Webクリエイター
企業のITシステムにおいて最も多くの攻撃を受けやすいのがWebシステムです。CSRF攻撃、ガンブラー攻撃、ウイルスによる個人情報漏洩、ECオープンソースの脆弱性攻撃、なりすまし等、様々な手口によって無差別に攻撃し対応の甘いサイトがあればそれに乗じて、自由になるサイトをベースに新たな攻撃をしかけます。
Webクリエイターに必要なセキュリティスキルのロードマップは以下の通りです。
| Level 1 | IT基礎スキル(高度) | |
|---|---|---|
| コンピュータ基礎 |
機器
概念
基本理論
ハードウェア
ソフトウェア
OS
|
|
| ソフトウェア基礎 |
概念
OS
APL
アルゴリズム
機械語
ASM
C
DeviceDriver
オブジェクト指向
|
|
| データベース基礎 |
概要
表
Excelとの関連
索引
SQL
正規化
|
|
| ネットワーク基礎 |
概要
TCP/IPプロトコル
IPv4
IPv6
機器
|
|
| 運用知識基礎 |
ID/pass管理
リモート接続
メール利用方法
USBメモリ管理
PC管理
情報端末利用方法
機器
|
|
| Level 2 | Webエンジニアスキル | |
|---|---|---|
| 基礎内容 |
HTML
CSS
JavaScript
JSP
FTP
CGI(PerlやRubyなど)
PHP
|
|
| DB |
データベースの概要
表
索引
ビュー
シノニム
ユーザ権限
SQL
|
|
| プログラミング |
アルゴリズム実践
|
|
| Web技術 |
AJAX
JSP
SNS連携
動画
レスポンシブ対応
SEO対策
デザイン
|
|
| Level 3 | セキュリティ基礎スキル | |
|---|---|---|
| マネジメント基礎 |
仕組み
構成と内部統制
ガバナンス
リスクアセスメント
監査
運用に関する規定の策定
関連の規格・法律
|
|
| 認証技術基礎 |
運用に関する規定の策定
関連の規格・法律
アクセス制御の基本
「識別認証、認可、責任追跡性」
認証技術
PKI
電子証明書
|
|
| アーキテクチャ基礎 |
評価(ISO/IEC15408)
セキュリティモデル
セキュリティのフレームワーク
セキュリティプロトコル
冗長化
VPN
負荷分散
ぺネトレーションテスト
|
|
| 攻撃手法基礎 |
ファイアウォール技術
IDS/IPS
スイッチ/ルーター対策
アプリケーションウイルス対策
バッファオーバーフロー
パスワードクラッキング
SQLインジェクション
ソーシャルエンジニアリング
マルウェア
|
|
| Level 4 | Webエンジニアセキュリティスキル | |
|---|---|---|
| 開発プロセス |
情報システムの脆弱性分析
情報システムの脅威分析
セキュリティ要件定義
セキュリティ機能の設計
セキュリティ機能の実装とテスト
情報システムの脅威分析
セキュリティ要件定義
セキュリティ機能の設計
|
|
| セキュリティ技術 |
DNSに関する対策
ネットワーク盗聴への対策
フィッシング詐欺を助長しないための対策
パスワードに関する対策
WAFによるウェブアプリケーションの保護
携帯ウェブ向けのサイトにおける注意点
IPA「安全なウェブサイトの作り方」を参照
|
|
| 攻撃手法の習得 |
SQLインジェクション
OS コマンド・インジェクション
パス名パラメータの未チェック/ディレクトリ・トラバーサル
セッション管理の不備
クロスサイト・スクリプティング
CSRF(クロスサイト・リクエスト・フォージェリ)
HTTP ヘッダ・インジェクション
メールヘッダ・インジェクション
バッファオーバーフロー
アクセス制御や認可制御不備
|
|
| 管理支援 |
不測事態対応計画
業務継続計画に関する知識
潜在的なリスクに関する知識
セキュリティ侵入の発生事例に関する知識
セキュリティ対策技術と実施事例に関する知識
セキュリティ対策手法のコストに関する知識
その他
|
|