メインコンテンツにスキップする

CYBER CAPACITY BUILDING PROGRAM

Cyber Capacity Building Programは、ICTエコシステムのセキュリティとサイバーレジリエンスを高めるための、ソフトウェア製品のセキュリティ評価に関するトレーニングです。英語での提供となります。

Cyber Capacity Building Programとはどのようなものですか?

政府機関、研究学術機関、企業が使用するICT製品のセキュリティを評価するためのメカニズムとスキルの開発支援を目的としたトレーニングプログラムです。

詳細は こちらをご覧ください。.

トレーニングを利用するための要件はありますか?

トレーニングには、ソフトウェア開発のライフサイクル、プログラミング、情報セキュリティの基本的な知識が必要です。

トレーニングは、選択したセクションのみが提供されます。

このプログラムを利用したいのですが?

プログラムは英語で行われ、オンラインとオフラインの両バージョンがあります。

オフラインバージョンは、当社のトランスペアレンシーセンターで実施されています。

ご利用の相談は TransparencyCenter@kaspersky.com にお問い合せください。

パートナーからのコメント

「Cyber Capacity Building Programは、政府機関とすべての組織向けの、完全に包括的で実用的なプログラムです。私たちはデジタル化と破壊的技術の時代に生きており、サイバーセキュリティのスキルとメカニズムを強化することが求められています。
ベトナム国家サイバーセキュリティセンター(NCSCベトナム、情報通信省に属する情報セキュリティの部局)では、このプログラムやそのほかのサイバーセキュリティ対策について、Kasperskyをサポートする準備が常にできています」

Tran Quang Hung氏
NCSCベトナム、Authority of Information Security、情報通信省、ベトナム政府



「プログラムで取り上げられているトピックは、参加者の目的に合致しており、貴重な情報と知見を得ることができました。綿密に計画された高品質のコンテンツで構成され、分かりやすく整理されています。このような素晴らしいプログラムを支えたKasperskyチームに感謝します。インタラクティブなセッションと参加者に提示される課題は、このプログラムを企画したチームが熱心に取り組んだことを明確に示しています」

Sanjay Bahl博士
局長、CERT-In、電子工学・通信技術省、インド政府

トレーニングの概要

ソフトウェア製品のセキュリティ評価

所要時間:1時間

このセクションでは、アプリケーションとシステムセキュリティの概要を説明します。(信頼性と復元性に優れたICTインフラストラクチャの構築)
  • 製品のセキュリティを評価するためのアプローチ
  • 製造元のソフトウェア開発プロセスの評価手法
  • 製造元のデータ処理手法の分析
  • ソフトウェア製品のセキュリティのための静的および動的テストの手法

脅威モデリング

所要時間:1時間半

脅威モデリングの目的は、システムの特性、潜在的な攻撃者のプロファイル、最も可能性の高い攻撃ベクトル、攻撃者が最も欲する資産を考慮して、どのようなコントロールや防御を取り入れる必要があるかを体系的に分析することです。

セクションの内容:

  • 脅威モデリングのアプローチ
  • サイバー犯罪者の識別
  • リスクの識別と優先順位付け

コードレビュー手法

所要時間:2時間半

このセクションでは、ソフトウェアコードの脆弱性を特定するための基本的な手法の概要を紹介します。コードレビューの目的は、製品に潜在的な脆弱性やバックドアがないことを確認することです。また、当社のトランスペアレンシーセンターのベストプラクティスと、ソースコードとソフトウェア開発の外部レビューのためのプロセスがどのように構成されているかについても紹介します。

セクションの内容:

  • 自動化されたソースコード分析のためのアプローチ
  • ソースコードの静的分析
  • ソースコードの動的分析
  • ソースコードを手動で分析するためのアプローチ

コードファジング

所要時間:2時間半

このセクションでは、プログラムのバグや脆弱性を特定するためのファジング(セキュリティテスト)を通じて、Windowsベースのアプリケーションを定義、開発、テストするプロセスを紹介します。トレーニングでは、Windowsベースのネイティブアプリケーションに焦点を当てていますが、ほとんどの概念(および方法論とツール)はほかのプラットフォームにも応用できます。

このセクションを修了すると、受講者は次のことができるようになります。

  • さまざまなファジング手法と適用するタイミングの理解
  • 適切なツールの選択とファジングのターゲットの準備
  • ターゲットに問題が起きそうな入力データの生成

脆弱性の管理と開示

所要時間:1時間

このセクションでは、組織のICTインフラストラクチャ内の脆弱性を管理するプロセスを構築するためのアプローチの概要と定義を紹介します。

  • 脆弱性管理のベストプラクティスの共有
  • 調整された脆弱性開示のベストプラクティスの共有
  • 当社がリサーチコミュニティから報告を受けた脆弱性レポートについて、どのように対処したかの共有
  • バグ報奨金プログラムのニュアンスの説明