NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Defensible Security Architecture and Engineering
※2021年7月のイベントでの本コースは開催中止となりました。
次回の開催をお待ちください。
Blue Team Operations
English次回の開催をお待ちください。
9:00~17:00
オンライン
840,000円(税込 924,000円)
※上記試験費用は講義と同時お申し込み時のみ有効です。講義申込み完了後から講義開始までの間に追加でお申し込みいただく際には別途、事務手数料(10,000円(税込 11,000円))が発生します。また講義開始後のお申し込みについてはこちらのページ(英語)を参照のうえ、SANS/GIACへ直接お申込みください。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
SANSトレーニングを有意義に受講していただくには、以下の要件を満たすノートPCが必須です。下記要件を確認し、事前に必要な設定を完了しておいてください。セッション中には、下記の設定を実施する時間は設けられていません。必ず事前の確認・設定をお願いいたします。
注意:実習のためのツール類をインストールすることによって、一部のシステムの動作に支障をきたす可能性があります。また、ネットワークへの接続を伴う実習内容があり、故意過失を問わず、自分のノートコンピュータのデータに他の受講生からアクセスされる可能性もあります。いずれの場合もSANSではデータの破損や読み書きに関して責任をとることはできませんので、重要なデータが格納されているノートPCでの実習はお控えください。
その他:Windows使用の場合は、Windows Credential Guardを無効化できること
注意:「アーキテクチャー」という用語は、世界のさまざまな組織や地域によって異なる解釈がなされています。本コースでは、戦略的および技術的なアプリケーションと使用例に重点を置き、さまざまなインフラストラクチャ・コンポーネントとサイバー防衛技術の微調整と実装を行います。このコースでは、戦略的なソリューションの配置と使用例のみに焦点を当てたいと考えている受講者の方々には適していません。
SEC530:Defensible Security Architecture and Engineeringは、セキュリティに対する総合的で階層化されたアプローチの確立と維持を支援するように設計されています。効果的なセキュリティには、検出、防御、および対応能力におけるバランスが必要ですが、このようなバランスでは、制御をネットワーク上、エンドポイント上、およびクラウド環境内に直接実装する必要があります。1つのソリューションの長所と短所は、戦略的な配置、実装、および微調整によって別のソリューションを補完します。
これらの問題に対処するため、このコースではインフラストラクチャとツールの配置に関する戦略的な概念を組み合わせ、その技術的な用途についても学習します。使用可能なソリューションとその適用方法について説明し、特定します。最も重要な点は、さまざまなソリューションの長所と短所を評価し、多層防御を実現するためにそれらをどのように階層化して配置すればよいかを検討します。
変化する脅威の展望には多くのデバイスの転用だけでなく、考え方を変えることも必要です。これによりファイアウォールなどの従来の境界デバイスはどこに残るのでしょうか。「すべてを暗号化する」といった考え方をすることはネットワーク侵入検知システムなどの機器にとってどんな影響があるのでしょうか。
このコースでは、最新のDefensible Security Architectureの基礎と、その設計方法について学習します。スイッチ、ルータ、ファイアウォールなど、現在のインフラストラクチャ(および投資)の活用に重点が置かれます。受講生は、今日の動的な脅威に直面している組織の予防能力を大幅に向上させるために、これらのデバイスを再構成する方法を習得します。また最新のテクノロジーとその機能、長所、および短所についても詳しく説明します。堅牢なセキュリティインフラストラクチャの構築に役立つ推奨事項とアドバイスを受けることになります。
これは監視コースではありませんが、継続的なセキュリティ監視とうまく連携し、セキュリティアーキテクチャが防御機能を支援するだけでなく、SOCで運用するイベント管理(SIEM)システムに投入可能な重要なログの出力も支援します。
連日実施する複数の実践的なラボにより、コースの重要なポイントが強調され、実践的なスキルを提供することで受講者は通常業務に戻った際、すぐにこの知識を活用することになるでしょう。
SEC530のWorkbookは、実践的な手法を学習し、適用するための手順を追ったガイドを提供していますが、ガイドに頼らずどこまで達成できるかを確認したいと考える方のために、「挑戦する」アプローチも提供しています。これにより、異なる業務経験を持つ受講者がご自身が取組みたい難易度を選ぶことができるため、無理なく学習を進めていくことが可能です。
優れた学習環境を実現するために、初日から5日目まではSEC530用にカスタマイズされたNetWarsエクスペリエンスが含まれています。このゲームエンジンは、スキルを強化し、コンセプトを学習するための、やりがいのあるFUNを提供します。
組織のセキュリティ態勢の評価、インシデントへの対応、セキュリティ運用の強化を長年にわたって経験してきた私たちは、セキュリティを念頭に置いて設計されたアーキテクチャがない場合、現代の攻撃者を監視して防御しようとしても無駄であることを目の当たりにしてきました。同様に、大規模な侵害やビジネスの混乱に見舞われた組織では、侵入前に境界線の保護や防御の仕組みに重点を置いていたにもかかわらず、防御可能なセキュリティ・アーキテクチャが欠如していたということがよくあります。
私たちは、このギャップに対処するためにこのコースを設計しました。ケーススタディ、優れたテクニック、インストラクターによるデモ、多数の実習(NetWarsをベースとしたDefend-the-Flagチャレンジを含む)で埋め尽くされた6日間で、受講生は本当に「防御可能」と呼べるネットワーク、インフラストラクチャ、アプリケーションを設計、構築、ハードニングさせる方法を学ぶことができます。
プレイヤーである私たちは、理論だけでは十分ではないことを知っています。そのため、このコースでは、ネットワーク中心、データ中心、ゼロトラストのセキュリティアーキテクチャをベストプラクティスや標準にマッピングした実世界での実装に焦点を当てていますが、何がうまくいき、何がうまくいかないのかについての長年の経験にも基づいています。これにより、さまざまな組織や役割にとって、現実に即した適切な内容になっていることがお分かりいただけるでしょう。
- Justin Henderson and Ismael Valenzuela
このコースの最初のセクションでは、システムとネットワークのハードニングを行うため、ネットワーク・アーキテクチャとレイヤーの全体像から説明を始めます。Richard Bejtlich氏のThe Tao of Network Security Monitoringから引用すると、防御可能なネットワークは「挫折するのではなく、デジタルの自己防衛を奨励する。」ということになります。
このセクションでは、まず従来のネットワークおよびセキュリティアーキテクチャの概要と、それらに共通する弱点について説明します。Defensible securityの考え方は、「正しいものを最初に作れ」です。すべてのネットワークは運用機能を効果的に実行する必要があり、セキュリティはこの目標を補完します。後からセキュリティを改良して組み込むよりも、最初から組み込む方がはるかに効率的なのです。
次に、ネットワークの下位レイヤーの概念について説明します。この中にはインフラストラクチャの強化を目的としてインストラクターが様々な事例を紹介しながら現代の攻撃をどう検知し防御するかを説明していきます。例えば、悪意のあるクライアント間のピボットを効果的に無効にするPVLANや、不正なデバイスを緩和する802.1 XおよびNACを使用します。スイッチを強化するために、特定のCisco IOS構文例も提供されています
インフラストラクチャの強化について説明し、ルーティング機器、ファイアウォール、アプリケーションプロキシなどの概念に入っていきます。ルータのハードニングのために実用的な例を特定のCisco IOSコマンドとともに提供します。
次にインターネットトラフィックの約23%を占めるIPv6(Google調べ)について説明していきます。色々と誤解されているIPv6について正しい知識を持ち、プロトコルを安全に保つための実用的な解決策を取り入れていきます。ファイアーフォールやアプリケーションプロキシについても述べていきます。
組織は次世代のファイアウォールからWebプロキシやマルウェアサンドボックスに至るまで、多くのネットワークベースのセキュリティ技術を有するか、その技術へのアクセスが可能になっています。しかし、これらの技術の有効性は、それらの実装状況により影響を受けることになります。アプリケーション制御、ウイルス対策、侵入防止、データ損失防止、その他の自動的な不正検出や詳細なパケット検査エンジンなど、組み込み機能への依存度が高すぎると、防御と検出との間に大きなギャップが生じ、結果として防御に重点を置いた実装になります。
組織がすでに所有しているアプリケーション層のセキュリティソリューションを現代的な考え方で使用することに焦点を当てます。柔軟な考え方を持つ事で、スパム用アプライアンスのような比較的古いものでも類似ドメインを介したフィッシングや他のスプーフィング技術のような現代的な攻撃を検知することが可能になります。繰り返しになりますが、現代の攻撃に対する防御を設計することで、防御と検出の両方の能力が大幅に向上します。
組織は、自身がその存在を把握していないものを保護することはできません。悩ましいのは、重要で機密性の高いデータが至る所に存在することです。そしてこれをさらに複雑にしているのは、これらのデータがオンプレミスやクラウドでホストされた複数のフルアプリケーションスタックによって制御されているからに他なりません。
このセクションでは、重要なデータの保存場所と保護方法を特定することに重点を置いています。保護には、データガバナンスソリューションと、Webアプリケーションファイアウォールやデータベースアクティビティ監視などの完全なアプリケーションスタックセキュリティ対策の使用、およびオンプレミスのハイパーバイザ、クラウドコンピューティングプラットフォーム、Dockerなどのコンテナサービスなどのコアサービスをホストするシステムの保護に重点を置くことが含まれます。
Data-centric securityアプローチでは、組織の中核となるものに焦点を当て、その周りのセキュリティ管理の優先順位を設定します。コントロールを最適化し、重要なものを保護することに集中できる状態にあるにも関わらず、すべてのデータを保護するために多大な時間とコストを費やす理由は何ですか?現実社会では、いくつかのシステムは他のシステムよりもクリティカルで重要なのです。
Webアプリケーションの保護: Webアプリケーションファイアウォールが提供する防御、検出機能を確認するとともにどこで防御が回避されるかを学習します。そのうえで、それらの回避テクニックを検出しブロックする変更を適用します。
機密データの検出: 機密データの格納場所の特定は困難ですが必要なことです。データの在り処が分からなければそれらを守ることもできません。この演習では、ファイル・システムをクロールして機密データを検索するためのPowerShellスクリプトを作成する手順について学習します。
安全な仮想化: 攻撃者がハイパーバイザまたはコンテナシステムへのホストアクセスを取得することの意味を理解します。また、実行可能なさまざまなハードニング手順やインシデント対応手順についても理解します。
今日、一般的なセキュリティスローガンは「信頼するが検証もする」ですが、これはもはや時代遅れです。コンピュータはその場で信頼を計算できるので、組織は「信頼するが検証もする」という観点で考えるのではなく、「確認してから信頼する」を組織内に落し込む必要があります。そうすることで、アクセスがよりスムーズになると同時に適切なレベルで制限することができます。
トラスト(信頼)がもはや暗黙的ではなく証明されなければならないゼロトラストアーキテクチャの実装に焦点を当てます。これにより、可変信頼モデルを使用してアクセス・レベルを動的に変更できます。これにより、ユーザーとデバイスの信頼性が長期にわたって維持されている場合には、必要に応じてセキュリティ制御の強弱をつけて実装することが可能になります。ここでは、既存のセキュリティ・テクノロジーを使用してゼロトラストアーキテクチャを実装し、組織のセキュリティ体制に対する価値とインパクトを最大化することに重点を置いています。
このセクションでは、外部ネットワークか内部ネットワークかにかかわらず、暗号化と認証を使用して強化されたネットワークを作成します。また、高度な防御技術が実装されることで、許可された資産やサービスはその機能を完全に維持しつつ最新のツールからの攻撃を阻止します。
このコースは、チーム・ベースの 「Design-and-Secure-the-Flag」 コンテストで締めくくります。NetWarsの力を借りて、6日目は、1週間を通して学習した原則を実践で試す1日となります。 皆さんのチームは、このコースを通じて推進される最新のサイバー防衛技術の習得を確実にするために設計された複数のレベルとミッションを通じて前進します。チームは、OSIモデルの7つのレイヤーすべてを活用して、さまざまなコンピュータシステムとデバイスを評価、設計、およびセキュリティ保護します。