FORENSICS 500

FOR500 PC設定詳細

重要：以下の手順に従って設定されたPCを各自用意してください。

このコースに参加するには、適切に設定されたPCが必要です。以下の指示を注意深く確認し、ご用意いただかないと、このコースに不可欠な実践的な演習に参加することができません。したがって、コースに指定されたすべての要件を満たすシステムをご用意ください。

授業の前にシステムをバックアップしてください。機密データや重要なデータがないシステムを使用してください。SANSは、あなたのシステムやデータに対して責任を負いません。

ノートパソコンのハードウェア要件

• CPU： 64ビット Intel i5/i7（第8世代以降）、またはAMD同等品。このクラスでは、x64ビット、2.0GHz以上のプロセッサーが必須です。
• 重要： M1/M2プロセッサーを使用したApple社製システムは、必要な仮想化機能を実行できないため、このコースには一切使用できません。Intel-VTx」または「AMD-V」拡張機能など、仮想化技術を有効にするためのBIOS設定を行う必要があります。
• BIOSがパスワードで保護されている場合は、変更が必要な場合に備えて、BIOSにアクセスできることを絶対に確認してください。
• 16GB以上のRAMが必要です。
• 300GB以上のストレージの空き容量が必要です。
• USB 3.0 Type-Aポートが1つ以上必要です。新しいノートパソコンでは、Type-C to Type-Aアダプターが必要な場合があります。エンドポイントプロテクションソフトウェアによっては、USBデバイスの使用ができないものもありますので、授業前にUSBドライブでシステムをテストしてください。
• ワイヤレスネットワーク（802.11規格）が必要です。教室内には有線インターネット接続はありません。

オプションFOR500システムのハードウェア要件

本コースの1つの追加演習を行うためには、USBリムーバブルストレージデバイスが必要です。USB メディアのストレージサイズは、受講生のPCの RAM サイズよりも大きい必要があります。

FOR500のホスト構成とソフトウェアの必須要件

• ホストOSは、Windows 10、Windows 11、またはmacOS 10.15.x以降の最新版である必要があります。
• 授業前にホストOSを完全にアップデートし、正しいドライバーとパッチがインストールされていることを確認してください。
• Linuxホストは、多くのバリエーションがあるため、教室ではサポートされていません。Linuxをホストとして使用する場合、教材やVMと連動するように設定することは、各自の責任で行ってください。
• ローカルアドミニストレーターアクセスが必要です。(はい、これは絶対に必要です。IT チームにそうでないと言われないようにしてください)。もし、あなたの会社がコース期間中、このアクセスを許可しない場合は、別のノートパソコンを持参するよう手配する必要があります。
• ウイルス対策ソフトやエンドポイント保護ソフトが無効になっているか、完全に削除されているか、またはそのための管理者権限を持っていることを確認してください。当社のコースの多くは、オペレーティングシステムへの完全な管理者権限を必要とし、これらの製品はラボの達成を妨げる可能性があります。
• 退出トラフィックのフィルタリングは、コースのラボを達成するのを妨げる可能性があります。ファイアウォールは無効にするか、無効にするための管理者権限を持っている必要があります。
• Microsoft Office（バージョン問わず）またはOpenOfficeがホストにインストールされていること。なお、Officeの試用版ソフトはオンラインでダウンロードできます（30日間無料）。
• VMware Workstation Pro 16.2.X+ または VMware Player 16.2.X+（Windows 10ホスト用）、VMware Workstation Pro 17.0.0+ または VMware Player 17.0.0+（Windows 11ホスト用）、VMWare Fusion Pro 12.2+ または VMware Fusion Player 11.5+ （macOSホスト用） をクラス開始前にダウンロードおよびインストール。VMware Workstation ProまたはVMware Fusion Proのライセンスをお持ちでない方は、VMwareから30日間の無料体験版をダウンロードすることができます。VMware社のウェブサイトからトライアルに登録すると、期間限定のシリアルナンバーが送られてきます。また、VMware Workstation Playerは、VMware Workstation Proよりも機能が少ないことに注意してください。Windowsのホストシステムを使用している場合は、よりシームレスな学生体験のために、Workstation Proをお勧めします。
• Windowsホストでは、VMware製品はHyper-Vハイパーバイザーと共存できない場合があります。最良の体験を得るためには、VMwareが仮想マシンを起動できることを確認してください。そのためには、Hyper-Vを無効にする必要がある場合があります。Hyper-V、Device Guard、およびCredential Guardを無効にする方法は、コース教材に付属のセットアップ文書に記載されています。
• 7-Zip（Windowsホスト用）またはKeka（macOSホスト用）をダウンロードし、インストールします。これらのツールは、ダウンロードしたコース教材にも含まれています。

コースのメディアはダウンロードで提供されます。授業で使用するメディアファイルは容量が大きい場合があります。40～50GBのものが多く、中には100GBを超えるものもあります。ダウンロードが完了するまでに、十分な時間を確保する必要があります。インターネット接続と速度は大きく異なり、さまざまな要因に左右されます。そのため、教材のダウンロードにかかる時間の目安をお伝えすることはできません。コースメディを開始してください

ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp（NRIセキュアテクノロジーズ）にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください（英文）。

守るものについて知らなければ、何も守ることはできない
　（You can't protect what you don't know about）

Windowsフォレンジックをマスターする時がきました。

今日すべての組織において、襲いかかるサイバー犯罪への準備をする必要があります。詐欺、インサイダー、産業スパイ、内部不正、不正侵入に立ち向かうアナリストの必要性は今までは高くありませんでした。しかし近年、官公庁は、メディアエクスプロイテーションスペシャリスト（Windowsシステムから重要なインテリジェンスを復元・抽出できる人物）の養成を強く要望するようになりました。SANSはこの要望に応えるため、システムで何が起こったのかを秒単位で把握することができるように、これからもっとも優れたフォレンジックプロフェッショナル、インシデントレスポンダ―、メディアエクスプロイテーションマスターになる新しい幹部たちに対して世界中でトレーニングを実施しています。

FOR500: Windows Forensic Analysisは、Windows OSに対するより深いフォレンジックスキル構築に焦点をあてたコースです。「守るものについて知らなければ、何も守ることはできない」という考え方があります。フォレンジックで出来ることやアーティファクトについて理解することは、今やサイバーセキュリティの必須事項といえるでしょう。このコースで、Windowsシステムでのデータ復旧、分析、検証方法を学んでいきましょう。ネットワーク上のユーザーの行動を詳細に追跡する方法を学習し、インシデントレスポンス、内部不正調査、民事/刑事訴訟において、どう見つかった証拠を整理していけばよいか理解しましょう。あなたがこのコースで身に付ける新しいスキルを存分に活用し、セキュリティツールの検証、脆弱性検査の強化、インサイダーの摘発、ハッカーの追跡、セキュリティポリシーの向上に役立てましょう。Windowsは知らず知らずのうちに、想像を絶するほどの大量なデータを溜め込んでいます。FOR500は、この大量な鉱山ともいえるデータから証拠を発掘する方法を教えます。

正確な分析方法を学ぶには、受講生たちに実際のデータを調べて貰う必要があるでしょう。この継続的に更新されるコースは、Microsoft Windowsバージョン10と11、OfficeとMicrosoft 365、Google Workspace（G Suite）、クラウドストレージプロバイダ、Microsoft Teams、SharePoint、Exchange、Outlookなどの最新テクノロジーで見つかった証拠を取り入れた一連の実習を通してデジタルフォレンジック分析者を養成します。これによりトレーニングを終えた受講生たちは、コースで使用した最新のツール・手法を用いて、直面するであろう複雑なシステムであっても立ち向かうことができます。このコースでは、レガシーシステムであるWindows 7から最新のWindows 11アーティファクトの分析まで余すところなく学べます。

FOR500: Windows Forensic Analysisでは、次のことを教えます。

• Windows OSに関するより深いフォレンジック手法、メディアエクスプロイテーション（Windows 7、Windows 8/8.1、Windows10、Windows 11、Windows Server 製品）
• アプリケーションがいつ実行したか、ファイルにいつアクセスしたか、データが盗まれたのか、外部記憶媒体は使用されたのか、クラウドサービスが使用されたのか、物理的な地理はどこか、ファイルがダウンロードされたのはいつか、アンチフォレンジックの痕跡はあるか、その他システムの使用に関する詳細な履歴、といった重要な質問に答えるために必要なアーティファクト・証拠の場所や分析方法
• 特定ツールの利用方法を教えるのではなく、フォレンジック分析能力向上に焦点をあてる
• さまざまなフリーツール、オープンソースツール、商用ツールをSANS Windows SIFT Workstation上で利用して、フォレンジック機能を内製化し重要な問いの答えを導き出す方法

本コースは、最新の知的財産犯事例や産業スパイ事例を加味し、半年以上の歳月を掛けて作られました。現実世界に適合させるため、トレーニングで使用するデータは現実に近いものを含むべきだと考えました。私たちコース開発チームは、自身の経験とノウハウを存分に活かし、信じられないほど豊富かつ詳細なシナリオを作成しました。受講生たちは本当のフォレンジック調査をしているかのごとく集中できるでしょう。講義中のデモでは、実際の調査で遭遇する可能性の高い最新の技術を取り入れています。また配布するワークブックテキストでは利用すべきツールやそのテクニックが記載されています。提供されるツールはコース終了後も利用可能です。

本コースは分析に特化したコースであり、FOR500 は証拠品の取り扱い、"Chain of Custody" やドライブの入手方法などの基本的な内容は含まれていないことに注意してください。本コースの著者は、発見された最新のアーティファクトや技術に対応するために、FOR500を積極的に更新しています。このコースは、Microsoft Windowsオペレーティングシステムのフォレンジックと分析に興味のある方に最適です。過去3年以上、Windowsフォレンジック分析のスキルを更新していない方は、このコースが必要不可欠です。

本講座受講にあたっての前提

このコースを受講するための前提条件となるコースはありません。このコースで学ぶ成果物やツールにとらわれない技術は、Windowsオペレーティングシステムに関わるあらゆるサイバー事件や犯罪の分析を成功に導きます。

• サイバーセキュリティプロフェッショナル。Windowsフォレンジック調査について詳細に内容を理解したい方
• インシデントレスポンスチームメンバー。Windowsに対するデータ侵害や侵入といったインシデントに立ち向かうため、より深いフォレンジックスキルを必要としている方
• 法執行機関職員、政府職員、調査員。Windowsフォレンジックに関して精通する必要性が出てきた方

• メディアエクスプロイテーションアナリスト。タクティカルエクスプロイテーションとドキュメント&メディアエクスプロイテーション（DOMEX）を習得する必要がある方。

• Windowsフォレンジックに関して理解を深めたい方。前提知識として、情報システム、サイバーセキュリティ、コンピューターに関して知識・スキルが必要です。

GIAC Certified Forensic Examiner(GCFE)は、Windowsコンピュータ・システムからデータを収集・分析するために必要なコア・スキルを中心とした、コンピュータ・フォレンジック分析に関する実務者の知識を検証する資格です。GCFE認定資格者は、e-Discovery、フォレンジック分析とレポート作成、証拠収集、ブラウザフォレンジック、Windowsシステム上でのユーザーやアプリケーションの活動の追跡など、典型的なインシデント調査を行うための知識、スキル、能力を有しています。

Windowsフォレンジックとデータトリアージ

Windowsレジストリフォレンジック、USBデバイス、シェルアイテム、電子メールフォレンジックとログ分析

高度なWebブラウザフォレンジック（Chrome、Edge、Firefox、Internet Explorer)

• Windows 7、Windows 8/8.1、Windows 10、Windows 11、Windows Server製品に焦点を当て、査読済みのテクニックを適用して詳細なWindowsフォレンジック分析を実行する。
• 最先端のフォレンジックツールと分析方法を使用して、容疑者がWindowsシステム上で行ったほぼすべてのアクション（誰がどのようにアーティファクトをシステムに置いたか、プログラムの実行、ファイル/フォルダのオープン、ジオロケーション、ブラウザ履歴、プロファイルUSBデバイス使用、クラウドストレージ使用、その他）を詳細に解析します。
• 迅速なフォレンジックにより、システムを迅速に評価し、トリアージすることで、迅速な回答を提供し、情報に基づいたビジネス上の意思決定を促進することができます。
• レジストリやWindowsアーティファクトの解析により、特定のユーザーが最後にプログラムを実行した正確な時間を特定し、この情報が知的財産の盗難、ハッカーが侵入したシステム、従来の犯罪などのケースで意図を証明するためにどのように使用されるかを理解する。
• ブラウザフォレンジック、ショートカットファイル解析（LNK）、電子メール解析、Windowsレジストリ解析を通じて、容疑者がファイルを開いた回数を特定する。
• クラウドストレージの利用状況を監査し、詳細なユーザーアクティビティ、削除されたファイルの特定、データ流出の兆候、さらにはクラウドでのみ利用可能なファイルの詳細情報を明らかにする。
• Windowsシステムで特定のユーザーが検索した項目を特定し、容疑者が見つけようとしたデータや情報をピンポイントで特定し、詳細な損害評価を行う。
• Windows Shell Bag分析ツールを使用して、ユーザーまたは攻撃者がローカル、リムーバブル、およびネットワークドライブにアクセスする際に操作したすべてのフォルダとディレクトリを明確にします。
• レジストリハイブやイベントログファイルなどのWindowsアーティファクトを解析することで、Windowsシステムに接続されたUSBデバイス、アクセスされたファイルやフォルダ、接続したユーザーを特定します。
• イベントログ解析のテクニックを学び、リモートセッション、キーボード操作、スクリーンセーバーのロック解除など、ユーザーがいつ、どのようにWindowsシステムにログインしたかを特定する。
• Windows Search Databaseを使用して、ローカルドライブ、リムーバブルメディア、Microsoft Outlook、OneNote、SharePoint、OneDriveなどのアプリケーションから、ファイルのメタデータやファイルコンテンツまで、膨大なコレクションを発見します。
• レジストリデータを使用して犯罪が行われた場所を特定し、接続されたネットワークと無線アクセスポイントを調査してシステムの地理的位置を特定する。
• ブラウザフォレンジックツールを使用して、詳細なウェブブラウザ分析を行い、生のSQLiteおよびESEデータベースを解析し、プライバシークリーナーやインプライベートブラウジングソフトウェアが使用されていても、セッション回復アーチファクトを活用してウェブ活動を特定します。
• Electronアプリケーションデータベースを解析し、ほとんどのチャットクライアントを含む数百のサードパーティアプリケーションを調査することができます。
• 個人のシステム利用状況、通信相手、ダウンロード、変更、削除されたファイルなどを具体的に把握することができます。