ニュースレター登録
資料ダウンロード
お問い合わせ

SECURITY 565

Red Team Operations and Adversary Emulation

English
日程

2026年6月22日(月)~2026年6月27日(土)

期間
6日間
講義時間

1日目: 9:00-17:30
2日目~6日目: 9:30-17:30

受講スタイル
Live Online
会場

◆LiveOnline形式
 オンライン

GIAC認定資格
GRTP
講師
Karim Lalji|カリム ラルジ
SANS認定インストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
36 Points
受講料

早期割引価格:1,259,500円(税込み 1,385,450円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格:1,334,500円(税込み 1,467,950円)

申込締切日
早期割引価格:2026年5月8日(金)
通常価格:2026年6月11日(木) 13:00
オプション

  • GIAC試験 価格:149,850円(税込み 164,835円)

  • OnDemand 価格:149,850円(税込み 164,835円)

  • Skills Quest by netwars 価格:74,250円(税込み 81,675円)

※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)

下のボタンを押すと、NRIセキュアのお申し込みサイトに遷移します。

お申込み

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

SEC565 PC設定詳細

重要:次の手順に沿って設定されたノートPCをご準備ください。

このコースを受講するには、適切に構成されたシステムが必要です。これらの指示を注意深く読み、従わないと、コースの実践的な演習に完全に参加することはできません。そのため、指定された要件をすべて満たしたシステムを持ってお越しください。

受講前にシステムをバックアップしてください。機密データ/重要なデータが保存されていないシステムを使用することを推奨します。SANS は、受講者のシステムやデータに対して一切責任を負いません。

必須のシステムハードウェア要件

  •  CPU: 64 ビット Intel i5/i7 (第 8 世代以降)、または 同等のAMDプロセッサ。このコースでは、x64 ビット、2.0GHz以上のプロセッサが必須です。
  • 重要: Apple Silicon デバイスは必要な仮想化を実行できないため、このコースでは使用できません。
  • BIOS 設定で「Intel-VTx」や「AMD-V」拡張機能などの仮想化テクノロジーを有効にする必要があります。変更が必要な場合に備えて、BIOSがパスワードで保護されている場合は必ずアクセスできることを確認してください。
  • 16GB以上のRAMが必要です。
  • 100GB以上の空きストレージ容量が必要です。
  • USB 3.0 Type-A ポートが少なくとも1つは必要です。新しいノートパソコンには、Type-C - Type-A 変換アダプターが必要になる場合があります。一部のエンドポイントプロテクションソフトウェアでは USB デバイスの使用を妨げるため、受講前に USB ドライブのシステムをテストしてください。
  • 無線ネットワーク(802.11規格)が必要です。会場には有線インターネットアクセスはありません。

ホスト構成とソフトウェア要件

  • ホストオペレーティングシステムは、Windows 10、Windows 11、または macOSの最新バージョンである必要があります。
  • 受講前にホストオペレーティングシステムを完全に更新して、適切なドライバーとパッチがインストールされていることを確認してください。
  • Linuxホストは、バリエーションが多数あるため、会場ではサポートされていません。ホストとしてLinuxを使用することを選択した場合は、コース教材やVMと連携するようにLinuxを構成するのは受講生の責任となります。
  • ローカル管理者アクセスが必要です。(これは絶対に必要です。ITチームから許可を得られない場合は許可しないでください。会社がコース期間中このアクセスを許可しない場合は、別のノートパソコンを持参する手配をする必要があります。)
  • ウイルス対策ソフトウェアまたはエンドポイントプロテクションソフトウェアが無効になっているか、完全に削除されているか、または管理者権限を持っていることを確認してください。このコースの多くは、オペレーティングシステムへの完全な管理者アクセスを必要とし、これらの製品が原因でラボを完了できない場合があります。
  • 出力トラフィックのフィルタリングにより、コースのラボを実施できない場合があります。ファイアウォールを無効にするか、無効化するための管理者権限が必要です。
  • 講座開始前に、VMware Workstation Pro 16.2.X以上、またはVMware Player 16.2.X以上(Windows 10ホスト用)、VMware Workstation Pro 17.0.0以上、またはVMware Player 17.0.0以上(Windows 11ホスト用)、またはVMWare Fusion Pro 12.2以上、またはVMware Fusion Player 11.5以上(macOSホスト用)をダウンロードしてインストールしてください。VMware Workstation ProやVMware Fusion Proのライセンス版を所有していない場合でも、VMwareから30日間の無料トライアル版をダウンロードできます。VMwareは、ウェブサイトでトライアルに登録すると期間限定のシリアル番号を送ってくれます。また、VMware Workstation PlayerはVMware Workstation Proよりも機能が少ないことにも注意してください。Windowsホストシステムを持つ方には、よりシームレスな受講エクスペリエンスのためにWorkstation Proが推奨されます。
  • Windowsホストでは、VMware製品は Hyper-V ハイパーバイザーと共存しない場合があります。最適なエクスペリエンスを得るには、VMwareが仮想マシンを起動できることを確認してください。これには、Hyper-Vを無効にする必要がある場合があります。Hyper-V、Device Guard、Credential Guardを無効にする手順は、コース教材に付属のセットアップドキュメントに記載されています。
  •  7-Zip (Windows ホストの場合) またはKeka (macOS ホストの場合)をダウンロードしてインストールしてください。これらのツールは、ダウンロードしたコース教材にも含まれています。

コースメディアはダウンロードで配信されます。講座で使用するメディアファイルは大きくなる可能性があります。多くは4050GBの範囲ですが、100GBを超えるものもあります。ダウンロードが完了するまで、十分な時間を確保してください。インターネット接続と速度は大きく異なり、さまざまな要因によって左右されます。そのため、教材のダウンロードにかかる時間の見積もりを概算することはできません。リンクを取得したらすぐにコースメディアのダウンロードを開始してください。講座初日からすぐ必要になります。これらのファイルのダウンロードは受講前日の夜まで待たずに開始してください。

コース教材には、「セットアップ手順」ドキュメントが含まれており、ライブ講座への参加、オンラインコースを受講開始したりする前に実行する必要がある重要な手順が詳細に説明されています。これらの手順を完了するには、30分以上かかる場合があります。

講座では、ラボの指示に電子ワークブックを使用しています。この新しい環境では、コースラボに取り組んでいる間、教材を見やすくするために、2台目のモニターやタブレット端末があると便利です。

ノートパソコンの仕様についてご質問がある場合は、カスタマーサービスにお問い合わせください。

SEC565 コース概要

SEC565 レッドチームコースでは、サイバー脅威インテリジェンスを活用した攻撃者エミュレーションを通して、レッドチーム攻撃を計画・実行するスキルを習得します。攻撃者の戦術、手法、手順(TTP)をマッピング・再現します。Unified Kill ChainMITRE® ATT&CK™フレームワークを用いて、受講者はレッドチーム攻撃の構築・管理、攻撃インフラの構築、そして模擬エンタープライズ環境内でのActive Directoryの悪用方法を習得します。本コースは実践的な演習を重視し、ブルーチームの対応、報告、そして修復計画の分析までを網羅しています。受講者は、組織の防御の有効性を評価・改善する、一貫性と再現性のあるレッドチーム攻撃を実施できる準備を整えています。

レッドチームトレーニング新たな脅威に対応する実践的なスキル

ペネトレーションテストは脆弱性の列挙には効果的ですが、防御側の人員やプロセスへの対応にはそれほど効果的ではありません。そのため、ブルーチームや防御側は、どのような攻撃入力を改善すべきか十分な知識を得られず、組織はシステムの脆弱性にのみ焦点を当てるという悪循環に陥り、攻撃を効果的に検知・対応できる防御側の成熟度を高めることができなくなってしまいます。

SEC565では、受講者は、攻撃者エミュレーションを活用したend-to-endのレッドチーム活動の計画と実行方法を学びます。レッドチームを編成し、脅威インテリジェンスを活用して攻撃者の戦術、手法、手順(TTP)をマッピングし、それらのTTPをエミュレートし、レッドチーム活動の結果を報告・分析し、最終的に組織全体のセキュリティ体制を向上させるスキルを習得します。このコースでは、受講者はActive Directory、インテリジェンスが豊富なメール、ファイルサーバー、Windowsで稼働するエンドポイントなど、企業環境をモデル化した標的組織に対して、攻撃者エミュレーションを実行します。

SEC565は、6つの集中コースセクションで構成されています。まず、サイバー脅威インテリジェンスを活用し、標的組織への攻撃意図、機会、能力を持つ攻撃者を特定し、文書化します。この強力な脅威インテリジェンスと適切な計画に基づき、受講者は統合キルチェーンと、MITRE® ATT&CK(攻撃者の戦術、手法、共通知識)にマッピングされた複数のTTP(戦術、技術、共通知識)を攻撃実行時に実行します。3つのコースセクションでは、回復力の高い高度な攻撃インフラの構築からActive Directoryの悪用に至るまで、高度なレッドチームの技術を深く掘り下げて学習します。最初のアクセスを取得した後、受講者は各システムを徹底的に分析し、技術データと標的インテリジェンスを窃取します。その後、水平展開を行い、権限を昇格させ、持続的な攻撃を仕掛け、極めて影響力のある機密データを収集・抽出します。このコースの最後には、ブルーチームの対応、報告、修復計画、再テストを分析する演習を行います。

SEC565では、レッドチーム演習と攻撃者エミュレーションが組織にもたらす価値を示す方法を学びます。レッドチームの主な役割は、ブルーチームを強化することです。攻撃は防御に、防御は攻撃に反映されます。 

受講対象者

SEC565トレーニングは、以下のような幅広い層の方々に推奨されます。

  • レッドチームによる取り組みが他の種類のセキュリティテストとどのように異なるかを理解するために、レッドチームによる取り組みに関する知識を深めたいセキュリティ専門家
  • レッドチームメンバーとして、自身の技術をより深く理解したいと考えているペネトレーションテスターとレッドチームメンバー
  • レッドチームによる取り組みが、攻撃手法、ツール、戦術、テクニック、手順をより深く理解することで、防御力をどのように向上させるかを理解したいと考えているブルーチームメンバー、防御担当者、フォレンジックスペシャリスト
  • より高度な技術スキルを習得したり、規制要件を満たしたりする必要がある監査担当者
  • 価値の高いレッドチームによる取り組みを組み込んだり、参加したりする必要がある情報セキュリティマネージャー

シラバス

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5
  • DAY6

攻撃者エミュレーションと脅威インテリジェンスの計画

この最初のセクションでは、攻撃者の戦術、レッドチーム作戦、脅威インテリジェンスフレームワークの基礎概念を確立します。重点分野には、エンゲージメント計画、脅威アクター分析、初期攻撃実行などがあり、これらはすべて、制御された環境において高度な攻撃者をエミュレートするために不可欠です。

取り上げられるトピック

  • 高度な攻撃者エミュレーション手法
  • 統合キルチェーンと攻撃マッピング
  • 脅威インテリジェンスとOSINTオペレーション
  • 多要素バイパス手法
  • ソーシャルエンジニアリング手法

ラボ

  • 環境設定とオリエンテーション
  • MITRE® ATT&CKフレームワークの実装
  • 脅威インテリジェンス分析とレポート作成
  • 戦略的エンゲージメント計画
  • レッドチーム実行プロトコル

概要

コースの最初のセクションでは、攻撃者の戦術と手法について議論するための共通言語を提示します。レッドチームの目的を説明し、このトピックに関連する様々なフレームワークと方法論に焦点を当てます。攻撃者エミュレーションを成功させるには、脅威インテリジェンスの実施と、エンゲージメントの計画という2つの重要なステップが必要です。このセクションの最後には、レッドチームのエンゲージメントにおける最初のいくつかのアクションについて見ていきます。

トピックスの詳細

  • 攻撃者エミュレーション
  • 倫理的ハッキング成熟度モデル
  • フレームワークと方法論
  • 攻撃者の理解
  • 統合キルチェーン
  • MITRE® ATT&CK™
  • 脅威インテリジェンス
  • 脅威レポート ATT&CK™ マッピング (TRAM)
  • ATT&CK™ ナビゲーター
  • エンドツーエンドテストモデル
  • 想定される侵害
  • 実行フェーズ
  • レッドチームの構築 - スキル開発
  • 偵察
  • オープンソースインテリジェンス (OSINT)
  • パスワード攻撃
  • ソーシャルエンジニアリング
  • MFAへの攻撃 - evilnginx2

攻撃インフラストラクチャと運用セキュリティ

セクション2では、高度なコマンドアンドコントロール(C2)インフラストラクチャとツールについて深く掘り下げ、回復力のある攻撃フレームワーク、回避型リダイレクタの実装、そしてOPSECの強化に焦点を当てます。受講者は、高度なC2アーキテクチャと通信チャネルを通じて、運用セキュリティ監視、インフラストラクチャ保護、そして防御側の回避策を学習します。

取り上げられるトピック

  • 最新のC2インフラストラクチャ設計
  • 高度なリダイレクタ手法
  • サードパーティホスティング戦略
  • OPSECとインフラストラクチャの強化
  • IoCの生成と防御

ラボ

  • 高度なC2フレームワークの導入
  • 耐障害性の高いリダイレクタ構成
  • VECTRの実装と監視
  • Cobalt Strikeオペレーターのトレーニング
  • Empire C2アーキテクチャのセットアップ

概要

コースの第2セクションでは、レッドチームの様々なツールとコマンドアンドコントロール(C2)フレームワークを紹介します。どちらも、適切に管理された攻撃インフラを前提としています。このセクションの大部分を使って、回復力のある攻撃インフラの重要な側面と、レッドチームがリダイレクターを活用して防御側との距離を確保する方法について解説します。攻撃インフラを保護するためのもう一つの重要な側面として、監視と運用セキュリティの実装についても説明します。

トピックスの詳細

  • レッドチームツール
  • コマンドアンドコントロール(C2
  • C2の比較
  • リスナーと通信チャネル
  • 高度なインフラストラクチャ
  • リダイレクタ
  • サードパーティホスティング
  • セルフホストとサードパーティホスティングの比較
  • 運用セキュリティ
  • IOCの理解
  • VECTRの概要
  • Cobalt Strike

侵入と潜伏

高度なペイロードとネットワーク侵入戦術がこのセクションの中核を成します。受講者はステルス性の高い兵器化技術を探求し、標的環境への信頼性の高い初期アクセス経路を確立する方法を学びます。権限昇格チェーンや永続的アクセス手法など、エクスプロイト後の回避策に特に重点を置きます。

取り上げられるトピック

  • 高度なペイロードエンジニアリング
  • 防御制御バイパス戦術
  • ネットワーク侵入手法
  • 高度なパーシスタンスメカニズム
  • AMSI回避技術

ラボ

  • 高度なペイロード作成とテスト
  • 初期アクセスベクトルの開発
  • ネットワーク検出と列挙
  • 権限昇格技術
  • パーシスタントアクセスの実装

概要

コースの第3セクションでは、悪意のあるペイロードを武器化して準備します。標的ネットワークへの初期アクセスを実現するための様々な配信方法について解説します。最初のホストと周辺ネットワークを調査した後、検出、権限昇格、認証情報へのアクセス、そして永続化というサイクルを経ながら、ネットワークをステルス的に拡散していきます。

トピックの詳細

  • 武器化
  • カスタム実行ファイル
  • 組み込み
  • 実行ガードレール
  • 初期アクセス
  • ネットワークプロパゲーション
  • 発見
  • 運用セキュリティ
  • ディセプションテクノロジー
  • ローカルネットワーク列挙
  • ローカル権限昇格
  • パスワードクラッキング
  • パーシスタンス
  • 防御回避 - 静的解析と動的解析
  • AMSIバイパスの内部構造

Active Directory攻撃とラテラルムーブメント

受講者は、Windows環境における包括的なドメイン列挙と高度な権限昇格について学習します。詳細な技術分析では、クロスドメイン攻撃パターン、信頼関係の悪用、そして高度なラテラルムーブメント戦術を網羅します。各概念は、運用効果を最大化するために、実用的な攻撃ツールの実装と統合されます。

取り上げられるトピック

  • ドメイン信頼の悪用チェーン
  • 認証バイパス手法
  • 証明書サービス操作
  • 高度な委任攻撃
  • エンタープライズネットワークピボット

ラボ

  • エンタープライズドメイン列挙手法
  • トークン操作と権限の悪用
  • 高度なAD攻撃ツールの導入
  • Bloodhound攻撃パス分析
  • フォレスト間ラテラルムーブメント戦術

概要

4セクションでは、Microsoft Active DirectoryAD)を深く掘り下げます。受講者は、ADへの攻撃と列挙に使用される戦術、手法、手順を学習し、実践します。ドメインやフォレストの信頼を含むエンタープライズネットワークを列挙、エスカレーション、ピボットするための様々なツールを活用し、それらの間を移動する方法を確認します。

トピックの詳細

  • Active Directory の概要
  • ツリーとフォレスト
  • 認証、承認、アクセストークン
  • AD 列挙
  • DNS 抽出
  • ドメイン権限昇格
  • アクセストークン操作
  • Pass-The-HashPass-The-Ticket
  • Kerberoasting
  • シルバーチケット、ゴールデンチケット、スケルトンキー
  • AD 証明書サービス
  • 制約なしおよび制約付き委任
  • PrinterBug PetitPotam を使用した強制認証
  • 信頼のホッピング
  • Bloodhound/SharpHound
  • AD エクスプローラー
  • SMB パイプ、リモートデスクトッププロトコル、PsExecWindows Management Instrumentationdcom
  • SMB リレー
  • レスポンダー
  • シャドウ認証情報の設定
  • ドメイン権限の悪用
  • DC 同期
  • ドメインのラテラルムーブメント、ドメイン信頼攻撃
  • ドメインとフォレスト間のピボット
  • フォレスト列挙、フォレスト攻撃

目標達成と報告

受講者は、高度なデータベース攻撃、機密データの窃取手法、そして標的型システム操作による影響検証について理解します。継続的なセキュリティ検証のためのエンゲージメント分析、戦略的な報告手法、そして自動化された侵害シミュレーション技術を包括的に学習します。

取り上げられるトピック

  • データベースの悪用手法
  • 標的システムの操作
  • エンゲージメント分析フレームワーク
  • 侵害シミュレーションの導入
  • レッドチームによる測定プロトコル

ラボ

  • 高度なデータベース攻撃戦略
  • 重要なデータの窃取手法
  • エンゲージメントの追跡とレポート作成
  • 影響分析とデモンストレーション
  • 自動侵害シミュレーション

概要

5セクションでは、新たに獲得したアクセスを利用して、環境内に保存されている重要かつ機密性の高い情報を発見します。これらのデータを収集・抽出し、レッドチームの行動の影響を実証します。アクティブテスト期間後、レッドチームは攻撃内容を分析し、レポートを作成し、再テストを計画する必要があります。このセクションは、最終セクションで実施される没入型のレッドチーム・キャプチャー・ザ・フラッグ演習の準備で締めくくられます。

トピックの詳細

  • 目標達成に向けた行動
  • データベース攻撃
  • SQLアビューズ
  • トラストアビューズ
  • PowerupSQL
  • ターゲット操作
  • 収集
  • データステージング
  • データ窃取
  • 影響
  • ランサムウェアのエミュレーション
  • エンゲージメントの終了
  • 分析と対応
  • レッドチームによる検証
  • 人員とプロセスの測定
  • 再テスト
  • 修復と行動計画
  • 侵害および攻撃のシミュレーション
  • APTSimulator
  • ネットワークフライトシミュレーター
  • Atomic Red Team
  • MITRE® CALDERA

没入型レッドチーム・キャプチャー・ザ・フラッグ

受講者は複数のドメインにまたがり、WindowsおよびLinuxインフラストラクチャに対して高度な攻撃チェーンを実行します。没入型環境では、実際のユーザーアクティビティパターン、豊富な情報収集の機会、そして高度なラテラルムーブメント技術を必要とするセグメント化されたネットワークの課題が提示されます。

取り上げられるトピック

  • エンタープライズ攻撃者エミュレーション
  • クロスドメイン攻撃戦略
  • 認証情報の盗難とエクスプロイト
  • 高度なC2インフラストラクチャ
  • 包括的な影響分析

ラボ

  • エンタープライズ向けレッドチームによるフルスペクトラムの取り組み
  • マルチドメイン攻撃のオーケストレーション
  • クロスプラットフォームのエクスプロイトチェーン
  • 高度なラテラルムーブメントの実行
  • データの識別と流出

概要

6セクションでは、Windows Active Directoryエンタープライズネットワークを模擬した脅威の典型例となる範囲で、レッドチームによる攻撃を実施します。受講者はそれぞれ、3つのドメインからなる独自の環境を持ちます。このストーリー主導型の環境は、受講者がコースを通して習得した多くのスキルを実践する機会を十分に提供します。この環境は、豊富なユーザーストーリー、ターゲットインテリジェンス、そしてユーザーアクティビティによって構成されています。Windowsサーバー、ワークステーション、データベースに加え、Active Directoryインフラストラクチャを標的とします。また、セグメント化されたネットワークを介したシステム操作を活用し、Linuxサーバーとデータベースも攻撃します。

トピックの詳細

  • 攻撃者エミュレーション
  • 偵察
  • 初期アクセス
  • 永続化と権限昇格
  • 認証情報へのアクセス
  • 発見
  • ラテラルムーブメント
  • 収集
  • コマンドアンドコントロール
  • 情報漏洩
  • 影響
  • 閉鎖

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。

ニュースレター登録
資料ダウンロード
お問い合わせ