攻撃に対して強化されたソフトウェアを開発するためのセキュリティの基本、脆弱性が悪用された場合に被害を軽減し、対応を迅速化する方法を学習
2022年12月5日 横浜発 ― Open Source Summit Japan 2022 ー オープンソースを通じて大規模イノベーションを推進する非営利団体Linux Foundationは、オープンソースやその他のソフトウェアを安全に使用・開発する方法について学習できる無料オンラインコース「セキュア ソフトウェア開発 (LFD121-JP)」を発表しました。これまで英語で提供されてきた「Developing Secure Software (LFD121)」を日本語で受講できるようになりました。
Apache Log4j問題やSolarWinds社事件などを通して、サイバー攻撃は近年、極めて深刻な脅威として認識されるようになりました。攻撃によりセキュリティが侵害されてから対応することは十分ではなく、またユーザーを保護することもできません。そうならないために、セキュリティはソフトウェアのリリース前に組み込まれる必要があります。この実践的な方法を学習できるサイバーセキュリティ トレーニングを提供するために、Open Source Security Foundation (OpenSSF) はLinux Foundation Training & Certificationと提携し、無料オンラインコース「セキュア ソフトウェア開発」を開発しました。
セキュア ソフトウェア開発は、ソフトウェア開発者、DevOpsプロフェッショナル、ソフトウェアエンジニア、Webアプリケーション開発者など、セキュアなソフトウェアの開発方法を学びたい人を対象に、情報セキュリティを向上させるために限られたリソースでも実行できる実践的なステップに焦点を当てています。攻撃が困難なシステムの開発と保守を容易にし、攻撃された時の被害を軽減し、潜在的な脆弱性を迅速に修復できるように対応をスピード化することを目的としています。
本コースは、リスクマネージメントが本当に意味することなど、サイバーセキュリティの基本についての説明から始まります。システム要件の一部としてセキュリティをどのように考慮するか、また、どのようなセキュリティ要件の可能性があるかを論じます。そして、ソフトウェアを安全に設計する方法に焦点を当て、悪い設計を避け、良い設計を取り入れるのに役立つさまざまな安全設計の原則を紹介します。また、ソフトウェア サプライチェーンをいかに保護するか、つまり、再利用されるソフトウェア (OSSを含む) をより安全に選択・取得し、セキュリティを強化するかについても考察しています。
また、実装上の重要な問題や、最も一般的な種類の攻撃に対抗するための実践的なステップに焦点を当てます。続いて、静的/動的解析アプローチなどソフトウェアのセキュリティ検証方法と、その適用方法 (例 : 継続的インテグレーション パイプライン) について説明します。また、脅威モデリングの開発方法や、さまざまな暗号化機能の適用方法など、より専門的なトピックについても取り上げています。
コースはセルフペースで学習でき、習得した知識をテストするためのクイズを入れて14〜18時間ほどで完了します。修了後、必要なすべてのコースワークを完了し教材を習得したことを証明するデジタルバッジが送られます。デジタルバッジは、履歴書やソーシャルメディアのプロフィールに追加できます。
このコースを開発したLinux FoundationのDavid A. Wheelerは、本日開催されるOpenSSF Day Japan (Open Source Summit Japan併催イベント) に登壇し、コースについて紹介します。
###
OpenSSFについて
Open Source Security Foundation (OpenSSF)は、Linux Foundationがホストする業界横断的な組織です。業界で最も重要なオープンソースセキュリティの取り組みと、それをサポートする個人および企業をつなぎ合わせます。OpenSSFは、すべての人のためのオープンソースセキュリティを前進させるために、コラボレーションを推進し、アップストリームおよび既存のコミュニティ両方と協力します。詳細については openssf.org をご覧ください。
Linux Foundationについて
2000年に設立されたLinux Foundationとそのプロジェクトは、2,950を超えるメンバーによってサポートされています。Linux Foundationは、オープンソース ソフトウェア、オープンハードウェア、オープンスタンダード、オープンデータに関するコラボレーションのための世界有数の拠点です。Linux Foundationのプロジェクトは、Linux、Kubernetes、Node.js、ONAP、Hyperledger、RISC-Vなど世界のインフラストラクチャにとって重要なものです。Linux Foundationの方法論は、ベストプラクティスを活用し、貢献者、ユーザー、ソリューション プロバイダーのニーズに対応し、オープン コラボレーションの持続可能なモデルを構築することに重点を置いています。詳細については linuxfoundation.org をご覧ください。
Linux Foundationはさまざまな登録商標および商標を使用しています。 Linux Foundationの商標の一覧についてはこちらをご覧ください。
Linuxは、Linus Torvaldsの登録商標です。