セキュリティを意識した開発は大切だと分かっていても、
「どこまで対策すればいいのか分からない」「確認すべきことが曖昧」と感じたことはありませんか?
神戸デジタル・ラボ(KDL)では、そうした声をきっかけに、
社内の開発現場で使えるセキュア開発チェックリストを整備し、全社的に活用を進めてきました。
本セミナーでは、そのチェックリストをどのような背景で作成したのか、実際の現場でどのように使っているのかを詳しくご紹介します。また、Proactive Defense の脆弱性診断員から、ツールや自社内での診断だけでは見つけきれないリスクについて、リアルな事例を交えてお話しします。
日々の開発やプロジェクト推進において「セキュリティ対策は、これでいいのかな?」と感じている方に、
ぜひ聞いていただきたい内容です。
このような方におすすめ
- セキュア開発を推進したいが、具体的な方法や取り組みに悩んでいる方
- ルールの整備に取り組みたい開発責任者・プロジェクトマネージャー
- EC サイトや業務システムなど、主にユーザーの個人情報や顧客の機密情報を扱うシステムの開発チームおよび開発者
開催概要
- 開催日時:2025年9月9日(火)14:00~15:00(入室 13:55~)※アーカイブ動画を後日お送りします
- 会場:オンライン(お申込みいただいた方に、ZoomのURLをお送りします)
- 参加費:無料
セッション1:私たちの開発したシステムは本当にセキュアなのか?
セキュア開発を始めるもしくは始める前に、このような疑問を持ったことはありませんか。
- 私たちの開発したシステムは本当にセキュアなのか?
- 私たちにセキュア開発を意識する必要があるのだろうか?
- 現時点で、私たちはどの程度セキュア開発ができているのだろうか?
これらの疑問を解消できるのが、OWASP SAMM や、OWASP ASVS などのドキュメントです。しかしながらこれらのドキュメントは抽象度が高いため、KDLではWebアプリケーション開発の際にすぐに確認できるようにアレンジした独自のセキュア開発チェックリストを活用しています。
チェックリストを使って対応状況を数値化することで、セキュア開発の対応現状を可視化できます。数値で可視化した情報をもとに、改善と効果測定を繰り返すことで、セキュア開発のPDCAを着実に回すことができます。現時点の状況をチェックするために、いくつかの羅針盤がありますので、実施してみましょう。
続いて、セキュア開発の中からコンポーネントの脆弱性を可視化することについて、お話します。
登壇者:松田 康司
株式会社神戸デジタル・ラボ
デジタルビジネス本部 生産技術チーム / KDL-SIRT PSIRT
神戸大学情報知能工学科卒。2014年にKDLに入社。自社で構築するECサイトのほぼすべてのプロジェクトに関与しながら、多くの開発プロジェクトを経て、現在は全社のセキュア開発を推進する生産技術チームにて、開発部門主導のセキュア開発を実践している。PSIRTを兼務。
コミュニティ活動として、OWASP Kansaiボードメンバー、アルティメットサイバーセキュリティクイズ実行委員を務める。
セッション2:脆弱性診断員が語る“セキュリティの死角”とは?
近年では診断ツールの活用や内製によるチェック体制が広がり、一定のセキュリティレベルを保つ上で非常に有効な手段となっています。
一方で、現場では“ツールでは検知されなかった脆弱性”や“使用しているソフトウェアのバージョン依存の問題”など、ツールだけでは把握しきれない課題に直面するケースも少なくありません。
本セッションでは、こうした“見落とされがちなポイント”や、「診断したつもり」になってしまいがちな注意点について、事例を交えながらお伝えします。
「すでに診断はしているけど、まだ何か抜けている気がする」
そんな方にこそ聞いていただきたいセッションです。
登壇者:石田 暁大
株式会社神戸デジタル・ラボ
デジタルビジネス本部 Securityチーム
2018年に神戸デジタル・ラボに入社。主にWebアプリケーションやプラットフォームの脆弱性診断を担当。他社開発システムの脆弱性診断をはじめ、自社の開発案件の脆弱性診断に関するルールやマニュアルの整備、全体の進行管理を担当。これまでに社内外合わせて200件以上の脆弱性診断に携わる。
