セミナー・イベント情報

  1. HOMEHOME
  2. セミナー
  3. Androidアプリの企画、設計、開発に携わるリーダー、マネージャ向けAndroidアプリセキュア開発セミナー

Androidアプリセキュア開発セミナー

お申込受付は終了しました。多くのご応募ありがとうございました。

Androidアプリ市場は急速に拡大したため、開発者は常に目先の開発に追われ、技術情報の蓄積に時間をかけられない状況が続いています。知識や経験の不足により、脆弱性があったり、マルウェアと誤解されかねないアプリがリリースされている場合も多く、セキュリティ事故がいつ発生してもおかしくないと言えるような状況になっています。


本セミナーでは、Androidアプリを開発する上で開発者が犯しがちな誤りや、Androidが提供するセキュリティの仕組みの限界について説明しつつ、セキュアなAndroidアプリを開発するためのポイントについて解説いたします。


開催概要

日時 2016年6月15日(水)10:00-17:00 (9:30受付開始)
主催 リスクファインダー株式会社
株式会社セキュアスカイ・テクノロジー
会場 SST社セミナールーム
PMO神田司町2F (東京都千代田区神田司町2丁目8-1)【地図

交通手段
・東京メトロ丸ノ内線「淡路町」駅 A2番出口 徒歩2分
・都営新宿線「小川町」駅 A2番出口 徒歩2分
・東京メトロ千代田線「新御茶ノ水」駅 B6番出口 徒歩4分
・東京メトロ銀座線「神田」駅 5番出口 徒歩5分
・JR中央線・山手線・京浜東北線「神田」駅 北改札出口 徒歩6分
参加費 50,000円/人(税抜)
定員 12名(お申込み先着順となりますのでご了承ください。)
対象 1. Androidアプリの企画、設計、開発業務に関わる担当者(リーダー)
2. 業務担当者の作業結果をレビューする立場となるマネージャ
講習目標

1.Android を搭載したスマートフォンが置かれている現状および、アプリケーション開発者が考慮すべきセキュリティ上のポイントの理解
2.Android、Androidアプリケーションの構造、セキュリティの現状に対する理解

3.セキュアなAndroidアプリを開発するための知識習得

講習形態 ・集合研修(座学)
・講師1名
・各参加者にテキスト配布  
お問い合わせ先 ・TEL:03-3525-8045
・E-mail:info@securesky-tech.com

講演者紹介

島野 英司(Eiji Shimano)

藤村 聡(Fujimura Satoshi)

リスクファインダー株式会社
営業部

1987年よりIT業界一筋。4GLで業界に入り、汎用機でCOBOL、WindowsでC(++)といった開発経験を経て管理職へ。2011年末、開発のノウハウをまとめ「Android Security 安全なアプリケーションを作成するために」を執筆。また、JSSEC『Androidアプリのセキュア設計・セキュアコーディングガイド』の作成メンバーとしても活動中。

※リスクファインダー株式会社はタオソフトウェア株式会社の関連会社です。 スマートフォンのセキュリティに関する主業務とし、タオソフトウェア株式会社が2013年5月より開始したAndroidアプリの脆弱性診断Webサービス「Tao RiskFinder」の事業を引き継いでいます。

セミナーの特長

テキスト
・オリジナルテキスト

約230ページのテキストは、セミナー後も日々の業務の中でご活用いただけます。

・タオソフトウェアのノウハウ

2012年に日本初のAndroidセキュリティに着目した書籍、「Android Security 安全なアプリケーションを作成するために」を出版するなど、タオソフトウェアが培ってきたAndroidアプリの開発、セキュリティに豊富なノウハウを余すところなくご提供いたします。

受講者のご感想

・知らなかったことが明確になりました。テキストもコンポーネント毎にセクションが分かれているので復習しやすいと思います。
・セキュリティに対する認識を改めるのにちょうど良い機会でした。Androidアプリ開発の際にはルールを決めるための指針として活用できそうです。
・パーミッションの優先順位等、パーミッションの設定については注意しなければならない部分として認識できました。ログ出力部分の消し忘れ等、注意点を再認識もでき、全体的にも有意義な会でした。
・Android開発時に守るべき事が具体的にかつ要点がまとまっていて、わかりやすかったです。
・Androidアプリのセキュリティ全般について知る事ができて有意義でした。
・執筆者ご本人から説明いただいたので、とても有意義な講義でした。
・ガイドラインや書物だけよりも、今回のように説明を受ける方が理解がしやすかった。
・開発者側に焦点を当てた内容で分かりやすかった。今後は利用者、サービス提供者側がそれぞれ注意すべきセキュリティリスクのような観点のお話を聞きたいです。


テキスト テキスト

プログラム

10:00~10:15

【導入】

講師紹介、講習内容、目的意識の共有

10:15~10:35

【現状認識】

・ Androidの特徴
・ 開発者が置かれている状況
・ 事例

10:35~10:50

【考慮すべきセキュリティ上のポイント】

・ 保護すべき情報の範囲
・ データの保護
・ アプリケーションの保護

10:50~11:00 休憩
11:00~11:20

【プライバシー保護】

・ ユーザ利用者情報の保護
・ 個人情報保護法、プライバシーポリシー

11:20~12:00

【アプリケーションの構造、セキュリティの現状に対する理解】

・ アプリケーションの実装で対策できる範囲
・ セキュリティ上のチェックポイント(構造的視点)
・ Androidアプリケーションに特有のポイント
・ 代表的な弱点探索方法

12:00~13:00 休憩
13:00~13:05

【午後導入】

・ 午後の講義内容の再提示
・ 確認テストについて

13:05~13:20

【APK ファイルの構造とセキュリティ上の留意点】

・ APKファイルの構造
・ リソースファイル
・ インストールディレクトリ
・ APKファイルの取得(抜き出し方法)

13:20~13:35

【ファイルパーミッションの理解とセキュリティ上の留意点】

・ ユーザIDとファイルアクセス
・ ファイル共有
・ アプリケーションディレクトリ
・ 外部記憶装置
・ KitKatの仕様変更点
・ Nでの仕様変更点

13:35~13:50

【プリファレンス・データベースに関するセキュリティ上の留意点】

・ プリファレンスデータの作成
・ 他アプリからのプリファレンス取得
・ データベースファイルの保護
・ DB 内データの保護
・ Content Providerの利用

13:50~14:00

【パーミッションについて】

・ パーミッションのレベル
・ パーミッションの偽装可能性
・ Lollipopの仕様変更点
・ Marshmallowの仕様変更点

14:00~14:10 休憩
14:10~14:50

【JSSEC ガイドラインについて】

・ ガイドラインが必要な理由
・ ガイドラインの構成
・ セキュリティを維持するための基本的な考え方

14:50~15:30

【コンポーネント作成時、利用時の注意点】

・ セキュリティを維持するための着眼点、注意すべき事柄
・ 下記のコンポーネントについて説明
- Activity
- Broadcast Receiver
- Content Provider
- Service

15:30~15:40 休憩
15:40~15:50

【データベース、ファイル利用時の注意点】

・ SQLite
データベースファイルのアクセス権の適切な設定とSQLインジェクションに対する対策方法
・ File
Fileを作成する、または利用する際のポイント

15:50~16:10

【その他の機能利用時の注意点】

・ Browsable Intent
危険性と実装時の注意点
・ LogCat
重要な情報をログに出力しないための提案
・ WebView
脆弱性についての理解。注意点
・ パスワード入力画面
様々な場面を考慮した実装について

16:10~16:25

【HTTPSで通信する】

・ HTTP通信を行う上での注意点
・ HTTPS通信を行う上での注意点
・ Marshmallowでの仕様変更点

・ Nでの仕様変更点
16:25~16:40

【プライバシー情報を扱う】

・ プライバシー情報を扱う際の注意点

16:40~16:50

【Clipboardから情報漏洩する危険性】

・ Clipboardに格納された情報が漏洩する可能性について
・ 対策方法と限界について

16:50~17:00

【まとめ】

・ 講習内容の振り返り
・ 確認テストの答え合わせ
・ 質疑応答等

※本セミナーでは、クライアントサイドを対象にした講習内容となっております。
※プログラムの内容は一部変更になる場合がございます。予めご了承ください。

関連事例のご紹介

導入モデルのご提案

関連セミナーのご案内

Page Top