特集
2004/05/17 00:00 更新
マイクロソフト、約2万人の技術者を対象に無償セキュリティトレーニングを開催中!
マイクロソフトは、日本全国47都道府県で無償セキュリティトレーニング「Microsoft Security Summit 2004」を開催している。2004年3月9日〜6月末の期間で開催されている同トレーニングでは、マイクロソフトのセキュリティに対する取り組みと最新の技術情報が紹介される。
マイクロソフトは2004年3月9日〜6月末までの期間、全国47都道府県の約2万人の技術者を対象とした無償のセキュリティトレーニング「Microsoft Secure System Training Tour 2004」を開催している。このセキュリティトレーニングは、2003年10月にMicrosoftのCEO(最高経営責任者)、スティーブ・バルマー氏が全世界で実施することを発表したプログラムの一環として日本で開催されているものだ。
Microsoft Secure System Training Tour 2004に参加することで、マイクロソフトのセキュリティに対する取り組みと最新技術情報を取得することが可能。マイクロソフト製品をより安全に使用するために必要な実践的な技術スキルおよび運用手法を修得することができる。また、既存のWindowsシステム環境に最適なセキュリティ対策を行うことができ、悪意のある攻撃から企業情報システムを保護することが可能になる。
Trustworthy Computing構想の最新動向を紹介
マイクロソフトのセキュリティと信頼性を向上させるための取り組みは、Microsoft会長兼チーフソフトウェアアーキテクトであるビル・ゲイツ氏が2002年7月に発表した「Trustworthy Computing」(信頼できるコンピューティング)構想に基づいている。同社のTrustworthy Computing構想は、“信頼性”“セキュリティ”“プライバシー”“誠実なビジネス”という4つの柱で構成されて実践されている。
この4つの柱により目指すのは、コンピュータシステムに求められる高い信頼性とあらゆる攻撃に耐えられる堅牢性、そして企業と個人のどちらに対してもデータが保護されている安心感の実現だ。ただし、システムに対する攻撃、セキュリティ侵害などは、すべてが外部から行われるのではなく、70〜80%は悪意を持った内部からの攻撃であることを意識しておく必要があることも付け加えられている。
現在、ネットワーク上における一般的な攻撃の種類としては、自身の知識を悪用した個人の攻撃や悪意を持った組織的な攻撃、ネットワークの脆弱性やID/パスワードなどを探し出す自動化された攻撃、サーバの処理能力を超えるリクエストによりサービスが行えない状態にするサービス拒否(DoS)攻撃、コンピュータウイルスなどがある。
これらの攻撃を防ぐためには、単にセキュリティ製品を導入するだけでなく、情報システムの企画から構築、運用、管理、ネットワークやサーバ/クライアント管理など、IT関連業務に関わるすべての面での対策を考慮することが必要になる。
そこで同トレーニングでは、サーバやクライアント、ネットワークの管理・運用に関わるセキュリティ対策の基礎概念から、より実践的なセキュリティ実装までをテーマに2日のトレーニングを提供するITプロフェッショナル向けのコースと、アプリケーションセキュリティの基礎概念と実装や、セキュアなコーディング方法などをテーマに具体的な記述方法や実例を1日のトレーニングで紹介する開発者向けのコースの2つが実施される。
開発者向けコースではセキュアな開発手法を実践
高いセキュリティと信頼性を兼ね備えたアプリケーション開発のためには、アーキテクチャと設計から開発、テスト、展開、そして運用・変更管理などに至る開発ライフサイクル全体にセキュリティ対策が施されていることが不可欠であり、セキュリティ対策が継続的に提供されなければならない。
アプリケーション開発者は、セキュリティが確保されたソフトウェアを開発するための最適な手法を採用する責任がある。そのためには、セキュリティの脆弱性を迅速に発見し、安全に回避できる、安全性の高いソリューションを実現するための“知識”と“技術”の両方を身につけることが必要になる。
そこで開発者向けのコースは、「アプリケーション セキュリティの基礎概念の修得」「実践!セキュアなコードの記述 Part I(ベストプラクティス)」「実践!セキュアなコードの記述 Part II(脅威に対する防御)」「実践!.NET Framework を利用したアプリケーション セキュリティの実装」の4つのセッションで構成。アプリケーション セキュリティの重要性やセキュリティで保護されたアプリケーション開発手法や最新技術、セキュリティを考慮した開発ガイドラインなどをデモを交えて紹介する。
具体的には、マイクロソフト自身が採用している「SD3セキュリティフレームワーク」に基づいたセキュアなシステムの実現方法が実践される。SD3セキュリティフレームワークは、「Secure by Design(セキュアな設計)」「Secure by Default(セキュアな標準設定)」「Secure in Deployment(セキュアな運用・展開)」の3つのコンセプトによりセキュリティが確保されたシステム実現のための開発プロセスを提供する。
Secure by Design(セキュアな設計)では、セキュリティを考慮した設計、コーディング、およびテストのためのガイドラインを提供。システムの潜在的な脆弱性を識別するために、設計段階およびプロジェクト全工程で脅威のモデル化を実現する。
また、Secure by Default(セキュアな標準設定)は、マイクロソフト製品を導入したままの状態でもセキュリティが確保された状態にあることを意味している。一般的に使用されない機能は既定でオフにすることで、知らないうちに攻撃されることを防ぐことが可能。最小権限のセキュアな状態でアプリケーションを実行できる。
さらに、Secure in Deployment(セキュアな運用・展開)では、システムが運用開始後も保守可能であることを意味している。例えば、セキュリティ上の脆弱性が見つかった場合でも、十分にテストされた対策プログラムを適切な時期に公開することを可能にする。
そのほか同コースでは、セキュリティの機能や仕組み、その利用方法、セキュリティ脆弱性の特徴と回避方法、失敗を繰り返さないための対策などを継続的に教育し、セキュリティを考慮したプログラミングの必要性をチームのすべてのメンバーが意識することの必要制についても言及している。
このように開発者向けのコースでは、セキュリティを考慮した開発ガイドラインに基づいて、入力値の検証や暗号化、ハッシュによるデータの完全性の検証、デジタル署名の利用した認証、SSLやIP Secなどのセキュアな通信技術、ファイアウォールなどのセキュリティ技術をアプリケーションに実装するための具体的なコードの記述方法が紹介されている。
これにより、Microsoft Visual BasicやMicrosoft Visual C++などを使用したセキュアなアプリケーション開発手法をはじめ、Microsoft .NET Frameworkを活用したアプリケーション開発を実践するための知識や技術を短時間で効果的に習得することが可能になる。
すでに後半戦に差しかかっている同トレーニングだが、セキュリティ対策のためのより深く正しい知識を習得し、技術者としてのスキルを向上するために足を運んでみてはどうだろう。各コースのスケジュールや参加の申し込み方法、トレーニング内容の詳細などは、マイクロソフトのWebサイトで紹介されている。
関連リンク
SECURE SYSTEM Trainig Tour 2004マイクロソフト[山下竜大,ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.
