SECURITY 540

重要事項

注意：M1プロセッサを使用するAppleシステムは、必要な仮想化を行うことができないため、本コースのVMを使用することはできません。ただし、M1 Macをお持ちの場合は、クラウドベースのVMを提供することができます。

本コースでは、一部のハンズオンでAWSの有償機能を利用します。
トレーニング中に有償機能の有効化・支払いが必要となりますため、クレジットカードをお持ちください。
受講費用とは別に費用が発生します。詳しくは以下をご参照ください。

1）必須のクラウドアカウント

コースのラボを完了するために、受講生は自分のAWSまたはAzureのアカウントが必要になります。

SEC540コースのラボには、AWS版とAzure版の両方が用意されています。受講生は授業の最初に、コース期間中に使用するクラウドプロバイダを1つ選択する必要があります。最初のラボセットを終了した後は、各自で両方のクラウドプロバイダのラボを行うことができます。

AWSのラボを選択した受講生は、Amazon Web Services（AWS）アカウントが必要です。5日間のライブイベントでAWSラボ環境を実行するためのAWSコストの見積もりは、1週間あたり約20ドルです。

Azureラボを選択した場合、Microsoft Azureアカウントと有償サブスクリプションが必要です。Azureラボ環境を実行するための推定コストは、1週間あたり約100ドルです。新規のAzureサブスクリプションの場合、コストを相殺するために30日間200ドルのクレジットを利用することができます。

• 受講者は、教材で提供される期間限定（ライブ授業期間中）のSANS Managed AWSアカウントを使用することが必要です。
• AzureラボまたはオプションのAzureボーナスチャレンジを選択した受講生は、授業開始前にAzureアカウントを作成する必要があります。
  • 授業開始前に新規Azureアカウントと有料サブスクリプションを https://azure.microsoft.com で登録してください。

2）ノートパソコンの必須要件

受講生は、以下の指示に従って設定したシステムを持参する必要があります。

このコースに完全に参加するためには、正しく設定されたシステムが必要です。このページをよく読み、それに従わない場合は、このコースに不可欠な実習に参加できないため、満足のいく授業が受けられない可能性が高くなります。したがって、このコースで指定されているすべての要件を満たすシステムで出席することを強くお勧めします。

受講者は、VM を実行しているネットワークを完全に制御できる必要があります。VMはいくつかの外部サービス（AWS、Docker Hub、Terraform、Azureなど）とHTTPS、SSH、その他の非標準ポートで通信を行います。VPN、インターセプトプロキシ、またはイグレスファイアウォールフィルタを備えたホスト上でコースの仮想マシンを実行すると、これらのサービスとの通信に接続の問題が発生する可能性があります。受講生は、ラボ環境が適切に機能するように、これらのサービスを設定または無効にすることができなければなりません。

以下の手順で設定したご自身のパソコンをお持ちください。

• このコースに参加する各生徒には、適切に設定されたシステムが必要です。コースを開始する前に、以下の説明書をよく読み、正確に守ってください。
• ホストのオペレーティングシステム。ホストOS：Windows 10、macOS 10.15.x以降、またはLinuxの最新バージョンで、後述のVMware仮想化製品をインストールし、実行することができるもの。
• 受講前にホストOSを完全にアップデートし、最新の0デバイスを利用するための正しいドライバとパッチがインストールされていることを確認してください。
• Linuxホストを使用する方は、適切なカーネルまたはFUSEモジュールを使用してexFATパーティションにアクセスできるようにする必要があります。
• 7-Zip (Windows ホスト用) または Keka (macOS) をダウンロードし、インストールしてください。これらの抽出ツールがないと、授業で提供する大きなアーカイブを抽出することができません。
• VMware Workstation Pro 15.5.x, VMware Player 15.5.x, または Fusion 11.5.x またはそれ以上のバージョンを授業前にダウンロードし、インストールしておいてください。
• VMware WorkstationまたはFusionのライセンスをお持ちでない方は、VMware社から30日間の無料体験版をダウンロードすることができます。VMware社のウェブサイトで試用版に登録すると、期間限定のシリアルナンバーが送付されます。
• VirtualBoxやHyper-Vなどの他の仮想化ソフトウェアは、互換性や授業中においてのトラブルシューティングの問題があるため、適切ではありません。
• Windows 10上のVMware Workstation ProおよびVMware Playerは、Windows 10のCredential GuardおよびDevice Guardテクノロジーと互換性がありません。これらの機能がシステム上で有効になっている場合は、講義中はこれらの機能を無効にしてください。

ホストに必要なハードウェアの必須条件

• CPU 64-bit 2.5+ GHz マルチコアプロセッサーまたはそれ以上
• BIOS/UEFI。VT-x、AMD-V、または同等のものがBIOS/UEFIで有効になっている必要があります。
• ハードディスク SSD（ソリッド・ステート・ドライブ）、最低50GBのディスク空き容量が必須。
• メモリ：16GB以上のRAMが必須（重要！16GBのRAMは必須です）
• USB 2.0またはそれ以上の動作するポート
• ワイヤレスイーサネット11 B/G/N/AC
• ホストOSのローカルアドミニストレーターアクセス

ホストOSの必須要件

コースVMwareイメージとの互換性が確認されている以下のOSを搭載した64ビットノートPCを使用する必要があります。

• Windows 10、macOS 10.15.x以降、Linuxの最新版で、後述のVMware仮想化製品もインストール、実行可能なもの。

必須ソフトウェア要件

講義に先立ち、ホストOSに以下のソフトウェアがインストールされていることを確認してください。

• VMware Workstation Pro 15.5.X+、VMware Player 15.5.X+、またはFusion 11.5+。
• Zipファイル・ユーティリティ（7Zipまたはオペレーティング・システム内蔵のZipユーティリティ）

クラウド仮想マシン（AWS AMI）

ワークステーションやネットワークが上記の要件を満たさない場合は、講師、TAに連絡して、SEC540 Amazon Machine Image（AMI）にアクセスするようにしてください。AMIを共有した後、リモートデスクトップ（RDP）で仮想マシンを起動し、接続するための手順を説明します。このオプションは、ノートパソコンの要件を満たせない受講生に必要です。

まとめ

コースを開始する前に、以下のことを行う必要があります。

• ソリッドステートドライブ（SSD）、16GBのRAM、64ビットオペレーティングシステムを搭載したPCが必要です。
• VMware（WorkstationまたはFusion）をインストールする。
• WindowsのみBIOS 設定で Intel VT 仮想化拡張機能が有効になっていることを確認します。
• SEC540ラボのセットアップ手順書とコース・メディアをorgアカウントからダウンロードします。
• クラス開始前にAWSの新しいアカウントを登録する（https://aws.amazon.com）
• Azureの新規アカウントと有料サブスクリプションを授業開始前に https://azure.microsoft.com で登録してください。

これらの手順が完了すると、講義のメディアがダウンロードで配信されます。講義で使用するメディアファイルは、40～50GBの大容量になることもあります。ダウンロードが完了するまでには、十分な時間が必要です。インターネット接続と速度は、多くの異なる要因によって大きく異なります。そのため、教材のダウンロードにかかる時間の目安をお知らせすることはできません。リンクを入手したら、コースメディアのダウンロードを開始してください。授業初日には、コースメディアがすぐに必要になります。授業開始の前夜にダウンロードを開始すると、失敗する可能性が高くなります。

SANSでは、PDF形式の印刷物の提供を開始しました。さらに、一部のクラスでは、PDFに加え、電子ワークブックを使用しています。電子ワークブックを使用するクラスは、今後急速に増加すると思われます。この新しい環境では、セカンドモニターやタブレット端末があれば、講師の講義中やラボでの演習中に、授業資料を常に確認することができ、便利です。

ノートパソコンの仕様についてさらにご質問がある場合は、laptop_prep@sans.org (英語)までご連絡ください。

「クラウドの進化は早い。自動化で遅れをとらないように。」

DevOps文化に悩む組織に共通するセキュリティ上の課題には、次のようなものがあります。

• 変更承認や監査要件に対して、前もってピアコードレビューやセキュリティ承認が行われない場合がある
• インフラストラクチャとアプリケーションのスキャンが欠落していると、攻撃者が侵入口を見つけ、システムを危険にさらす可能性がある。
• クラウドセキュリティの設定ミスにより、機密データが公開されてしまったり、新たなデータ流出経路が発生する可能性がある

セキュリティチームは、DevOpsツールの使用やクラウドファーストのベストプラクティスなどを基に組織がこれらの問題を防止できるよう支援することができます。このコースでは、開発、運用、セキュリティの専門家が、クラウドインフラとソフトウェアの構築と配信に使用されるDevOps手法を深く理こうｇ、実際に体験することができます。バージョン管理から継続的インテグレーション、クラウドワークロードの実行まで、DevOpsのワークフロー全体を攻撃し、強化する方法を学びます。各ステップにおいて、オンプレミスおよびクラウドホストシステムの信頼性、完全性、セキュリティを向上させるために必要なセキュリティコントロール、設定、ツールを探ります。また、クラウドインフラとサービスの構築、テスト、展開、監視のために、20以上のDevSecOpsセキュリティ制御を実装する方法を学びます。

「SANSでこれまで受講した中で最高の講義でした。このコースは、授業が終わった後、職場に戻ってすぐに日々の業務に生かすことができるコースです。私はすでにチームのSlackチャンネルで、この講義を受けるすべきだと伝えました。
- Brian Esperanza, Teradata 

「この講義に私が参加させた人は全員、このクラスを気に入っています。セキュリティの概念を超えて、最新の運用とDevOpsの仕組みを教えてくれるので、彼らにとっては変革のきっかけになりました。また、クラウドで開発したい、Infrastructure as Codeのような概念に触れたいと考えている開発者（まだクラウドで仕事をしていない人）にとっても、インパクトのある内容です。
- Brett Cumming

ビジネス上の学び 

• 最新のクラウドセキュリティとDevSecOpsの実践を理解するセキュリティチームを構築
• DevOps およびエンジニアリング チームと連携し、自動化されたパイプラインにセキュリティを導入
• クラウド サービスと自動化を活用してセキュリ ティ機能を向上
• クラウドへの移行やデジタルトランスフォーメーションに対応できる組織を構築

習得するスキル

• DevOps の仕組みを理解し、 成功の鍵を知る
• 自動化された CI/CD パイプラインとワークフローにセキュリティスキャンを導入する
• 運用部門から技術部門への継続的な監視のフィードバックループを構築する
• Infrastructure as Code (IaC) を使用した構成管理の自動化
• コンテナ技術（Docker や Kubernetes など）のセキュリティを確保する
• ネイティブのクラウドセキュリティサービスとサードパーティツールを使用して、システムとアプリケーションを保護する
• 継続的インテグレーションサーバとアプリケーションの秘密を安全に管理する
• クラウドのロギングとメトリックを統合する
• コンプライアンスとセキュリティポリシーの継続的なスキャンを実行する

ハンズオントレーニング

SEC540は、従来の講義にとどまらず、コースの各セクションで技術を実践的に応用することができるようになっています。各ラボには、ハンズオンテクニックを学び、適用するためのステップバイステップのガイドと、ガイドに従わずにどこまでできるかを確認し、スキルを伸ばしたい受講生のために「ノーヒント」アプローチも含まれています。このため、受講者はバックグラウンドに関係なく、自分に最適と思われる難易度を選ぶことができます。また、実践的なラボにより、理論だけでなく、各セキュリティ制御の設定と実装の方法を確実に理解することができます。

SEC540のラボ環境は、実際のDevOps環境をシミュレートしており、DevOpsコンテナイメージの構築、クラウド基盤、ゴールドイメージ作成の自動化、コンテナ化ワークロードのオーケストレーション、セキュリティスキャンの実行、コンプライアンス基準の適用を担う10以上の自動パイプラインを備えています。受講者は、技術的なスキルを磨き、さまざまなコマンドラインツール、プログラミング言語、およびマークアップテンプレートを使用して、セキュリティに焦点を当てた20以上の課題を自動化することに挑戦します。

SEC540コースのラボには、AWS版とAzure版の両方があります。受講者は、授業の最初に、コース期間中に使用するクラウドプロバイダを1つ選択します。最初のラボセットを終了した後は、各自の時間で両方のクラウドプロバイダのラボを行うことができます。

上級者向けには、毎日2時間のCloudWarsボーナスチャレンジが用意されています。これらのCloudWarsチャレンジは、クラウドとDevOpsツールチェーンのハンズオン体験を提供します。

セクション1：DevOpsツールチェーンの攻撃、バージョンコントロールのセキュリティ、静的解析の自動化、Vaultで秘密を守る、CloudWars：クラウドとDevOpsセキュリティのボーナスチャレンジ

セクション2：Infrastructure as Codeネットワークハードニング、ゴールドイメージの作成、コンテナセキュリティハードニング、動的解析の自動化、CloudWars：クラウドとDevOpsセキュリティのボーナスチャレンジ

セクション３：クラウドワークロードセキュリティの見直し、クラウドホスト型CI/CDガードレイル、継続的なセキュリティ監視、データ保護サービス、CloudWars：クラウドとDevOpsセキュリティのボーナスチャレンジ

セクション4：ブルー/グリーン環境を使用したセキュリティパッチの展開、署名付きURLによるコンテンツ配信ネットワークの保護、APIゲートウェイによるREST Webサービスの保護、サーバーレスおよびJSON WebトークンによるAPIの保護、CloudWars：クラウドとDevOpsセキュリティのボーナスチャレンジ

セクション5：クラウドセキュリティポスチャ管理、WAFによる攻撃のブロック、クラウドカストディアンによる自動修復、CloudWars：クラウドとDevOpsセキュリティのボーナスチャレンジ

“ラボは本当に素晴らしい。何時間もかけて作られたことが分かります。本当によく構築されていて、素晴らしい練習になりました。”
- David Heaton, Grange Insurance 

“ラボは、全体の中で最も良いものでした。よく整備されているので、これからも続けてください。”
- Richard Ackroyd, PwC

“使用するスクリプトが非常に豊富で、活用できる。”
 - Ravi Balla, GE

“楽しくてわかりやすい。すべてが魅力的に機能した。”
- Kenneth Jordan, Openaltar

シラバスの概要

セクション1：DevOpsツールチェーンの攻撃とハードニング
セクション2：クラウドインフラ、コンテナ、およびアプリケーションの保護
セクション3：クラウドワークロードの保護、監視、データ保護
セクション4：コンテンツ、API、サーバーレスの保護
セクション5：コンプライアンス、攻撃防御、修復の自動化

追加のフリー素材 

ポスター、チートシート、リスト

• Nine Key Cloud Security Concentrations & SWAT Checklist
• Fix Security Issues Left of Prod
• CWE/SANS Top 25 Most Dangerous Software Errors
• Security Web Application Technologies (SWAT) Checklist

ウェブキャスト

• Extending DevSecOps Security Controls into the Cloud: A SANS Survey
• Winning in the Dark: Defending Serverless Infrastructure in the Cloud
• Attacking and Defending Cloud Metadata Services
• Cloud Security and DevOps Automation: Keys for Modern Security Success

ツール

クラウドセキュリティツールの一覧はこちら、すべてSEC540に適用可能です。

https://www.sans.org/cloud-security/tools/

受け取るもの

• 印刷されたコースウェアと電子コースウェア
• コースの仮想マシン(VM)を含むISO
• 事前構築されたDevOps CI/CDツールチェーン、クラウドセキュリティ、およびDevSecOpsラボ演習を含むコースVM
• AWSとAzureのインフラストラクチャをデプロイするためのCloudFormationとTerraformのコード
• VMでホストされるWikiと、ラボ演習を完了するための電子ラボワークブック
• Infrastructure as Code (IaC) とコースのVMを無期限に使用し、コース終了後も学習を継続することが可能です。

次に受講すべきコース:

現在の職務や将来の計画に応じて、これらのコースのいずれかを受講することで、クラウドセキュリティの次のステップに進むことができます。

DevSecOps プロフェッショナル

• SEC522: Application Security: Web Applications, APIs, and Microservices

クラウドセキュリティエンジニア:

• SEC510: Public Cloud Security: AWS, Azure, and GCP
• SEC541: Cloud Security Attacker Techniques, Monitoring, and Threat Detection
• SEC588: Cloud Penetration Testing

クラウドセキュリティアーキテクト:

• SEC549: Enterprise Cloud Security Architecture

クラウドセキュリティマネージャー:

• MGT516: Managing Security Vulnerabilities: Enterprise and Cloud
• MGT520: Leading Cloud Security Design and Implementation

• パブリッククラウド環境へのシステム移行を考えている方
• DevOps環境への移行を考えている方
• クラウドやDevOps Continuous Deliveryパイプラインにセキュリティチェックやテスト、その他のコントロールをどのように導入すればよいかを理解したい方
• DevOpsワークロードのクラウド（特にAWS）移行に興味がある方
• AWSが提供するクラウドアプリケーションセキュリティサービス活用に興味がある方
• 開発者
• ソフトウェアアーキテクト
• 運用エンジニア
• システム管理者
• セキュリティ分析官
• セキュリティエンジニア
• 監査人
• リスク管理者
• セキュリティコンサルタント
  
  

GCSA 認定資格は、システムやアプリケーションをより安全に構築、展開するために使用されるクラウドサービスと最新の DevSecOps のプラクティスを対象としています。

• セキュア DevOps の原則、プラクティス、およびツールとともにクラウドサービスを使用して、セキュアなインフラストラクチャとソフトウェアを構築し、提供
• 構成管理、継続的インテグレーション、継続的デリバリー、および継続的モニタリングの自動化
• オープンソースツール、Amazon Web Servicesツールチェーン、およびAzureサービスの利用