弱性担当上席アナリスト 著作物は "Secure Coding in C and C++ (SEI Series in Software Engineering)" など ※昨年出版された上記英語著作物を2006年11月7日に日本語版を出版予定 JPCERTコーディネーションセンター訳、ASCII刊(2006年11月7日発売予定)
対象者
内容
- ソフトウェアの脆弱性における一般的に見られるプログラミングエラー
- エラーがいかにして攻撃にさらされる脆弱なコードを生むか
- C/C++ 言語の脆弱性を作りこまない安全なプログラム開発方法
- 犯しやすい文字列操作の間違い
- 文字列の脆弱性 バッファオーバーフロー
- スタック管理
- スタック破壊
- コードインジェクション
- 整数のエラー条件
- 整数オーバーフロー
- 整数演算 代表的な脆弱性
形 式 | 講義 (英語・日本語同時通訳) |
日 時 |
1. 2006年11月 9日 (木) 9:30~18:00 2. 2006年11月10日 (金) 9:30~18:00 ※セミナーは同内容です。いずれか1日をお選びください。 |
会 場 |
TKP東京大ホール 東京都中央区八重洲1-3-22さくら呉服橋ビル9階 http://www.kashikaigishitsu.net/map/map-tokyokita.html |
主 催 | 有限責任中間法人JPCERTコーディネーションセンター |
協 力 | 株式会社アスキー |
受 講 料 |
1. 当日申込み割引 :40,000円(税込) ◎直接会場へお越しください。なお、現金のみのお支払いとなります。 2. 学生割引 :25,000円(税込) ◎セミナー当日に受付で学生証をご提示ください。 ※ いずれも昼食は含まれません |
受 講 特 典 |
(1)書籍「C/C++ セキュアコーディング」
ロバート・C・シーコード著
訳 JPCERTコーディネーションセンター
アスキー刊 (本体 3,800円) (2)CERT/CC および JPCERT/CC セキュアコーディングコース修了証 |
申 込 方 法 |
アスキービジネス オンラインサイトよりお申し込みください http://ascii-business.com/abiz/jpcert/ |
そ の 他 |
Trusted CPE イベント認定 (Trusted CPE クレジット「7ポイント」付与) |
|
講師紹介: ロバート・C・シーコード(Robert C. Seacord)
ロバート・C・シーコード氏は、米国ペンシルバニア州ピッツバーグのソフトウェア工学研究所 (SEI、Software Engineering Institute)にあるCERT/Coordination Center(CERT/CC) で 脆弱性担当上席アナリストを務めています。 シーコード氏は、『Secure Coding in C and C++』(Addison-Wesley、2005年刊)の著者であり、 『Building Systems from Commercial Components』(同、2002年刊)と 『Modernizing Legacy Systems』(同、2003年刊)では共同著者を務めました。 また、ソフトウェアのセキュリティ、コンポーネントベースのソフトウェアエンジニアリング、 Webベースのシステム設計、 レガシーシステムの近代化、コンポーネントリポジトリと検索エンジン、 およびユーザインタフェースの設計と開発など、多岐にわたる分野において50を超える論文を発表しています。 シーコード氏は1982年にIBM社 においてプログラマとしてキャリアを開始し、通信、OSソフトウェア、 プロセッサ開発、ソフトウェアエンジニアリングなどの分野に携わりました。 また、X Consortiumにも参加し、X Window Systemと Common Desktop Environment のコード開発とメンテナンスを行いました。 C言語向けのJTC1/SC22/WG14国際標準化グループにも積極的に関与しています。
ソフトウェアの脆弱性について
攻撃対象としてよく見られるソフトウェアの脆弱性は、多くの場合回避可能なソフトウェアの不具合によるものです。 CERT/CCでは、これまで合計して18,000件にのぼる脆弱性の報告を受け、その分析をした結果、比較的少数の根本的な問題が、 ソフトウェアの脆弱性を引き起こしていることがわかりました。 堅牢でセキュアなソフトウェアを開発するには専門的な知識が必要であり、 セキュアプログラミングの技術はますます必要になってきています。 2004年5月、CSOマガジン誌(米国のセキュリティ担当者向け月刊誌)が米国のシークレットサービスとCERT/CCの協力で、 米国セキュリティや法執行機関に対し電子犯罪分析調査を行いました。 その調査によると、2002年から2003年にかけて電子犯罪や、ネットワークやシステムなどへの 侵入件数は増加していることが報告されています。被害を受けた電子犯罪の種類(複数回答)では、 「ウイルスや悪意あるコード」が77.2%で最も多く、次いで「DoS攻撃」が43.6%、「内部による不正アクセス」(35.7%)、 「外部からの不正アクセス」(27.2%)、「フィッシング」(31%)となっています。 このような状況の中、今日、年間4,000件を超えるソフトウェア脆弱性が発見されています。 脆弱性が増加する一方で、攻撃の手法はますます巧妙化し深刻な被害が広がっています。 攻撃者は、製品の脆弱性情報を入手するやいなや攻撃コードを開発します。 そのような中で毎年多くの脆弱性が発見され、システム管理者は稼働システムへのパッチ作業に忙殺されています。 パッチの中には、システムへ予期しない派生的な作用をもたらすものもあります。 開発側がパッチをリリースしてから適用されるまでには何ヵ月も、時には何年もの時間を必要とすることさえあるのが現実です。 今後はプログラム作成時にいかに脆弱性を作り込まないようにするかの対策がますます重要になってきています。
- 参考資料
2004 E-CRIME WATCH TM SURVEY SHOWS SIGNIFICANT INCREASE IN ELECTRONIC CRIMES
http://www.csoonline.com/releases/ecrimewatch04.pdf