~GSSP認定試験・ トレーニング・スキル開発~

Assessment Examinations
GSSP Certification Training and Skills Development
~GSSP認定試験・
トレーニング・スキル開発~
次の問いに対して明確に答えられますか?
自社の開発者/プログラマーのセキュアコーディングに関する
知識/スキルのギャップはどこにあるか。
最も優れたセキュアコーディングスキルを備えた
開発者/プログラマーの採用に当たって、
自社開発者/プログラマーは誰か。
セキュアプログラミングスキルが備わっているかを
どのように判断するか。
重要な開発プロジェクトごとに、
セキュリティに精通した開発者が配置されているか。
この質問の解を得たいのであれば、
ぜひお読みください。
開発者/プログラマーがある日突然、独力でSQLインジェクションやクロ
スサイトリクエストフォージェリを考えつくことはありません。しかし、そう
した攻撃に関する知識がないことには、アプリケーションのセキュリティ
対策はできません。SANSは、この重要なセキュリティ分野に関する開発
者/プログラマーの知識を評価する手段を開発することによって、世界に大
きく貢献しています。
-JEFF WILLIAMS氏、OWASP会長
www.sans.org/gssp
www.sans-japan.jp/
目 次
当行は、セキュリティの課題に対処する
上で最も効果的かつ効率的な方法が、
問 題 の 発 生 源 にあ ることを学 びまし
た。実用的なセキュアプログラミング基
準があれば、開発者はアプリケーション
の稼働を妨げる問題の回避に集中する
ことができます。金融分野においてはリ
スクマネジメントとTime-to-Market
が鍵であり、GSSPのようなイニシアチ
ブが真のビジネス価値をもたらします。
-ROBERT MANN
ABNアムロ銀行(英国)
世界700社の企業が
アプリケーションセキュリティプログラムを展開
GSSP認定試験とは
・ ・・・・・・・・・・・・
1
・ ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
2
セキュアプログラミングのためのブループリント
・・・・・・・・・・・・・
3
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
4
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
6
・ ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
8
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
9
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
9
GSSP試験の主な用途と受験者
エンタープライズパートナー
アカデミックパートナー
受験のためのリソース
要点
* Global Information Assurance Certification
世界700社の企業が
アプリケーションセキュリティプログラムを展開
今や世界で700社を超える企業が、アプリケーションセキュ
リティを担当するチームを設けたり、アプリケーションセキュリ
ティのイニシアチブの展開に着手しており、アプリケーションの
脆弱性を悪用して不正に利益を得ようとする攻撃を阻止する
ために取り組んでいます。
SANS Software Security Institute(SSI)は、いくつかの主
要企業と協力してアプリケーションセキュリティを担当するチー
ムを設置する最善の方法を研究し、チームメンバーが必要とす
るスキルを特定しています。このプロセスにおいて、これら企業
は重要な課題に対する答えを見つけ、それをエンタープライズ
パートナーと共有しています(6ページ参照)。
●スピードと機能に集中するように訓練された開発者やアーキテクトが、どの
ようにセキュアプログラミングの重要性を受け入れるようにしていますか。
●
「情報セキュリティ」
と「アプリケーションセキュリティ」の線引きはどこに
ありますか。
●「不良コード」
の責任者は誰ですか。
●どのようにしてアプリケーションセキュリティの改善度を測定していますか。
●どのようなツールやポリシーが最も効果的でしょうか。
●調達プロセスをどのように変更すれば、
アプリケーションプロバイダの義
務や責任について改善を図ることができるでしょうか。
●どのようにして外部委託先の開発者に責任を課していますか。
●どのようにして重要な課題に関する開発者/情報セキュリティプロフェッ
ショナルの評価およびトレーニングを行っていますか。
GSSP認定試験とは
セキュアプログラミングスキルを測定するGSSP(GI AC
Secure Software Programmer)試験は、ソフトウェアのセキュ
リティ向上に取り組む企業の国際的なコンソーシアムであるセ
キュアプログラミング委員会が策定した、セキュアプログラミン
グのための必須能力のレベルを確実に測定し、認定プログラム
によってセキュアプログラミングスキルと知識レベルを証明しま
す。試験対象のスキルと知識は、アプリケーションセキュリティ
分野で最も高い評価を受けているエキスパートのコンセンサ
スを反映しています。それらは、US CERT/CCおよびOWASP
のセキュアソフトウェアサイトで策定され、www.sans-ssi.org/
blueprint.phpに掲載されるブループリントで公表されていま
す。最初の2つのGSSP試験は、CおよびJava/JEEのセキュア
GSSPこそ、まさに私たちが待ち望ん
でいたものです。これまでは開発者/プ
ログラマーのセキュリティスキルを測定
プログラミングを対象としています。.Net(Visual Basic/C#)
およびPHP/Perlのセキュアコーディングのためのブループリン
トと試験は現在策定中です。
する方法はありませんでしたが、これか
セキュアコーディングのためのブループリントと試験を開
らは違います。
発するためのコンセンサス・プロジェクトはSANS Software
-DoD/DHSソフトウェア・
アシュアランス・ワーキンググループでの、
ある最大手ソフトウェア会社代表の発言
Security Institute(SSI)が組織しましたが、基本的な内容は
業界のエキスパートが提供しました。以下はブループリントと
試験の作成に協力した企業および個人のほんの一例です。
●US CERT/CC
●American Express
●ABNアムロ
●Intel
●ボーイング
●米国土安全保障省(DHS)
●MITRE
●Tataコンサルティング
(インド)
●SPI Dynamics
●Watchfire
●フォーティファイ・ソフトウェア
●Matt Bishop氏
(カリフォルニア大学デイビス校教授、
『Computer Security: Art and
Science』著者)
●シーメンス
(ドイツ)
●Robert Seacord氏
(US CERT/CC、
『Secure
Coding in C and C++』著者)
●Ed Tracy氏
(Booz Allen & Hamilton)
●Steve Christey氏
(MITRE、CVEプロジェクト責任者)
●Ryan Berg氏
(Ounce Labs)
●Johannes Ullrich
(SANS Internet Storm Center、
SANS Technology Institute)
●NRIセキュアテクノロジーズ
(日本)
●Jeff Williams氏(OWASP)
●Reza Kopaee氏
(Deloitte & Touche, LLP)
セキュアプログラミングのための
ブループリント
ー 実際のスキルを測定する試験 ー
GSSP試験ブループリントは、MITREおよびCWEプログラム
の支援の下で継続的に更新される生きた文書であり、次の2つ
の問題に対する最善の答えを提示します。
●開発者/プログラマーがセキュアなアプリケーションを作成
するために行うべきタスクは何か。
●開発者/プログラマーがそれらのタスクを効果的に行うた
めに必要な知識およびスキルは何か。
GSSP試験で出題される問題は、そのタスクを行う必要がある
試験は、正しいスキルと知識を確実に
頻度や、そのタスクを効果的に行わなかった場合に生じる問題の
測定できなければ役に立ちません。
重大度を測定する尺度となります。試験問題では、発生すること
が予想される問題を含んだサンプルコードを示した上で、問題の
-Mason Brown
SANS Instituteディレクター
特定方法、問題の解決方法、問題が解決されない場合に生じる
結果を質問することにより、実際のスキルを測定します。
コードに基づく設問によって、机上の知識しかない人物と
実践するスキルのある人物を区別します。
受験者には、各タスクにおける自己の能力レベルがわかるレ
ポートが採点結果として示されます。これによって、個人や企業は
最も高度なスキルを備えた開発者/プログラマーを特定したり、個
人や企業の弱点を評価してギャップを埋めることができます。
GSSP試験は世界中の都市で定期的に開催されます。試験
問題は120問で、うち20問は新しい設問を作成するためのトラ
イアル問題です。試験は日本語で実施されているほか、各国語
に翻訳される予定です。
合格者がアプリケーションセキュリティの問題がもたらす影
響を十分に理解していることを保証するために、ソフトウェアへ
の脅威やアプリケーションの脆弱性を悪用することによって行
われる犯罪に焦点を当てた試験問題も含まれています。
試験日程は、SANS GSSPのWebサイト(www.sans.org/
gssp)で確認できます。
GSSP試験の主な用途
●GSSP試験を利用しようとしている企業364社が挙げた主な目的の割合
84%
セキュアプログラミングに関する知識のギャップを特定するため
62%
外部委託先の企業に、必要なセキュアプログラミングスキルを
備えたプログラマーがいることを確認するため
60%
改革を主導するのは誰か
最も重要な開発者とリーダーは、このイ
開発者/プログラマーを採用するに当たって、
セキュアプログラミングスキルがあるかどうかを評価するため
57%
ニシアチブを協力してまとめ上げた人々
です。彼らは変革、それも価値ある変革
や持続可能な変革を起こしたいと考え
必要なセキュアプログラミングスキルのある人材を重要なプロジェクトに登用するため
44%
ています。あらゆるセキュリティの脆弱
性を監視するCVEプログラムの連邦政
府代表責任者であるMITREのSteve
セキュアプログラミングスキルを習得していない学生は
卒業させないという動機づけを大学に提供するため
Christey氏は、
「いま必要なのは改革
です。セキュアプログラミング試験は、す
■ 革新的ステップ-試験の必須化
べての開発者に対して譲れない一線を
明確に示し、最低限の期待を設定する
ある世界最大規模の企業は、全世界に散らばる4,600人の全開
のに役立つはずです」と述べています。
発者/プログラマー(社内および外部委託先)に対し、18か月以内
に同社基準のセキュアプログラミング試験に合格できなければ、同
社におけるコードの作成や変更を行う資格を失うと通告しました。
どのような人が
GSSP試験を受けている……
最終学歴
89%が学士以上
51%が修士以上
保有資格
44%が他のセキュリティ関連認定資格を保有
業界
21%が政府関連
26%がコンサルティング
会社の規模
47%が従業員数500人超
21%が従業員数2,000人超
GSSP合格者のプロフィール
Jonathan Pittman 氏
ミシシッピ州立大学(MSU)Center for Computer Security
Research(CCSR)研究員/学生
経 験:C/アセンブリシステム開発および脆弱性分析
Jonathan Pittman氏がGSSP試験の合格を指導教授に報告したところ、MSU
CCSR責任者であるその教授はこの件に関するニュースリリースを発表しました。
「コンピュータにおけるセキュリティ上の問題の大半は、不十分なプログラミン
グが原因です。私の指導教官は、プログラマーの教育とその能力の認定が、ます
ます悪質・巧妙化する攻撃を根絶する重要なステップであることを理解していま
す」と語る27歳のPittman氏は、州兵としての現役勤務のかたわら、同大学のコ
ンピュータサイエンス修士課程に在学しています。
Pittman氏は、自分の脆弱性分析のスキルを証明するためにGSSP認定試験
を受験しましたが、いつの間にか同大学のコンピュータサイエンス学科を代表す
る存在となっています。彼は、その技量にさらに磨きをかけるために、2007年8月
にワシントンDCで開催されたSANSFIREの「Secure Coding in C and C++」
コースにも参加しました。
David Campbell 氏
Access Data Corp 情報セキュリティ/事業継続計画担当ディレクター
経 験:20年に及ぶシステムエンジニアリング/設計
大手金融サービス企業向け特許取得アプリケーションの開発
セールスビジョン設計開発チームシニアメンバー
C、Java、Webフレームワーク
顧客サービス分野では、スキルの信頼性と妥当性確認が特に重要です。しか
も、そのサービスが世界中の30社を超える金融機関の商品販売報告、コンプラ
イアンス、報酬、分配などを支える重要なWebアプリケーションともなればなお
さらです。
「私たちはWebアプリケーションのセキュリティが重要であることを理解して
いますが、それはお客様も同様です。お客様が当社に30ページにも及ぶセキュリ
ティアンケートを送ってくるのには、こうした理由もあります」とCampbell氏は述
べています。Campbell氏は、GSSP認定資格を新たに取得したことにより、アプ
リケーションのソースコードレビューに用いたスキルが、信頼できる第三者によっ
て実証されていることを顧客に証明できるようになりました。
エンタープライズパートナー
SSIエンタープライズパートナープログラムには、60社を超える大企業が参
加しています。パートナーは、このプログラムをそれぞれのニーズに合わせるよ
うなコンテンツ開発に関与できるほか、各社のアプリケーションセキュリティプ
ログラムの展開に役立つ、専用のプログラムや教材を利用することもできます
([email protected])。
■ オンライン試験を随時実施可能
エンタープライズパートナーでは、Webベースのシステムを利用して公的認定
シマンテックは、セキュアプログラミン
資格までは必要としない従業員、コンサルタント、および新規採用者のセキュア
グにさらに焦点を当てた教育カリキュラ
プログラミングスキル/知識に関する試験を実施することができます。
ムやトレーニングプログラムを強く提唱
これは、社内の開発者/プログラマーのセキュリティスキルに加え、外部委託
してきました。SANSやその他の関係
者と協力してセキュアプログラミング試
験を作り上げることができるこうした機
先や新規採用者のセキュリティスキルを手軽に実施したいが、公的認定資格ま
で必要ないという多くの企業から寄せられたニーズに応えたものです。
会は非常に喜ばしいことであり、開発者
オンライン試験プログラムは、大企業コンソーシアムであるエンタープライズ
に対してこのプログラムを実施すること
パートナーの惜しみない支援を受けています。エンタープライズパートナーコン
を楽しみにしています。
ソーシアムの参加資格は、500人以上の開発者/プログラマーがいる企業です
-ROB CLYDE 氏
シマンテック技術担当副社長
(外部委託先を含む)。コンソーシアムの初期メンバーには、次のような企業が
アプリケーション開発における業界標
●Tata:セキュリティに精通した何万人もの開発者/プログラマーの提供が可能と
準のセキュリティ認定は、あらゆる規
いうリーダーシップをマーケティング上の強みとする、インド最大のアウトソーシ
模の企業に不可欠であり、またITプロ
ング企業です。
含まれています。
フェッショナルにとっても非常に良い
●シーメンス:アプリケーションセキュリティにおけるリーダーシップにより、組み
啓発機会となります。DTCCは、ソフト
込みソフトウェアセキュリティに対する信頼感を顧客に与えるドイツ産業界の巨
ウェア開発におけるセキュリティプラク
大企業です。
ティスの改善に取り組んでおり、この有
意義なSANSプログラムを心から支持
しています。
●シマンテック:アプリケーションセキュリティスキルを実証することにおいてリー
ダーシップを発揮し、ネットワーク/システムセキュリティ分野で業界トップの評価
を取得し、その強化に努めています。
-JIM ROUTH 氏
DEPOSITORY TRUST
●Depository Trust and Clearing Corporation(DTCC):開発者向
けセキュアプログラミング教育においてリーダーシップを発揮し、年間1,500兆ド
ルを超える有価証券取引に対する信頼度を高めています。
●Kaiser Permanente:そのアプリケーションセキュリティチームは、患者の
秘密保持の責務を負う医療機関のモデルとなっています。
ほとんどの大企業では、何らかのプログラミングルールやポリシー、ガイドライ
ン等が規定されており、管理者はその遵守状況を確認する必要があります。エ
ンタープライズパートナープログラムでは、オンライン試験をカスタマイズして、
GSSPの共通知識体系とエンタープライズパートナーが望む特定のトピックの両
方を試験に反映させることができます。
■ さらなるプロジェクトが進行中
セキュアコーディング標準
エンタープライズパートナーの多くは、アプリケーション開発者向けのセキュア
プログラミング標準の策定を目指す中で、そのドラフト版ができる限り優れたも
のであることを確認する方法があればよいと考えてきました。また、標準策定プ
ロジェクトをこれから開始するパートナーもあります。SSIは、多くのエンタープラ
イズパートナーによって使用されている標準をベースに統合標準をまとめ、何が
最も重要な要素であるか開発者/プログラマーが理解できるよう優先順位を付
けたコンセンサス標準の策定を進めています。
GSSP認定試験の開発段階の参加者
として、この認定がシーメンスの製品や
サービスの強化だけでなく、ソフトウェ
管理者向けブリーフィング
ビジネス、IT、およびアプリケーション開発管理者が、アプリケーションセキュ
リティに対する新たな攻撃パターン、アプリケーションの脆弱性を悪用したことに
よる被害の実態、実現が近いイノベーションなどに関する最新情報をなどを常に
把握できるようにするにはどうすればよいか――これは、エンタープライズパート
ア開発業界全体の強化につながるもの
と確信しています。
-JOHN FICHTNER 氏
シーメンスComputer
Emergency Responseヘッド
ナーの多くが関心を寄せる課題です。SSIは、年4回開催の計画で、アプリケー
ションセキュリティ分野の先駆者や優秀な講師による講演をエンタープライズ
パートナーに提供するという「管理者向けブリーフィングプログラム」の開発を進め
ています。管理者向けブリーフィングプログラムは年4回開催される予定です。
セキュリティを強固なものにするために
メンター教育
頼るべきは、セキュリティチームではな
ほとんどの企業は、セキュアプログラミングについてさらに学ぶ必要のある開
く、開発者/プログラマーです。フォー
発者を抱えていますが、トレーニングを独自に開発する時間的な余裕やニーズに
見合う十分な予算はありません。SSIは、優秀なセキュアアプリケーション開発
者が、SSIの教材によるセキュアプログラミングスキルの指導方法を学ぶことが
できるメンタープログラムを提供する予定です。
●ABNアムロ銀行
(英国/オランダ)
●Aegon USA
●Amazon.com
●InfoVision
●Citrix
●Intel
●Deloitte & Touche, LLP
●Kaiser Permanente
●Depository Trust &
Clearing Corp.
●モルガン・スタンレー
●American Express
●AT&T
●eBay
●BitDefender
●EMC(インド)
●ボーイング
●Ernst & Young
●Caremark
●Expedia
●Carlson Companies
●FIS FTS Enterprise
Security Governance
●CIBC World Markets
(カナダ)
●FMR
開発者/プログラマーのセキュリティト
レーニングとその成果の評価が必要で
なものになるはずです。
●Cisco
●EADS Defence &
Security
(英国)
リティツールを最大限に活用するには、
す。GSSPのような試験は非常に重要
エンタープライズパートナーの例
●ABB Schweiz AG
(スイス)
ティファイが開発しているようなセキュ
-BRIAN CHESS 氏
フォーティファイ・ソフトウェア副社長
兼Chief Scientist
●NRIセキュアテクノロジーズ
(日本)
●Optimod
●ロイター(英国)
●ロールスロイス
●Security Compass
●シーメンスAG(ドイツ)
●Stach & Liu
●Verizon Business
アカデミックパートナー
■ セキュアプログラミングの教育拠点
SSIアカデミックパートナーは、セキュアプログラミングとセ
キュアアプリケーション開発の基礎をしっかりと身につけてか
ら卒業できるようにするコース教材の利用機会を学生に提供
するための取組みを実践しています。SSIは、セキュアプログ
ラミングをプログラミングのコアコースに組み入れる方法や、
教員自身が効果的な指導法を習得・共有する場としてワーク
ショップを共同開催することなどによって、アカデミックパート
ナーを支援します。指定アカデミックパートナーは、SSIの教材
を使用して地域企業を指導するための研修センターとして活動
することもできます。
■ 学生および現地企業向けの試験会場
各アカデミックパートナーは、学生がセキュアコーディングス
キル/知識の習得レベルを証明するためのGSSP試験会場とし
ての役割も果たします。アカデミックパートナー所属の学生はも
とより、周辺地域の企業の開発者/プログラマーもアカデミック
パートナーの試験会場を利用することができます。
ノースカロライナ大学シャーロット校(CCI)は、この種の
集会としては全米最大規模となる「2007 セキュアソフト
ウェアシンポジウム」において、SANS SSIの最初のアカ
デミックパートナーとして選出されました。
「これは、当学にとって高信頼ソフトウェア開発に関する
業界最先端の要件や手法を知る機会となります。また、
SANS SSI側も、研究・カリキュラム開発に関するCCIの
専門知識を利用する機会を得ることができ、キャンパスで
の教育・ワークショップを共同で行うことができます」
Bill Chu博士
UNCシャーロット校
Software and Information Systems Dept.教授
受験のためのリソース
■ SANS Software Security Instituteコース
SANSの講師陣および研修プログラムは、セキュリティ教育の卓越した基準と
して広く認められています。SANSは、セキュアアプリケーション開発に関する以
下のコースの開発と講師陣の育成を行っています。
1 Securing Critical Web Applications and Web Services Hands-On
2 Web Application Security Workshop
3 Secure Application Development in Java
4 Secure Application Development in C
5 Defensible .NET
6 Introduction to Pen Testing Web Applications(アプリケーション診断 基礎)
7 Advanced Application Pen Testing(アプリケーション診断 上級コース)
8 Advanced Code Review and Audit(ソースコードレビュー・監査 上級コース)
9 Threat Modeling and Secure Design Methodology(脅威のモデル化・セキュア設計方法論)
10上記以外の各種1日クラス(詳細はhttp://www.sans.org/training/courses.phpをご覧ください)
上記のコースは、SANSのカンファレンスイベントや大企業の特設クラス、オ
ンライントレーニングなどの形態で提供される予定です。
■ SSI認定トレーニングパートナーによるトレーニング
160万人を超えるフルタイムの開発者/プログラマーに加え、おそらく約200万人
のパートタイムの開発者/プログラマーが、重大なセキュリティ上の欠陥を生み出
すおそれのあるプログラムを作成しています。そのため、JavaやCによるセキュア
アプリケーション開発などのコースを提供するトレーニングセンターや大学が、少
なくとも数百箇所必要です。SANS SSIは、セキュアプログラミングの分野で効果
的なトレーニングができる団体をトレーニングセンターとして認定していきます。
要 点
1 セキュアプログラミングスキルを測定する試験
2 セキュアプログラミングスキルを証明するGSSP認定
3 セキュアプログラミングのためのトレーニングプログラム
4 大学カリキュラムへのセキュリティの組み込みや、便利な試験会場を提供す
るためのアカデミックパートナープログラム
5 カスタマイズバージョンのオンライン試験やコンセンサスに基づくセキュ
アプログラミングガイドライン、管理者啓発・教育プログラムの共同利用を
提供するエンタープライズパートナープログラム
E-mail:[email protected] Webサイト:www.sans-ssi.org
SANS Institute was established in 1989 as a cooperative research
and education organization. Today, SANS is the most trusted and
largest source for information security training and certification
in the world. SANS teaches more than 14,000 application and
network security practitioners each year and has more than 70,000
alumni and 165,000 practitioners in the SANS community.
The SANS Software Security Institute (SSI) brings that same level
of quality, timeliness and trust to developers, programmers and
application software security professionals.
SSI focuses the deep resources of SANS on the growing threats
to the application layer. SSI provides training, certification and a
library of research and community initiatives to help developers,
architects, programmers, and application security managers
protect their software/Web applications.
SSI programs listed below are designed to teach and enable
implementation of the most effective secure coding and software
development lifecycle (SDL) practices.
• Training for Web application security and hacking, secure coding,
software security testing, code review and PCI compliance.
• Language-specific secure coding training for Java/JEE, .NET, C, C#, PHP
and others
• Programmer/Developer Certification (GSSP) through our GIAC affiliate
• Free research and news resources to keep up to date with the most
recent attack vectors and application vulnerabilities
www.sans-ssi.org
www.sans.org
8120 Woodmont Avenue Suite 205
Bethesda, MD 20814
お問い合わせ先
SANS JAPAN事務局
〒100-0005 東京都千代田区丸の内1-6-5 丸の内北口ビル(NRIセキュアテクノロジーズ内)
TEL:03-5220-2298 FAX:03-5220-2039 E-mail : [email protected]