ニュースレター登録
資料ダウンロード
お問い合わせ

SECURITY 530

Defensible Security Architecture and Engineering:
Implementing Zero Trust for the Hybrid Enterprise
※本イベントでの開催は中止となりました。
次回の開催をお待ちください。

Blue Team Operations

English
日程

2022年6月27日(月)~7月2日(土)

期間
6日間
講義時間

1日目:9:00-17:30
2日目~6日目:9:30-17:30

受講スタイル
Live Online
会場

オンライン

GIAC認定資格
GDSA
講師
Greg Scheidel|グレッグ シーデル
SANS認定インストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
36 Points
受講料

880,000円(税込み:968,000円)

申込締切日
2022年6月17日(金)
オプション
  • GIAC試験  115,000円(税込み 126,500円)
  • OnDemand  105,000円(税込み 115,500円)
  • NetWars Continuous  190,000円(税込み 209,000円)

※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。

※コース本体のお申し込み後から講義開始までの間に、GIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)をいただきます。

※講義開始後のGIAC試験のお申込みは、こちらのページ(英語)をご参照のうえ、GIACへ直接お申し込みください。

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

SEC530 PC設定詳細

重要!以下の説明をお読みになった上で、ご自身のノートPCをお持ちください。 受講に必要なPC環境についてご確認ください。

このコースに完全に参加するためには、正しく設定されたシステムが必要です。以降の説明を確認いただかないと、満足のいく授業が受けられない可能性が高いです。したがって、コースで指定されたすべての要件を満たすシステムで参加されることを強くお勧めします。

注意:M1プロセッサを使用したApple社のシステムは、必要な仮想化機能を実行できないため、このコースには一切使用できません。

このコースの受講生は、適切に設定されたシステムが必要になります。授業に参加する前に以下の説明をよく読み、それに従ってください。

ホストOSWindows 10macOS 10.15.x以降、またはLinuxの最新版で、後述のVMware仮想化製品をインストール・実行できるもの。最新のUSB3.0デバイスを利用するために、事前にホストOSをアップデートし、正しいドライバとパッチをインストールしておくことが必要です。Linux ホストを使用する場合は、適切なカーネルまたは FUSE モジュールを使用して exFAT パーティションにアクセスできる必要があります。また、クラスで VM を適切に機能させるためには、8GB 以上の RAM が必要です。64ビットのゲスト仮想マシンがPC上で動作するように、CPUとオペレーティングシステムが64ビットをサポートしていることが重要です。64ビット対応のハードウェアに加え、AMD-VIntel VT-x、または同等のものがBIOS/UEFIで有効になっている必要があります。VMware Workstation Pro 15.5.x, VMware Player 15.5.x または Fusion 11.5.x またはそれ以上のバージョンを授業前にダウンロードし、インストールしてください。VMware WorkstationまたはFusionのライセンスをお持ちでない方は、VMware社から30日間の無料体験版をダウンロードすることができます。VMware社のウェブサイトで試用版に登録すると、期間限定のシリアルナンバーが送られてきます。VirtualBoxHyper-Vなどの他の仮想化ソフトウェアは、互換性やトラブルシューティングの問題があるため、適切ではありません。Windows 10上のVMware Workstation ProおよびVMware Playerは、Windows 10Credential GuardおよびDevice Guardテクノロジーと互換性がありません。これらの機能がシステム上で有効になっている場合は、講義中はこれらの機能を無効にしてください。

 

ノートパソコンのハードウェア要件

  • CPU:64bit 2Ghz以上のプロセッサ(64bitシステムは必須です)
  • BIOS/UEFI:VT-x、AMD-Vまたはこれと同等のもの
  • RAM:8GB以上。8GB以上のメモリ(最低でも8GB以上が必要で、それ以上の実装メモリを推奨します)
  • NW:802.11(B/G/N/AC)無線LAN
  • USB:3.0を推奨
  • HDD/SSD:40GB以上の空きスペース
  • その他:OSの管理権限が活用できること(ファイアウォールの停止、設定変更ができること
  • その他:VMware Workstation Pro 15.5、Workstation Player 15.5 or Fusion 11.5以上
    (VMware WorkstationまたはFusionのライセンスコピーをお持ちでない場合は、VMwareから30日間の無料試用版をダウンロードできます。)
  • その他:Linux仮想環境は講義開始とともに配布されます

セキュリティ事故を未然に防ぐため、予めご自身の端末から機微情報は削除してからご参加ください。SANSNRIセキュアテクノロジーズ)はコース中に受講生の端末で発生したいかなる事故について責任を負いません。

コースのメディアがダウンロードで配信されるようになりました。授業で使用するメディアファイルは大容量で、4050GBのものもあります。ダウンロードが完了するまでに十分な時間を確保する必要があります。インターネット接続の速度次第でダウンロードに要する時間はは大きく異なり、様々な要因に左右されるため、教材のダウンロードにかかる時間を正確に見積もることはできません。リンクを取得したら、すぐにコースメディアのダウンロードを開始してください。コースメディアは授業初日にすぐに必要になります。授業が始まる前夜になるまでダウンロードを開始するのを待っていると、失敗する可能性が高まります。

SANS
では、PDF形式のテキストの提供を始めており、さらに、一部のクラスではPDFに加えて電子ワークブックを使用しています。電子ワークブックを使用しているクラスは急速に増えていくと思われます。このような新しい環境では、講師がプレゼンテーションを行っている間、あるいは演習に取り組んでいる間も授業の資料を確認できるようにしておくために、セカンドモニターやタブレット端末を利用すると効率が上がります。

SEC530 コース概要

注意:「アーキテクチャー」という用語は、世界のさまざまな組織や地域によって異なる解釈がなされています。本コースでは、戦略的および技術的なアプリケーションと使用例に重点を置き、さまざまなインフラストラクチャ・コンポーネントとサイバー防衛技術の微調整と実装を行います。このコースでは、戦略的なソリューションの配置と使用例のみに焦点を当てたいと考えている受講者の方々には適していません。

境界型ネットワークセキュリティのような従来のサイバー防御の方法は、常に敵対者をネットワークから排除する必要性を強調し、攻撃者を阻止する「要塞」を構築する一方で、正当なユーザーには安全なアクセスを許可してきました。しかし、現代のクライアントサイド攻撃は、旧来の境界型セキュリティモデルでは不十分であることを明らかにし、セロトラストのような新しいデータ中心型モデルの必要性がでてきています。

しかし、ゼロトラストは単なる新しいマーケティング用語なのか、よく知られた「最小特権」の考え方を単純に繰り返しただけなのか、それとも真に革新的な戦略なのかでしょうか。本当に達成は可能なのでしょうか。もし達成できないのであれば、全体的な防御可能なセキュリティアーキテクチャの一部として、「より少ない信頼」を徐々に実装することは可能なのでしょうか。どうすれば始められるのか、それを実現するために利用できるツールや技術にはどのようなものがあるのでしょうか。

SEC530 Defensible Security Architecture and Engineering: Implementing Zero Trust for the Hybrid Enterprise は、セキュリティに対する全体的かつ階層的なアプローチを確立し、維持することを支援するとともに、ゼロ・トラストの原則、柱、機能に基づく現実的な「レス・トラスト」実施に向けて設計されています。効果的なセキュリティには、検知、予防、対応の各機能のバランスを取ることが必要ですが、そのようなバランスには、ネットワーク上、エンドポイント上、クラウド環境内で直接制御を実施することが要求されます。あるソリューションの長所と短所を、戦略的に配置・導入し、そして継続的な調整によって、別のソリューションを補完する必要があります。

このコースでは、これらの問題に対処するため、インフラストラクチャとツールの配置に関する戦略的な概念を組み合わせると同時に、その技術的な応用にも焦点を当てます。攻撃を減らし、信頼性を実現するために、どのようなソリューションが利用可能で、どのように適用すればそれが成功するのかを議論し、確認します。最も重要なことは、様々なソリューションの長所と短所を評価し、防御可能なセキュリティアーキテクチャを実現するためにそれらをどのように重ね合わせるかを検討することです。

SEC530は、サイバーディフェンスにおいて豊富なキャリアを持つ著者の経験に基づき、一般的な攻撃の妨害、早期警戒検知、および対応のためのアーキテクトとエンジニアのための効果的な戦術とツールを教えることに焦点を当てた、実践的なクラスです。スイッチ、ルーター、次世代ファイアウォール、IDSIPSWAFSIEM、サンドボックス、暗号化、PKI、プロキシなど、現在のインフラ(および投資)を活用することに重点を置いています。受講者は、これらの技術を評価、再設定、検証する方法を学び、組織の予防、検知、対応能力を大幅に向上させ、可視性を高め、攻撃対象領域を縮小し、さらには革新的な方法で攻撃を予期することができます。このコースでは、最新のテクノロジーとその機能、長所、短所についても掘り下げます。このコースでは、ハイブリッド環境において、ゼロ・トラストへの道を歩みながら、強固なセキュリティ・インフラを一層ずつ構築していくための推奨事項や示唆を得ることができます。

これは監視コースではありませんが、継続的なセキュリティ監視とうまく連携し、セキュリティアーキテクチャが防御機能を支援するだけでなく、SOCで運用するイベント管理(SIEM)システムに投入可能な重要なログの出力も支援します。

連日実施する複数の実践的なラボにより、コースの重要なポイントが強調され、実践的なスキルを提供することで受講者は通常業務に戻った際、すぐにこの知識を活用することになるでしょう。

受講対象者

  • セキュリティアーキテクト
  • ネットワークエンジニア
  • ネットワークアーキテクト
  • セキュリティアナリスト
  • シニアセキュリティエンジニア
  • システム管理者
  • テクニカルセキュリティマネージャー
  • CNDアナリスト
  • セキュリティ監視スペシャリスト
  • サイバースレット調査官

※SEC530は、GIAC(GDSA)認定試験対象コースです。

GDSA ( GIAC Defensible Security Architecture )

GDSA認定資格は、予防、検知、対応のバランスをとるために、ネットワーク中心およびデータ中心の制御を効果的に組み合わせて設計、実装できることを証明します。

  • 防御可能なセキュリティアーキテクチャ:ネットワーク中心およびデータ中心のアプローチ
  • ネットワークセキュリティアーキテクチャ:TCP/IPスタック全体のアプリケーションのハードニング
  • ゼロ・トラストアーキテクチャ:プライベートクラウド、ハイブリッドクラウド、パブリッククラウドによるセキュアな環境構築

講義内容の一例

  • セキュリティアーキテクチャに不備がないか分析
  • データ、アプリケーション、資産、サービスを発見し、コンプライアンス状態を評価
  • 予防、検出、応答機能を強化する技術の導入
  • セキュリティソリューションの欠陥を確認し、そのチューニングと運用方法を理解
  • すべてを暗号化する戦略の影響についての理解
  • コースで学んだ原則を適用し、防御可能なセキュリティアーキテクチャを設計
  • あらゆる規模の組織における適切なセキュリティ監視の必要性を判断する
  • 既存技術の再構成により、セキュリティアーキテクチャへの既存投資を最大化
  • 重要なセキュリティコントロールの継続的な監視をサポートするために必要な機能の決定
  • セキュリティオペレーションセンターと継続的な監視プログラムをサポートするための適切なロギングと監視の設定
  • 現在の技術と投資を活用したゼロ・トラスト戦略の設計と実行

上記のリストは、学習する知識とスキルの概要を簡単に説明したものですが、このコースが提供する内容のほんの一部に過ぎません。
SEC530のトレーニングが終了し、あなたのスキルが強化され、磨かれたら、職場に戻り、このコースで学んだことをオフィスに戻ったその日から適用できるでしょう

コース開発者より

 組織のセキュリティ態勢の評価、インシデントへの対応、セキュリティ運用の強化を長年にわたって経験してきた私たちは、セキュリティを念頭に置いて設計されたアーキテクチャがない場合、現代の攻撃者を監視して防御しようとしても無駄であることを目の当たりにしてきました。同様に、大規模な侵害やビジネスの混乱に見舞われた組織では、侵入前に境界線の保護や防御の仕組みに重点を置いていたにもかかわらず、防御可能なセキュリティ・アーキテクチャが欠如していたということがよくあります。
 私たちは、このギャップに対処するためにこのコースを設計しました。ケーススタディ、優れたテクニック、インストラクターによるデモ、多数の実習(NetWarsをベースとしたDefend-the-Flagチャレンジを含む)で埋め尽くされた6日間で、受講生は本当に「防御可能」と呼べるネットワーク、インフラストラクチャ、アプリケーションを設計、構築、ハードニングさせる方法を学ぶことができます。
 プレイヤーである私たちは、理論だけでは十分ではないことを知っています。そのため、このコースでは、ネットワーク中心、データ中心、ゼロトラストのセキュリティアーキテクチャをベストプラクティスや標準にマッピングした実世界での実装に焦点を当てていますが、何がうまくいき、何がうまくいかないのかについての長年の経験にも基づいています。これにより、さまざまな組織や役割にとって、現実に即した適切な内容になっていることがお分かりいただけるでしょう。
- Justin Henderson and Ismael Valenzuela

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5
  • DAY6

Defensible Security Architecture and Engineering: A Journey Towards Zero Trust

このコースの最初のセクションでは、防御可能なシステムとネットワークを設計・構築するための原則について説明します。セキュリティアーキテクチャの基礎とゼロトラストへの道筋を紹介します。従来のセキュリティアーキテクチャと防御可能なセキュリティアーキテクチャ、セキュリティモデルと勝利へのテクニック、防御可能なセキュリティアーキテクチャのライフサイクルまたはDARIOMDiscover, Assess, Re-Design, Implement and Monitor)モデルについて学びます。

DAY1では、MITRE ATT&CKのようなモデルによる実践的な脅威のモデル化、物理セキュリティから始まり、VLANPVLANといった下位レイヤーのネットワークセキュリティ、そしてオンプレミスとクラウドのハイブリッド環境におけるNetFlowデータによるネットワーク活動のベースライン化によって正常が何かを理解することに重点を置いています。また、セクション1では、タイムベースセキュリティの原理と実世界での実装方法について紹介します。

DAY1では、従来のネットワークとセキュリティのアーキテクチャの概要と、それらに共通する弱点について説明します。防御的なセキュリティの考え方は、"一度構築したものは、正しく構築する "です。すべてのシステムは、運用機能を効果的に実行しなければならず、セキュリティはこの目標を補完することができます。セキュリティは、後付けするよりも、最初から組み込んでおく方がはるかに効率的です。このコンセプトを実現するために、この授業では、著者らが実際に導入して成功した「見出しから抜粋した」ヒントが数多く紹介されており、最新の攻撃を防止・検出するためにインフラの強化・監視を行うことができます。例えば、悪意のあるクライアントからクライアントへの攻撃を効果的に阻止するプライベートVLANの使用や、不正なデバイスを抑制する802.1XNACなどが挙げられます。また、重要なネットワークデバイスを強化するための具体的なCisco IOSシンタックスの例も紹介されています。

 

演習

  • MITRE ATT&CKによる実践的な脅威モデリング:SEC530の最初のハンズオンラボでは、MITRE ATT&CKを使った実践的な脅威モデリングを学習します。このフレームワークは週を通して使用されるため、防衛者はこのモデルを使用してセキュリティ対策に優先順位をつけ、有効性を高めることができます。このクラスでは、脆弱性にフォーカスするのではなく、脅威にフォーカスし、最も重要なリスクがどこにあるのかを特定することを学びます。

  • Egress AnalysisDNSトンネリングなどの一般的な手法で攻撃者がどのようにデータを流出させるかを理解し、検出の可能性を高めながら防御時間を長くするための防御の重ね方を中心に学びます。

  • レイヤ2攻撃の特定: ネットワークセキュリティは向上しましたが、現代の組織ではレイヤ2攻撃がまだ可能です。この演習では、レイヤ2攻撃の特定に重点を置いています。
  • フロー分析: このラボでは、さまざまな形式のフローデータを理解し、それらを適切に使用して許可されていないアクティビティや異常なアクティビティを特定する方法について説明します。

トピック

  • コース概要

    • セキュリティ・アーキテクチャとは?

    • 良いセキュリティアーキテクトの条件とは?

    • 1日目から6日目までのケーススタディで学ぶ(Tyrell Corpのケーススタディ)

    • ゼロ・トラストへの道のり

  • Defensible Security Architecture
    • 考え方
      • 侵害の推定
      • 境界の崩壊
      • Think Red, Act Blue
    • 従来のセキュリティアーキテクチャの欠点

      • 境界線/エクスプロイトの重視

      • 真の境界線の欠如(クラウド/モバイルによる "脱・境界線化"

      • モノのインターネット (Internet of Things)

      • コンプライアンス重視のセキュリティ

    • 勝てるセキュリティ戦略

      • リスク・ドリブンとビジネス・アウトカムに焦点を当てたアーキテクチャー

      • 実践的な脅威のモデル化 パープルチーミング

      • MITRE ATT&CKマトリクス

      • ブルーとレッドの非対称性を探す

      • セキュリティ運用を考慮したアーキテクチャー

    • セキュリティモデル

      • タイムベースセキュリティ

      • サイバーキルチェーン

      • TBS+キルチェーン+MITRE ATT&CK

      • 可視化と検出のためのアーキテクチャー

      • インシデントレスポンスのためのアーキテクチャー

      • ゼロ・トラスト・モデル

  • 脅威、脆弱性、データフロー分析
    • 防御可能なセキュリティアーキテクチャのライフサイクル(DARIOM モデル) 

    • 脅威ベクター分析
      • 侵入マッピング
    • 外部流出データの分析
      • 流出マッピング
    • ドミナントデザインの検知
    • アタックサーフェスの分析
    • 可視化分析
  • レイヤー1 - 物理セキュリティのベストプラクティス 

    • ネットワーククロゼット
    • ペネトレーションテスティングドロップボックス
    • USBキーボードアタック
  • レイヤー2 - ネットワークセキュリティのベストプラクティス 

    • VLAN
      • ハードニング
      • プライベートVLAN
    • レイヤー2 アタックと緩和策
  • NetFlow
    • レイヤー2、3 NetFlow
    • NetFlow、Sflow、Jflow、VPC Flow、Suricata、Endpoint Flow
    • CloudFlow

Network Security Architecture and Engineering

インフラストラクチャの強化について説明し、ルーティング機器、ファイアウォール、アプリケーションプロキシなどの概念に入っていきます。ルータのハードニングのために実用的な例を特定のCisco IOSコマンドとともに提供します。

Googleによると、IPv6は現在インターネットバックボーントラフィックの30%以上を占めていますが、同時にほとんどの組織で使用されず、無視されています。IPv6の背景を詳しく説明し、よくある間違い(IPv4の考え方をIPv6に適用するなど)について述べ、IPv6を保護するための実行可能な解決策を提供します。このセクションでは、ゼロ・トラストの重要なトピックである「セグメンテーション」について説明します。このセクションでは、ファイアウォールやネットワークのセグメンテーションだけでなく、アイデンティティやアクセスのセグメンテーションも対象とした原則と防御策について説明します。セクション 2 は、Web アプリケーションプロキシと SMTP プロキシに関する考察で締めくくられています。

演習

  • ルータセキュリティの監査: ルータのセキュリティ問題の特定と軽減に注力します。
  • ルータのSNMPセキュリティ: クラウドルータとやり取りし、SNMPに対する攻撃を実行して、ルータを理解し、最終的には脅威を排除します。
  • IPv6: IPv6としても知られる次世代インターネットプロトコルはしばしば無視され誤解されます。IPv4とIPv6の違いを理解します。
  • プロキシの効果: プロキシは、マルウェアやコマンドおよび制御チャネルに対処するための絶大な効果を持っています。プロキシを設定するさまざまな方法に基づいて家庭に電話をかけるマルウェアがどのように振舞うか説明します。

トピック

  • レイヤー3:攻撃と緩和策
    • IPソースルーティング
    • ICMP攻撃
    • 不許可なルーティング更新
    • ルーティングプロトコルのセキュア化
    • 不許可なトンネリング
  • スイッチとルーターのベストプラクティス

  • レイヤー2、3ベンチcマークと監査ツール
    • ベースライン
      • CISecurity
      • Ciscoのベストプラクティス
      • Cisco Autosecure
      • DISA STIG
      • Npper-ng
  • SNMPのセキュア化
    • SNMP Community String Guessing
    • SNMP経由でのCisco IOS設定のダウンロード
    • SNMPのハードニング
    • SNMPv3
  • NTPのセキュア化
    • NTP認証
    • NTP増幅攻撃
  • Bogonフィルタリング、Blackholes、Darknet
    • Bogonフィルタリング
    • Darknet通信の監視
    • IP Blackhole Packet Vacuum
  • IPv6
    • デュアルスタックとHappy Eyeballs
    • IPv6拡張ヘッダ
    • IPv6アドレスとアドレス割当て
  • IPv6のセキュア化
    • IPv6 ファイアウォールサポート
    • IPv6のスキャニング
    • Rumble Network DiscoveryによるIPv6資産インベントリー

    • IPv6トンネリング
    • IPv6 RA攻撃と緩和策
  • セグメンテーション

    • ネットワークとアクセスのセグメンテーション

    • セグメンテーションの原理

    • ファイアウォールアーキテクチャ

    • DMZの設計

    • レイヤー3/4ステートフルファイアウォール

    • ルータACL

    • LinuxBSDのファイアウォール

    • pfSense

    • ログインセグメンテーション

    • Azure特権管理(PIM)

  • アプリケーションプロキシ

    • Webプロキシ

      • ExplictTransparent

      • ICAP

      • フォワードとリバース

    • SMTPプロキシ

      • フィッシング対策と検知の仕組みの強化

      • ベイズ解析

      • SPFDKIMDMARC

      • Dnstwist

      • オープンソースインテリジェンスを組み合わせる

Network-Centric Application Security Architecture

組織は次世代のファイアウォールからWebプロキシやマルウェアサンドボックスに至るまで、多くのネットワークベースのセキュリティ技術を有するか、その技術へのアクセスが可能になっています。これらはオンプレミスで展開されることが多いですが、クラウドでも展開されています。 しかし、これらの技術の有効性は、それらの実装状況により影響を受けることになります。アプリケーション制御、ウイルス対策、侵入防止、データ損失防止、その他の自動的な不正検出や詳細なパケット検査エンジンなど、組み込み機能への依存度が高すぎると、防御と検出との間に大きなギャップが生じ、結果として防御に重点を置いた実装になります。

組織がすでに所有しているアプリケーション層のセキュリティソリューションを現代的な考え方で使用することに焦点を当てます。柔軟な考え方を持つ事で、スパム用アプライアンスのような比較的古いものでも類似ドメインを介したフィッシングや他のスプーフィング技術のような現代的な攻撃を検知することが可能になります。繰り返しになりますが、現代の攻撃に対する防御を設計することで、防御と検出の両方の能力が大幅に向上します。

演習

  • ネットワークセキュリティモニタリング: 侵入検知アラートとネットワークメタデータは、自分自身を知り、不正なアクティビティを特定するための総合的なアプローチを提供します。この演習では、NSMを使用してネットワーク上で動作するマルウェアの検出に重点を置いています。
  • NSMのアーキテクチャとエンジニアリング: 適切な可視性とアプリケーション/プロトコルの認識を実現するためにNSMテクノロジーの配置および実装方法について学習します。また、Zeekの高度な相関機能を活用し、C2やトンネルを検出します。
  • 暗号化に関する考慮事項: ネットワーク暗号化は攻撃者と防御者の両方からデータを保護します。この演習ではプロキシ、NSM、NGFW、およびその他のソリューションの監査のために、防御側がTLS接続を介して可視性を取り戻す方法に焦点を当てます。

トピック

  • NGFW
    • アプリケーションフィルタリング
    • 実装方法
    • スクリプティングとAPI

  • Network Security Monitoring NSM

    • アラート駆動型ワークフローとデータ駆動型ワークフローの比較

    • ネットワークの可視化のためのアーキテクチャー

    • ネットワークメタデータの威力

    • ネットワークを知る

    • SPANポートとTAPの比較

    • センサーの配置

    • ネットワークメタデータの威力

    • ネットワークトラフィック解析アーキテクチャ

    • Zeekの使用例

  • NIDS/NIPS
    • IDS/IPSルール作成
    • シグネチャー解析とアノマリー解析とプロトコル解析

    • Snort
    • Suricata
    • Zeek
  • サンドボックス
    • インラインのその先
    • エンドポイントでの実装
    • サンドボックスへの潜在的標本の投入
    • マルウェア発火装置
  • 暗号
    • 「全てを暗号化する」という考え方
      • 内部と外部
    • 無償SSL/TLS証明書プロバイダ
    • SSL/SSHインスペクション
    • SSL/SSH復号ダンプ
    • SSL復号ミラーリング
    • 証明書のピン留め(Pinning)
      • マルウェアピン
    • HSTSプリロード

    • Certificate Transparencyの監視

    • 暗号スイートサポート
      • Qualys SSL Labs
  • セキュアなリモートアクセス
    • 組織内へのアクセス
    • リモートアクセス向け二要素認証
      • Google Authenticator/TOTP: Open Authentication
    • SSH VPN
    • SSL/TLS VPN
    • Jump Box
    • Guacamoleを使ったHTML5でのリモートデスクトップ

    • 常時接続VPN

    • 圧縮とWAN最適化

    • VPNの現代的な代替手段:ZTNASDP

    • クリーンソースの原則とAD管理

    • アイデンティティ・アクセス管理

  • DDoS(Distriubuted Denial-of-Service)
    • Internet of Things (IoT)による影響
    • 攻撃の種類
    • 緩和策

Data-Centric Application Security Architecture

この講義は、Zero Trust Architectureの中心となる戦略、すなわちデータセントリック・セキュリティについての議論へと続いていきます。 組織は、自身がその存在を把握していないものを保護することはできません。悩ましいのは、重要で機密性の高いデータが至る所に存在することです。そしてこれをさらに複雑にしているのは、これらのデータがオンプレミスやクラウドでホストされた複数のフルアプリケーションスタックによって制御されているからに他なりません。

このセクションでは、重要なデータの保存場所と保護方法を特定することに重点を置いています。保護には、データガバナンスソリューションと、Webアプリケーションファイアウォールやデータベースアクティビティ監視などの完全なアプリケーションスタックセキュリティ対策の使用、およびオンプレミスのハイパーバイザ、クラウドコンピューティングプラットフォーム、Dockerなどのコンテナサービスなどのコアサービスをホストするシステムの保護に重点を置くことが含まれます。

Data-centric securityアプローチでは、組織の中核となるものに焦点を当て、その周りのセキュリティ管理の優先順位を設定します。コントロールを最適化し、重要なものを保護することに集中できる状態にあるにも関わらず、すべてのデータを保護するために多大な時間とコストを費やす理由は何ですか?現実社会では、いくつかのシステムは他のシステムよりもクリティカルで重要なのです。

トピック

  • アプリケーション(リバース)プロキシー
  • フルスタックセキュリティデザイン
    • Webサーバ
    • アプリケーションサーバ
    • DBサーバ
  • Webアプリケーションファイアウォール(WAF)
    • ホワイトリストとブラックリスト
    • WAFの回避
    • ノーマライゼーション
    • 動的コンテンツルーティング
  • データベースファイアウォール/データベースアクティビティ監視
    • データマスキング
    • 高度なアクセスコントロール
    • 外部流出監視
  • ファイルの分類
    • データディスカバリー
      • スクリプトとソフトウェアソリューション
      • データベース、ファイル、フォルダでの機微情報の探索
      • 高度なディスカバリーテクニック(光学文字認識による画像、スキャンファイルの光学文字認識)
    • 分類手法
    • 動的アクセスコントロール
  • Data Loss Prevention (DLP)
    • ネットワークベース
    • エンドポイントベース
    • クラウドアプリケーションの実装
  • データガバナンス
    • ポリシー実装と適用
    • アクセスコントロールとアプリケーション適用および暗号化
    • 監査と制限
  • モバイル機器管理(MDM)とモバイルアプリケーション管理(MAM)
    • セキュリティポリシー
    • 適用手法
    • エンドユーザへの影響
  • プライベートクラウドセキュリティ
    • オンプレミスハイパーバイザーのセキュア化(vSphere, Xen、Hyper-V)
    • ネットワークセグメンテーション(論理と物理)
    • VM Escape
    • Surface Reduction
    • 可視化の有効性
  • パブリッククラウドセキュリティ
    • 責任共有モデルの影響
    • クラウドの強みと弱み
    • データの残留とネットワーク可視化の不足
  • コンテナセキュリティ
    • オンプレミスまたはクラウド環境におけるコンテナの影響
    • セキュリティの懸念点
    • コンテナエスケープへの対処

ゼロトラストアーキテクチャー
(既に自ネットワークに侵入者がいることを想定した動き)

今日、一般的なセキュリティスローガンは「信頼するが検証もする」ですが、これはもはや時代遅れです。コンピュータはその場で信頼を計算できるので、組織は「信頼するが検証もする」という観点で考えるのではなく、「確認してから信頼する」を組織内に落し込む必要があります。そうすることで、アクセスがよりスムーズになると同時に適切なレベルで制限することができます。

トラスト(信頼)がもはや暗黙的ではなく証明されなければならないゼロトラストアーキテクチャの実装に焦点を当てます。これにより、可変信頼モデルを使用してアクセス・レベルを動的に変更できます。これにより、ユーザーとデバイスの信頼性が長期にわたって維持されている場合には、必要に応じてセキュリティ制御の強弱をつけて実装することが可能になります。

DAY5では、ゼロトラストの原則、モデル、および最新の米国政府の指令(DISANSANIST)を確認しながら、この新しい原理の実践に焦点を当てていきます。既存のインフラを利用したゼロトラストの実用化に焦点を当て、組織のセキュリティ体制に対する価値と影響を最大化します:クレデンシャルローテーション、Windowsネットワーク上のトラフィックの保護、ホストベースのファイアウォール、NAC、セグメンテーションゲートウェイ、SIEM、ログ収集、監査ポリシー、検出エンジニアリング、レッドヘリングディフェンス。

演習

  • ネットワークの隔離と相互認証: 攻撃者は見ることも対話することもできないものを攻撃することはできません。この演習では、認可されたアセットのみが接続できるようにSPAまたは相互TLSを実装する方法について説明します。
  • SIEM分析と戦術的検出: 適切なデータとそれらのデータを表示する効果的な機能がなければログ記録と検査は困難です。このラボでは、SIEMシステムを使用して10種類以上の方法で攻撃者を検出する方法を示します。検出機能は重要ですが、その背後にあるロジックも、企業全体で可変信頼条件付きアクセスを実装するために重要です。
  • SIGMA Generic Signatures:このラボでは、新しいコミュニティ主導のプロジェクトであるSIGMA Generic Signaturesルールの使用方法と実装方法を理解し、運用に適した様々な形式に変換します。受講生はこれらのシグネチャを使用して、既存の検出機能を強化し、MITRE ATT&CK Navigatorでカバー範囲を決定し、敵対者の活動を検索します。

  • 先進防衛戦略: 攻撃者がフェアであることがない以上防御者もそうすべきではありません。この演習では、受講者は攻撃を特定するためのシステム設定を施します。言ってみれば内部システムは正常動作し続ける反面攻撃ツールは機能しなくなるよう仕組みを学習します。また、特別な検知ハニートークンを実装することで、攻撃者が公開サイトを複製し、それを攻撃の武器としてあなたのスタッフや外部クライアントに対して使用することから守ります。

トピック

  • ゼロトラストアーキテクチャー
    • 境界防御が不適切なわけ
    • ゼロトラストアーキテクチャーとは何か
    • 「信頼するが検証もする」と「確認してから信頼する」の違い
    • 米国政府 - ゼロ・トラスト・セキュリティ・モデルの採用

    • DISA × 既存インフラの活用方法再考

    • DISA×ゼロ・トラストの柱と能力

    • ゼロ・トラストのシナリオ例 × 遠隔操作や内部脅威
    • ゼロ・トラスト × 長い時間をかけた道のり
    • 可変アクセスの実装
    • ロギングと検証
    • ネットワークエージェントをベースとしたアイデンティティ管理
  • 証明書のローテーション
    • 証明書
    • パスワードとローテーションの危険性
    • パスワード監査

    • LAPS

    • gMSA

  • 侵入を受けた内部資産
    • 攻撃者のピボッティング
    • 内部脅威
    • NAC

  • アダプティブトラストとセキュリティオーケストレーション

    • エレクトリックフェンス(自動デジタルレスポンス)

    • 検疫

    • デバイスコンプライアンス

  • ネットワークのセキュア化
    • 認証とエンドポイントトラフィックの暗号化
    • ドメイン隔離(不正利用者に対するエンドポイントの隠蔽)
    • 相互TLS
    • シングルパケット認証
    • 802.1x

    • クライアント証明書

    • PKI

  • セグメンテーションゲートウェイ

    • ネットワークエージェント

    • 認可の表面

    • マイクロセグメンテーション、マイクロコアとペリメータ(MCAP

    • ダイナミックオーソリゼーション

  • 堅牢化されたセキュリティセンサーによるエンドポイントの代用
    • エンドユーザ権限の低減
    • ホストベースIDS/IPS
      • Tripwire
    • エンドポイントファイアウォール
      • ピボット検知
  • エンドポイントログの収集、保管、分析量の測定
    • 関連するログの有効化
    • ログ分析の設計(ログ収集)
    • WindowsLinuxにおけるポリシーの監査

    • Sysmon

    • Auditd

  • MITRE ATT&CK コンテンツエンジニアリング

    • アノマリーとシグネチャ

    • SIGMA Generic Signatures

    • SIGMAのしくみ

    • シグネチャからアラートクエリへの変換

    • Sigma2Attack

    • アノマリーの特定とリアルタイムアラート

  • TripwireとRed Herring Defenses
    • ハニーネット、ハニーポット、ハニートークン
    • シングルアクセス検知テクニック
    • 攻撃ツールの挙動を変えるプロアクティブ防御
    • 強固な検知機能を施しつつ防御機能を向上させる

Hands-On Secure-the-Flagチャレンジ

このコースは、チーム・ベースの 「Design-and-Secure-the-Flag」 コンテストで締めくくります。NetWarsの力を借りて、6日目は、1週間を通して学習した原則を実践で試す1日となります。 皆さんのチームは、このコースを通じて推進される最新のサイバー防衛技術の習得を確実にするために設計された複数のレベルとミッションを通じて前進します。 チームは、講義で得たすべての知識、ツール、スキルを活用して、さまざまなコンピュータシステムやデバイスを評価、設計、保護し、攻撃からTyrellを守ります。

トピック

  • Capstone デザイン/検知/防御
    • Defensible Security Architecture
    • 提供されたアーキテクチャーの監査および弱点の特定
    • ツール/スクリプトを使用した初期状態の監査
    • クイック/フルモードでの差分

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。