攻撃者視点で学ぶ、Web診断の実践スタートライン

Web脆弱性診断士養成コース

全国より受講生随時募集中!
応募要項 コース紹介
次のセクションへ

Web脆弱性診断士養成コースとは

HTTP/HTTPSの基礎から、Cookie・セッション管理、Burp Suiteを用いたリクエスト改ざん、SQLi・XSS・CSRFなど代表的なWeb脆弱性まで、「攻撃者視点」でWebアプリの弱点を見抜く力を、2日間のハンズオンで身につけます。

こんなお悩みはありませんか?

  • Webシステムの脆弱性診断を外部委託しており、社内に知見がない
  • 開発チームがOWASP Top10のリスクを感覚的にしか理解していない
  • セキュリティツールは導入したが、ログや診断結果を読み解けない
  • セキュリティ担当者を育成したいが、何から学ばせればよいか分からない

このコースでできるようになること

  • Webアプリの脆弱性を「どこから」「どう突かれるか」理解できる
  • Burp Suiteでリクエスト改ざんや簡単な診断が行える
  • SQLi / XSS / CSRF など主要な攻撃手法と対策を説明できる
  • CTF形式の演習で、攻撃〜防御の流れを体験できる

※本コースは、実務レベル診断士を目指す「Intermediate / Advanced」コースの入口となる位置づけです。

重要インフラ向け サイバー防衛強化演習 ぜい弱性診断イメージ
<

< 到達目標 >

IoTアイコン

脆弱性を見抜く力


SQLインジェクション・XSS・CSRFなど代表的なWebを理解し、危険なポイントを発見できるようになります。
知識向上アイコン

診断を実行する力


Burp Suiteを用いて通信の傍受や改ざんを行い、基本的な脆弱性チェックを自ら実施できます。
攻撃手法アイコン

実務に生かす視点


攻撃手法を対策を結び付け、開発・運用の改善ポイントを提案できる視点を養います。
次のセクションへ

コースカリキュラム

    【DAY1】Web診断の基礎構造を理解する
  • 1. 導入・オリエンテーション
    • 脆弱性診断士の役割と求められる視点
    • 演習環境説明
    • 情報セキュリティ倫理・関連法規
  • 2. インターネット基礎とプロトコル
    • TCP/IPの役割
    • HTTP / HTTPS の違い
    • TLS・証明書の基礎(CA / PKI概要)
    • セキュリティ強度と暗号の基本概念
  • 3. HTTPとセッション管理
    • HTTP構造の理解
    • Cookieとセッション管理の仕組み
    • ステートレス通信と認証モデル
    • セッションIDのリスク
  • 4. 攻撃手法と演習(Burp Suite ハンズオン)
    • プロキシ概念と中間者攻撃(MiTM)
    • Burp Suiteによる通信傍受
    • リクエスト改ざん体験
    • 認可バイパスの基礎
  • 5. Webアプリケーション脆弱性 基礎
    • SQLインジェクション
    • 反射型XSS
    • CSRF
    • エラーコード利用の情報収集
    • ファイル・ディレクトリ探索
    • OSコマンドインジェクション
    【DAY2】診断スキルの実践と総合演習
  • 6. Webアプリケーション脆弱性応用
    • 各種XSSの実例
    • クリックジャッキング
    • ファイルアップロード不備
    • 認証設計の問題点
  • 7. 情報収集・偵察の基礎
    • OSINTの考え方
    • 技術スタックの把握
    • Web構成要素の特定
  • 8. 防御策の理解
    • 入力値検証とエスケープ
    • 安全なセッション管理
    • セキュリティ設計の考え方
    • フレームワーク標準対策の理解
  • 9. 模擬演習(CTF形式)
    • 脆弱性探索チャレンジ
    • 攻撃再現体験
    • フラグ獲得による理解促進
  • 10. 振り返り・診断プロセス整理
    • 発見した脆弱性の解説
    • 診断フローの整理
    • レポート作成の基礎解説
    • 対策提案の視点共有

メイン講師

中澤講師

中澤講師
サイバーセキュリティコンサルタント

  • 約10 年間のサイバーセキュリティ業界での実績
    ⼤学、⼤⼿企業向けセキュリティ・コンサルティング、システム診断・監査、ガイドライン策定、教育・啓蒙に従事
  • 3,000 件以上のWeb サイト、ネットワーク、プラットフォーム、スマートフォンアプリケーションやIoT デバイスの診断実績
  • OSS 製品の脆弱性報告(CVE)や、海外拠点CTFチーム運営実績
  • 現職はキャッシュレス事業企業での Red Team、SOC 構築運営に従事
  • 約10 年間のシステム開発業界での実績

< 講師経験:2015〜 >
セキュ塾 ホワイトハッカー育成コース 講師)
警視庁国際情勢研究会 講師
大学、大手企業向けセキュリティ講習 講師
その他

演習環境イメージ

実際の講習では、専用の仮想WebサイトとCTF環境を用いて、脆弱性を体感しながら演習を行います。 各種ぜい弱性が埋め込まれた架空のポイント交換Webサイトを対象に、ポイントの不正利用、不正獲得等を実際の事件シナリオとして、サイバー攻撃を体験し、調査ツールを用いてハンズオンを行います。

講義イメージ1
次のセクションへ

Web脆弱性診断士養成コース 応募要項

受講日時 受講生随時募集中!
受講料 180,000円(税込)/1名
対象者
  • セキュリティ初学者
  • 脆弱性診断業務に興味のある方
  • Webアプリケーション開発に携わるエンジニア
  • インフラ・運用・情シス部門のご担当者様
  • これから脆弱性診断のスキルを身につけたい方
  • 社内セキュリティ人材の育成を検討中のご担当者様
その他 <受講に必要なWindows PC、または、Macの環境>
  • CPU: x64互換 2.0GHz以上
  • RAM: 16GB以上
  • HDD/SSD: 100GB以上の空き容量
<セミナー会場とオンラインのどちらでも受講できます。>

■リモートで受講する場合

  • インターネット回線
  • Webカメラ
  • マイク

■セミナー会場で受講する場合

  • 有線ネットワーク(Ethernet)ポート
    (インターネット回線は、会場で準備します)

まずはお気軽にカウンセリングへお申し込みください。
 \オンラインカウンセリング実施中/

受講内容、学習スタイル、料金のお支払い等あらゆる疑問を解消いたします。

受講お申込

カウンセリングお申込

このコースについてお問い合わせ

次のセクションへ

よくあるご質問

 
Q.参加者にセキュリティの専門知識は必要ですか

A.いいえ、必要ではありません。
Webアプリやインフラの基礎知識があればご参加いただけます。
初日の前半でインターネット基礎とHTTPの基本から開設するため、セキュリティ初学者の方でもキャッチアップ可能です。

 
Q.オンライン開催は可能ですか

A.可能です。
Zoomなどを用いたオンライン開催にも対応しており、Burp Suiteなどのツール演習もリモート環境で実施できるように設計されています。

 
Q.自社システムを題材にした診断演習はできますか

A.基本カリキュラムでは専用の演習環境を利用しますが、貴社環境をベースにしたカスタマイズも可能です。
セキュリティや契約条件を踏まえた上で個別に相談させていただきます。

 
Q.レポート作成まで学ぶことはできますか

A.本Basicコースでは、診断結果の整理とレポートの考え方を概説するレベルまで扱います。
より本格的なレポート作成演習は、Intermediate/Advancedレベルでの実施を想定しています。
より高度な内容をご希望の方は、お問い合わせからご相談ください。

次のセクションへ

より高度なカリキュラムをご希望の方へ

基礎(Basic)以上の、より実務に近い高度な「intermediate」「Advanced」をご希望の水準にあわせて選択いただけます。
ご希望の方や詳細をお聞きしたい方は、お問い合わせフォームからご相談ください。
レベル別カリキュラム表