NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Mac and iOS Forensic Analysis and Incident Response
Digital Forensics and Incident Response
English2024年9月9日(月)~2024年9月14日(土)
1日目:9:00-17:30
2日目~6日目:9:30-17:30
オンライン
早期割引価格:1,220,000 円(税込み 1,342,000 円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。
通常価格:1,350,000円(税込み 1,485,000 円)
※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
このコースに完全に参加するには、適切に構成されたシステムが必要です。これらの指示を注意深く読んで従わないと、このコースに不可欠な実践的な演習に参加できないため、クラスを満足できないままにしてしまう可能性があります。したがって、コースに指定されたすべての要件を満たすシステムをご用意いただくことを強くお勧めします。
授業の前にシステムをバックアップしておくこと。より良い方法は、機密データやクリティカルなデータのないシステムを使用することです。SANSはあなたのシステムやデータについて責任を負いません。
コースメディアはダウンロードで配信されます。授業で使用するメディアファイルは大容量で、多くは40~50GBの範囲で、中には100GBを超えるものもあります。ダウンロードに必要な時間は様々な要因に左右されるため、所要時間を見積もることはできませんが、非常に時間がかかってしまう場合もあります。メールよりダウンロードリンクを取得したら、コースメディアのダウンロードを開始してください。コースメディアは授業初日すぐに必要になります。開始前夜などにダウンロードを開始すると、失敗する可能性が高くなりますので、時間に余裕をもってご準備ください。
コース教材には「セットアップ手順」という文書が含まれています。この文書には、ライブ・クラスのイベントに参加する前、またはオンライン・クラスを開始する前に行わなければならない重要な手順の詳細が記載されています。これらの手順を完了するには、30分以上かかる場合があります。
ノートパソコンの仕様についてご不明な点がございましたら、laptop_prep@sans.org までお問い合わせください。
デジタルフォレンジックやインシデントレスポンスの調査担当者は従来、Windowsマシンを扱ってきましたが、最新のApple Mac や iDevice を目の前にしたらどうなるでしょうか。Apple製デバイスの人気の高まりは、コーヒーショップから企業の役員室に至るまであらゆる場所で見られます。調査の担当者としてこれらのデバイスを扱うことはもはやニッチなスキルではありません - すべてのアナリストは、Appleデバイスを調査するために必要なコアスキルを持っている必要があります。
継続的に更新されてきている 「FOR 518:Mac and iOS Forensic Analysis and Incident Response」コースでは、MacまたはiOSの各対応項目に躊躇なく対応するために必要なテクニックとスキルを提供しています。このコースでは、徹底して実践的なフォレンジック分析とインシデント対応のスキルを習得することで、アナリストの能力を拡大し、MacやiOSデバイスを快適に分析するための自信と知識を得られます。このコースでは、侵入とインシデント対応のシナリオを提示し、Appleデバイスを侵害した攻撃者をアナリストが特定して追跡する方法を学ぶのに役立つこととなるでしょう。
「SANSは、今回も、この市場で最高の技術トレーニングを提供してくれました。サラは、包括的で首尾一貫した、やりがいのある、そして実に楽しい(和気あいあいというには言い過ぎか)コースを用意してくれました。FOR518は、私が望んでいたすべてであり、それ以上のものです。Impera Magis, Aliter Cogita "という言葉がいかに適切か、今になってわかった。このコースで成功したければ、コマンドラインを受け入れ、Windowsの知識はすべて捨てること。このコースを受講できることに興奮していますし、MacOSとiOSのフォレンジックが提供する無限のニュアンスにさらに深く飛び込むのが待ちきれません。」
MacOSとiOSのフォレンジック分析とは、Appleデバイスに保存されているデータの復元、分析、解釈です。
FOR518のハンズオンはユニークで、特にデータを掘り下げるのが好きな方に適しています。実習は、Appleのデータがどのように保存され、高価な商用ユーティリティを使用せずにデータを解釈する方法を示すために作成されました。これらのラボでは、学生が授業のプレゼンテーションで示されるデータの実践的な視点を得ることができ、コースのデータセットにコンセプトを適用することができます。このコースのラボは、学習経験の主要な構成要素であり、学生は教室を出た後、様々な分析コースのトピックを適用する際の成功率を高めることができます。
「ラボは非常に正確で、授業中に学んだトピックに関連していました。とても面白く、興味深く、やりがいがありました。」
「演習は複雑でしたが、ウォークスルーや質問は簡単に消化できました!最近の授業では、複雑な実習が多く、間違いに簡単に気づくことができなかった。サラは、トラブルシューティングがとても簡単になるような言葉や質問を使いながら、そうでないとしても、同じくらい複雑なラボをデザインしてくれました。」
「コマンドラインツールを使うことが強く推奨されているのが気に入っている。どのベンダーのGUIにも反対はしませんが、サイバーセキュリティの仕事を始めてからの私の目標は、できるだけコマンドラインを使うことでした(実用的ではありませんが)。このコースはそのためのマスタークラスです。」
フォレンジック調査やUnixのコマンドラインに関する実用的な知識はとても役に立つでしょう。次のチュートリアルを使用すると、Unixコマンドラインに慣れることができます。
https://www.codecademy.com/learn/learn-the-command-line
https://www.learnenough.com/command-line-tutorial
「このコースの目的は、Windowsベースのフォレンジック調査に精通したアナリストが、Macでも同じようなパフォーマンスを発揮できるようにすることです。MacとiOSの市場シェアは増え続けており、今やAppleは多くの企業や政府機関にとって人気の高いプラットフォームとなっています。私は、博識なフォレンジックアナリストは、Windowsのフォレンジックの世界では非常に準備が整えられていて、雇用に適した人物だと考えています。Windowsの分析はデジタルフォレンジック調査の競争環境におけるベースとなるものですが、Mac、モバイル、メモリ、マルウェアの分析など、その他のスキルを習得することで、他者との差別化を図ることができます。
MacとiOSのフォレンジックは私の情熱であり、フォレンジックコミュニティと共有したいと心から思っています。MacやiOSの調査に毎日取り組むわけではありませんが、このコースで学習するツールやテクニックは、Windows、Linux、モバイルなどの調査に役立ちます。」
- Sarah Edwards
「FOR 518は、組織内でMacを使用しているフォレンジック調査関係者や組織にとって素晴らしいコースであり、ラボは非常に魅力的でした。サラはこの分野の専門家であり、素晴らしいインストラクターで、私たちのコメントや質問にとても敏感に反応をしてくれました。」
- Ali Memarzia, Google
このセクションでは、データ取得、タイムスタンプ、論理ファイルシステム、ディスク構造など、MacとiOSの基本事項について説明します。データ取得の基本はMacとiOSデバイスで同じですが、分析のためには、MacとiOSシステムでそれぞれデータを簡単に収集するためのヒントとコツがいくつかあります。Windowsのフォレンジック分析に慣れている学生は、簡単にMacシステム上でのわずかな違いを理解できるでしょう。データは同じですが、形式だけが異なっています。
MacおよびiOSデバイスには、デバイスがどのように使用(または悪用)されたかを示すことができる多くのシステム設定が含まれています。デバイスのユーザーは、有用なフォレンジックインサイトを提供できる特定の設定を変更する可能性があります。多くの場合、これらのコンフィギュレーションアクションはログでも見つけることができ、デバイスがどのように使用されていたかの詳細なストーリーを作成するための歴史的なコンテキストを提供します。
このセクションでは、ログ分析とともに、システムおよびデータ構成に焦点を当てます。これらのデバイスには、それぞれ独自の分析方法と内容を持つ多くの異なるタイプのログがあります。ログ・エントリーは、システム上で発見されたユーザーおよびシステム・データと関連付けられ、迅速かつ効率的に事件を解決するために使用できる詳細なタイムラインを作成することができます。
APFSがどのように動作するかを復習した後、ファイルシステムで使用され、学生が過去に見た他のオペレーティングシステムとは全く異なる、様々な魅力的な成果物を見ていきます。これには、メタデータを含む多くのアーティファクトが含まれ、調査により多くのコンテキストを提供することができます。
追加のボーナスラボでは、Appleファイルシステム(APFS)を徹底的に深く理解することで、MacとiOSのフォレンジックの構成要素を学びます。16進エディタを使用し、MacOSとiOSシステムに実装されている主要なファイルシステムの基本構造を学びます。
ユーザドメインにあるすべての設定と環境設定情報に加え、ユーザはインターネット、電子メール、通信、写真、位置情報など、さまざまなAppleネイティブアプリケーションとやり取りすることができます。これらのデータは、分析者に、誰が、何を、どこで、なぜ、どのように調査したかを提供することができます。
このセクションでは、データが保存されているさまざまなデータベースやその他のファイルについて説明します。このセクションでは、データが保存されているさまざまなデータベースやその他のファイルについて調べます。受講者は、市販の解析ツールの助けを借りることなく、これらの情報を手作業で解析できるようになります。
Appleのシステムには、MacやiOSデバイスを持っている人だけが利用できる技術がいくつか実装されています。このセクションでは、様々な調査で使用できる様々なトピックについて学びます。パターン・オブ・ライフなどのトピックでは、正確な時間にどのアプリが使用されていたか、何歩歩いたか、デバイスのロックが解除されていたか、デバイスがどこにあったかなどを特定できる、非常に具体的なユーザーとデバイスのアクティビティについて詳しく説明します。その他の高度なトピックには、暗号化されたコンテナに隠されたデータの解読、侵害の指標、セキュリティの強化、FindMy、AirTags、TimeMachineなどを含むAppleのあらゆる「モノ」が含まれます!
この講義の最終日には、実世界をベースにしたシナリオをチームメンバーと実行します。それにより、Macのフォレンジックに関して新しく身に付けたスキルを確認していきます。