実演! OWASP ZAPを用いた脆弱性診断|一押しコースの見どころ紹介!

SEプラスではSEカレッジを中心に、オリジナルの研修コースを毎シーズン企画しています。
この「見どころ紹介」コーナーは、そういったコースの中でも “イチオシ” のコースを企画者にインタビューして、そのコースが何に効くのか、どんな思いがあって作ったのか、語ってもらいます!
10 月よりスタートしている 2020 年度 秋冬のコースから、 実演! OWASP ZAP を用いた脆弱性診断 を紹介します!

株式会社SEプラス
e&TS Division
コース情報
ジャンル | メソドロジ |
---|---|
レベル | 中級 |
コース一言紹介 | OWASP ZAP の操作解説から、脅威検出と分析まで Web アプリケーションセキュリティを解説します。 |
これからの開催予定 | 2021 年 1 月 12 日 |
開催形式 | オンライン研修 |
研修スタイル | ライブ配信 / 座学 + デモ |
見どころ紹介
Q. コースを企画した背景をおしえてもらえますか?
Q. たしかに ReDoS 攻撃やリバースブルートフォース攻撃など次から次へと出てくるので、自動でやりたいですよね。では、ズバリこのコースの見どころは?
OWASP ZAP の操作方法や結果画面などを丁寧に説明しているところがポイントです!
講義後半では、サイバー攻撃の例を解説しながら、 OWASP ZAP の様々な脆弱性に対する機能を使って、注意点の解説とともにデモンストレーションします。
Q. 脆弱性診断ツールと言っても色々ありますが、 OWASP ZAP を使うのはなぜでしょうか?
OWAP ZAP はシェアもあり、 OSS として公開されている無料の脆弱性診断ツールです。また、注目度が増している OWASP というオープンなセキュリティのコミュニティが開発しており、アップデートも進んでいます。
それだけでなく、初めて利用する受講者様にとっても、他のツールに比べ容易に操作できるツールなので、ピックアップしました。
Q. なるほど OWASP が公開しているのですね。 一方で、脆弱性診断というとある程度、知っていないとわからない気がしますが、どのような方にオススメでしょうか?
脆弱性診断に関する基礎知識、例えば SQL インジェクションなど Web アプリケーションに関する脆弱性にどんなものがあるのかなどを知っているとより理解が深まります。
ただ、コースでは、用語や脆弱性診断に関する情報も解説しますので、詳しく知らない方もご参加いただけます。幅広い方に受講していただける内容です。
Q. では、このコースで学べること、身につけられそうなことを教えていただけますか?
OWASP ZAP を使って Web アプリケーションの脆弱性を診断する一通りの方法が学べます。
インストール方法、設定、基本的な操作解説から脅威検出と分析まで行うので、脆弱性診断の手法や事例を知ることができます。
具体的には、講師が準備した Web アプリケーションに対して、解説を交え実演しながら脆弱性診断を行っていきます。その中で、設定ミスで起こってしまう事故やリスクも解説していますので、より実務に活かせるコースになっています。
ぜひコースで学んだことを、自社の Web アプリケーションや Web サイトで試してもらいたいですね。
Q. 帰ってスグに試せそうで楽しみにですね!では、このコースで触れないことを教えてもらえますか?
OWASP ZAP を使って脆弱性を検知するまでの内容なので、検知したあとに行う脆弱性の解消方法や技術などは解説しません。
Q. では、このコースを参加したあとは、どういったコースがオススメですか?
セキュリティマネジメント分野の『テレワーク時に抑えなければいけないPMS 』がおすすめです。このコースの講師の村上さんが登壇しています。

テレワーク環境に求められるセキュリティについて解説しており、 セキュリティリスクが高い状況や最新の事例まで具体的に解説します。

SI 企業にてネットワーク、セキュリティの構築、設計の業務に携わる。また、情報教育の NPO 団体アイタックでネットワーク講師としてボランティア活動中。
JINSA マーケティング WG 所属。情報処理試験研究会(通称ぎょぴ研)所属。
Q. テレワーク移行で事故も多くなっていますのでタイムリーですね! では、最後に受講を考えている方や、研修を担当されている方にメッセージをお願いします!
OWASP ZAP の使用方法を学べば、自社の Web アプリケーションの脆弱性もご自身で確認することができます。
OWASP ZAPは無料で使用できるので、この機会に受講してみてはいかがでしょうか?
また、 2021 年度の春夏シーズンで関連する「 DevSecOps 」関するコースも開催予定ですので、こちらもご期待ください!
label SEカレッジを詳しく知りたいという方はこちらから !!

IT専門の定額制研修 月額28,000円 ~/ 1社 で IT研修 制度を導入できます。
年間 670 講座をほぼ毎日開催中!!

SEプラスにしかないコンテンツや、研修サービスの運営情報を発信しています。
Web アプリケーションに対する攻撃の手法は多様化、高度化し、セキュリティリスクがどこに潜んでいるのか、わかりにくくなりました。
そんな中、人力チェックではなく自動で脆弱性を検知できるツールが普及しているため、コースを企画しました。