開発チームが自ら脆弱性を理解し、改善できるスキルはセキュアなシステム開発を推進する上で欠かせません。弊社神戸デジタル・ラボ(以下KDL)では脆弱性診断を内製化し、お客様向けに開発したシステムに対して、脆弱性診断を実施しています。この診断を内製化する取り組みをきっかけに、KDLではセキュア開発における課題や対策が見えてきました。
本セミナーでは、KDLで「脆弱性診断を内製化してわかったこと」 をテーマにお話しし、実践してみてわかった課題や対策を事例とともにご紹介します。さらに後半では、今後サービスリリース予定の「脆弱性診断ハンズオントレーニング」についてご紹介するとともに、診断の現場で求められる診断スキルについてProactive Defenseの脆弱性診断員より解説。セキュリティ品質を開発チームの力で高めるコツをお伝えします。
さらに今回のセミナー受講特典として、ご希望の方に「脆弱性診断ハンズオントレーニング」の無料体験をご用意しております。少しでも気になった方、お気軽にご参加お待ちしております。
このような方におすすめ
- セキュア開発を自チームで実現したい開発者・マネージャーの方
- 内製でセキュリティ対応力を育成・定着させたいすべての技術者の方
- 自社の脆弱性診断を内製化したい方
開催概要
- 開催日時:2025年10月28日(火)14:00~15:00(入室 13:55~)
- 会場:オンライン(お申込みいただいた方に、ZoomのURLをお送りします)
- 参加費:無料
セッション1:セキュア開発の第一歩は診断の内製化でした~実践から見えた課題~
脆弱性診断を内製化する企業が増えています。産業サイバーセキュリティセンターの「中核人材育成プログラム」でも、卒業プロジェクトの一環として脆弱性診断内製化ガイドがまとめられるなど、注目度は高まっています。
KDLでも外部向けに診断サービスを提供する一方で、社内の開発チームに対して診断を内製化してきました。実際に内製化してみると色々わかったことがあります。開発チーム特有の“癖”や“文化”が診断結果に表れるなど、外部診断では見えにくい気づきを得られることがわかりました。また、診断結果をチームで共有・振り返ることで、「なぜその脆弱性が入り込んだのか」を振り返ることができ、改善へとつなげる好循環も生まれています。
本セッションでは、脆弱性診断を内製化してみてわかったことを、また、その際の注意点などを事例を交えてお話いたします。
登壇者:松田 康司
株式会社神戸デジタル・ラボ
デジタルビジネス本部 Securityチーム オーナー / 生産技術チーム
神戸大学情報知能工学科卒。2014年にKDLに入社。自社で構築するECサイトのほぼすべてのプロジェクトに関与しながら、多くの開発プロジェクトを経て、現在は全社のセキュア開発を推進する生産技術チームにて、開発部門主導のセキュア開発を実践している。PSIRTを兼務。
コミュニティ活動として、OWASP Kansaiボードメンバー、アルティメットサイバーセキュリティクイズ実行委員を務める。
セッション2:抜け漏れゼロを目指す!脆弱性診断員が教えるチェック手法
脆弱性診断を内製化しようと考えたとき、最初に思い浮かぶのは、具体的に脆弱性診断では何をしたらいいのかだと思います。脆弱性に関する知識は書籍やAIでも得られますし、IPAから脆弱性診断内製化ガイドも発表されています。しかし、知識だけでは不十分で、実際に体験して自分のものにすることが重要です。
脆弱性診断は、対象を隅々まで確認し、抜け漏れなくリスクを見つけることが求められます。そのうえで、診断期間中にその対象を隅々まで脆弱性診断を行い、その範囲で脆弱性が見つかった・見つからなかったということを相手が納得する形で伝えられる必要があります。
開発者は手を動かしてコーディングをしているので、同じ土俵に立つためには診断員も手を動かす必要があります。 「脆弱性診断ハンズオントレーニング」ではそのお手伝いをさせていただきます。 今回は、脆弱性や診断に関する知識から始まり、各種脆弱性の検出・検査方法から脆弱性診断による報告書の提出までを学習できるコンテンツ「脆弱性診断ハンズオントレーニング」の一部分をお伝えします。
登壇者:山田 主税
株式会社神戸デジタル・ラボ
デジタルビジネス本部 Securityチーム
奈良高専情報工学科卒。2019年にKDLに入社。SecurityチームでWebアプリの脆弱性診断に従事。
日々のセキュリティニュースを追いかけながら、社内に展開。
列挙されているものを読んで作業するのが苦手なので、業務の自動化に勤しんでいる。
Burp Suiteの拡張機能を自作するための記事などを投稿。
