ニュースレター登録
資料ダウンロード
お問い合わせ

Industrial Control Systems 410

ICS/SCADA Security Essentials

Industrial Control Systems Security

English
日程

2023年6月19日(月)~6月24日(土)

期間
6日間
講義時間

1日目:9:00-17:30
2日目~6日目:9:30-17:30

受講スタイル
Live Online
会場

◆LiveOnline形式
 オンライン

GIAC認定資格
GICSP
講師
Stephen Mathezer|スティーブン マセザー
SANS認定インストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
36 Points
受講料

【早期割引価格】1,200,000円(税込み 1,320,000円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

【通常価格】1,300,000円(税込 : 1,430,000円)

申込締切日
早期割引価格:2023年5月19日(金)
通常価格:2023年6月9日(金)
オプション
  • GIAC試験  135,000円(税込み 148,500円)
  • OnDemand  135,000円(税込み 148,500円)
  • NetWars Continuous  235,000円(税込み 258,500円)

※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。

※コース本体のお申し込み後から講義開始までの間に、GIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)をいただきます。

※講義開始後のGIAC試験のお申込みは、こちらのページ(英語)をご参照のうえ、GIACへ直接お申し込みください。

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

ICS410 PC設定詳細

重要:以下の手順に従って設定されたPCを各自用意してください。

このコースに参加するには、適切に設定されたPCが必要です。以下の支持を注意深く確認し、ご用意いただかないと、このコースに不可欠な実践的な演習に参加することができません。したがって、コースに指定されたすべての要件を満たすシステムをご用意ください。

ICS410: Industrial Control System Security Essentialsは、座学と実践的な演習で構成されています。演習は、コースで得た知識をインストラクター主導の環境で実践できるように設計されています。受講者は、学習したツールやテクニックをインストール、設定、使用する機会を得ることができます。

注意:このクラスには、通常のプロダクション用ノートパソコンを持ち込まないようにしてください。ソフトウェアをインストールする際、システム上の他の何かを壊してしまう可能性が常にあります。受講生は、すべてのデータが失われる可能性があることを想定しておく必要があります。

注意:受講生は、OSおよびすべてのインストールされているセキュリティソフトウェアへアクセスするための管理者権限が必要になります。ラボでの演習を行うために、パーソナルファイアウォールとその他のホスト型のセキュリティソフトウェアの設定を変更する必要があります。

ノートパソコンの要件

  • 64ビットをサポートするCPU/OS
  • BIOSでの64ビット仮想化の有効化
  • 少なくとも8GB以上のRAM
  • 少なくとも70GB以上のハードドライブの空き容量
  • 少なくとも1つのUSBポート
  • VMware Workstation Pro 15.5VMware Workstation Player 15.5VMware Fusion 11.5 以上のバージョンのインストール
  • ノートパソコン上の全てのセキュリティソフトウェア(ウイルス対策ソフト、ファイアウォールなど)を無効にできる管理者権限
  • : M1 プロセッサを使用している Apple のシステムは、現時点では必要な仮想化を実行できないため、このコースでは使用できません。

    ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)。

LiveOnlineでのコースメディアの事前準備、テキストについて

コースのメディアがダウンロード版で配信されるようになりました。授業で使用するメディアファイルは大容量で、40~50GBのものもあります。ダウンロードに必要な時間は様々な要因に左右されるため、所要時間を見積もることはできませんが、非常に時間がかかってしまう場合もあります。メールよりダウンロードリンクを取得したら、コースメディアのダウンロードを開始してください。コースメディアは授業初日すぐに必要になります。開始前夜などにダウンロードを開始すると、失敗する可能性が高くなりますので、時間に余裕をもってご準備ください。

SANSでは、PDF形式のテキストの提供を開始しました。さらに、一部のクラスではPDFに加えて電子ブックを使用しています。電子ブックを使用するクラスは今後増えていく予定です。セカンドモニターやタブレット端末を使って、授業の資料を見られるようにしておくと便利です。

ICS410 コース概要

SANSは、国の重要インフラを守るために必要なサイバーセキュリティのスキルを、セキュリティプロフェッショナルと制御システムエンジニアに習得してもらうため、産業界のリーダーたちと協力して活動を行っています。本コースは、産業分野におけるサイバーセキュリティ専門家向けの標準的な基礎知識とスキルを身につけていただくコースです。産業用制御システムの保守に関わっている方が、運用している環境を安全かつセキュアに、そして既知の脅威や新しいサイバー攻撃に対抗できるように訓練することに焦点をあててカリキュラムが組み立てられています。

本コースでは次のことを身につけていただきます。

  • 産業用制御システムのコンポーネント、目的、デプロイメント、重要なドライバー、制約条件の理解
  • ラボセッションによる制御システムへの攻撃対象領域への理解や、攻撃手法、攻撃ツールの体験
  • 制御システム分野におけるシステムとネットワーク防御のアーキテクチャ、アプローチ方法
  • 制御システム環境におけるインシデントレスポンス能力
  • 産業用制御システムのサイバーセキュリティ専門家に向けたガバナンスモデルとリソース

本コースを検討するにあたり、重要インフラ分野における最も高いリスクとニーズを調査しました。日々、制御システムをサポートする上で必要とされる幅広い業務の中で、真に必要となるセキュリティの原則を注意深く検討しました。たとえば、システムに対するペネトレーションテスト、脆弱性分析、マルウェア解析、フォレンジック、セキュアコーディング、レッドチームトレーニングなどを学習するコースがあります。これらの大半のコースが、実際に重要インフラの制御システムを運用する方や管理、設計、実装、監視そして統合する方向けに作られていません。

産業用制御システムに携わるエンジニアの特徴として、多くのエンジニアが大量の機器の機能とリスクを完全に理解しているわけではないことが挙げられます。また、通信とネットワークセキュリティを担当するITサポート部門は、システムで使用しているドライバーとその制約条件を常に把握しているわけではありません。本コースは、従来のIT担当者が、制御システムの設計思想と制御システムに対してどのように可用性と完全性を維持・運用すればよいかを、十分に理解できるように作られています。また、制御システムエンジニアと運用担当者の方々がサイバーセキュリティにおいて担う重要な役割を理解してもらえるようなコースを設計しています。制御システムの設計と構築についてサイバーセキュリティの考え方を取り入れることで、システムのライフサイクル全体に渡って、システムの信頼性と同じレベルでサイバーセキュリティを維持する方法を学びます。

このように異なるグループの専門家がこのコースを修了すると、サイバーセキュリティに関する重要性を理解した上で評価を行えるようになり、産業用制御システムをセキュアにするような共通言語を使うことができるようになるでしょう。本コースは、サイバーセキュリティ・アウェアネス(気づき)を与える訓練でもあり、制御システムのインフォメーション・テクノロジーとオペレーショナル・テクノロジー(IT/OT)サポートを行っているプロフェッショナルの方々が、サイバーセキュリティから引き起こされる物理的影響を理解する意味でも有用なコースです。

本講座受講にあたっての前提

コース参加者は、ネットワークとシステム管理の基礎について理解している必要があります。具体的にはTCP/IP、ネットワークの設計・アーキテクチャ、脆弱性評価、リスク分析に関する方法論です。本コースでは情報セキュリティの多くのコアとなる分野をカバーしています。この分野に関してまったく触れたことがない、背景となる知識がないという方にはSEC301:Intro to Information Securityというコースがありますので、ここから始めることをお勧めします。SEC301の受講は必要な前提条件ではありませんが、本コースでの学習効果を最大限に高める入門知識を提供するコースになっています。

受講対象者

本コースは産業システム業界で働いている方や産業システム業界の方と対話をされる方、もしくは産業用制御システムに関与する可能性のある方向けに作られたコースです。対象者には、アセットオーナー、ベンダー、インテグレーター、その他サードパーティの方も含まれます。主な対象者は次の4つのドメインに関係する方になります。
  • IT(オペレーショナル・テクノロジー・サポート含む)
  • ITセキュリティ(オペレーショナル・テクノロジー・セキュリティ含む)
  • エンジニアリング
  • 企業、業界、専門家のスタンダード

※ICS410は、GIAC(GICSP)認定試験対象コースです。

  Global Industrial Cyber Security Professional(GICSP)は、産業用制御システムの設計から廃棄までのセキュリティを実現するために、IT、エンジニアリング、サイバー・セキュリティの橋渡しをします。ベンダーニュートラルで実務者に特化したこのユニークな産業用制御システム認証は、GIACと、産業用オートメーションおよび制御システム・インフラストラクチャの設計、導入、運用、保守を行う組織が参加するグローバル産業コンソーシアムの代表者との共同作業で行われます。GICSP は、制御システムを設計またはサポートするプロフェッショナルへ、これらの環境へのセキュリティに対する責任を共有する基本的な知識と理解を必要とします。

  • 産業用制御システムの構成要素、目的、配置、重要な推進要因、および制約条件。
  • 制御システムの攻撃面、方法、およびツール
  • システムおよびネットワーク防御アーキテクチャと技術に対する制御システムのアプローチ
  • 制御システム環境におけるインシデント対応スキル
  • 産業用サイバーセキュリティ専門家のためのガバナンスモデルとリソース

受講内容

SANSは業界のリーダーと協力し、セキュリティ専門家や制御システムエンジニアが国家の重要インフラを守るために必要なサイバーセキュリティスキルを身につけることを目的としています。 ICS410: ICS/SCADA Security Essentialsは、産業用サイバーセキュリティの専門家のための標準的なスキルと知識の基礎となるセットを提供します。このコースは、産業用制御システムのサポートと防御に携わる従業員が、現在および将来のサイバー脅威に対して運用環境を安全、セキュア、かつ弾力的に維持するためのトレーニングを受けることができるように設計されています。

このコースは以下を提供します。

  • 産業用制御システムのコンポーネント、目的、デプロイメント、重要なドライバー、および制約に関する理解
  • 制御システムの攻撃対象、方法、およびツールに関するラボでの実践的な学習体験
  • システムおよびネットワーク防御アーキテクチャと技術に対する制御システムのアプローチ
  • 制御システム環境におけるインシデント・レスポンス・スキル
  • 産業用サイバーセキュリティの専門家のためのガバナンスモデルとリソース

重要インフラストラクチャ分野における最大のリスクとニーズを検討する際、コース作成者は、制御システムのサポートに日々関わる様々な業務に必要なコアセキュリティの原則を慎重に検討しました。産業用制御システムの侵入テスト、脆弱性分析、マルウェア分析、フォレンジック、セキュアコーディング、レッドチームトレーニングなど、特定のスキルを身につける必要がある上位のセキュリティ実務者向けのコースは他にもありますが、そのほとんどは、重要インフラの生産制御システムを運用、管理、設計、実装、監視、統合する担当者に焦点を当てたものではありません。

産業用制御システムは動的な性質を持っているため、多くのエンジニアは多くのデバイスの特徴やリスクを十分に理解していません。また、通信経路やネットワーク防御を提供するITサポート担当者は、必ずしもシステムの運用上のドライバーや制約を把握しているとは限りません。このコースは、従来のIT担当者が、制御システムの基礎となる設計原理を十分に理解し、可用性と完全性を確保する方法でこれらのシステムをサポートする方法を理解できるようにすることを目的としています。これと並行して、制御システムのエンジニアとオペレータが、サイバーセキュリティにおいて果たす重要な役割をよりよく理解する必要性にも取り組みます。これは、制御システムがサイバーセキュリティを組み込んで設計・エンジニアリングされ、システムのライフサイクルを通じてサイバーセキュリティがシステムの信頼性と同じレベルで重視されることを確認することから始まります。

これらの異なるグループの専門家がこのコースを修了すると、産業用制御システム環境のセキュリティを確保するために協力できるように、理解、認識、共通言語を身につけることができます。このコースは、サイバーセキュリティを意識したエンジニアリングの実践と、サイバー世界での行動の物理的影響を理解する専門家が行うリアルタイム制御システムの IT / OT サポートの開発を支援します。

コース開発者より

本コースでは、産業用制御システムの環境において、サイバーセキュリティの業務を行うために不可欠なものを学習します。産業システム業界で数年間働いた後に、エンジニアがサイバーセキュリティのスキルを取得するのと、サイバーセキュリティのエキスパートが産業システム業界の原則を身につけるのとでは、スキルセットにはギャップがあると考えるに到りました。また、産業用制御システムにおけるIT/OTの線引きは、今日では非常にあいまいになってきています。そのため、システムをサポートしている方や実際に使用している方など、さまざまなグループ間で共通の理解をする必要性が高まってきています。学習者の方々には本コースで、広範囲に渡る産業分野とアプリケーションに関する産業用制御セキュリティの専門用語、基本となる理論、基本的なツールを学んでいただきます。 
- Justin Searle

ICS/SCADAにおける安全性の概念化は、Justinによる数多くの例によって理解しやすくなりました。どこで問題が発生するかを視覚的に示してくれる彼の能力は、私たちのSCADAネットワークを修復するためのテクニックを与えてくれました。
- Attilio Pramarini, RTD

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5
  • DAY6

ICS Overview

1日目は、産業用制御システムをサイバーフィジカルに運用するために重要となる考慮事項や共通言語を理解します。各受講生には、プログラマブルロジックコントローラ(PLC)のハードウェアが配付され、クラスで物理的なインプットとアウトプットをプログラムし、オペレータインタフェースやHMIにマッピングします。このハードウェアを使用することにより、ICSの運用に必要な特定の安全保護や通信ニーズ、システム管理アプローチ、サイバーセキュリティの実装を推進または制限する要因を理解し、サイバーとフィジカルの知識を得ることができます。また、さまざまな役割を担う受講生のために、基本的な用語やアーキテクチャ、方法論、デバイスはすべて共通の言語を使用します。

トピック

Global Industrial Cybersecurity Professional (GICSP) 概要
ICSの概要
  • プロセスと役割
  • 業界
  • 演習:ピアから学ぶ

パデューレベル0と1
  • コントローラとフィールドデバイス
  • プログラミングコントローラ
  • 演習:PLCのプログラミング
パデューレベル2と3
  • HMI、ヒストリアン、アラームサーバ
  • 特殊なアプリケーションとマスターサーバ
  • コントロールルームとプラント
  • SCADA
  • 演習:HMIのプログラミング
ITとICSの違い
  • ICSのライフサイクルの課題
物理セキュリティ

Architectures and Field Devices

ICS環境を攻撃するアプローチを知っている場合、環境を守るための準備をした方がよいでしょう。ICS環境内には多くの攻撃経路が存在し、これまでのITシステムに類似するものもあれば、ICS固有のものもあります。2日目は、特定の攻撃ベクトルがどこに存在するのか、OT/ICSのより防御可能なアーキテクチャについての理解を深めます。IT ネットワークとは異なるレベルである パデュー レベル 0 および 1 で使用されるさまざまな技術と通信を確認します。そして、1日目にプログラムしたPLCからフィールドバストラフィックをキャプチャし、業界で使用されている他のフィールドバスプロトコルを確認します。

トピック

フィールドデバイスとコントローラ
ICSの攻撃対象領域
  • 脅威ベクトルと攻撃の理由
  • 攻撃対象領域と入力
  • 脆弱性
  • 脅威/攻撃モデル
  • 情報漏洩
  • 演習:外部攻撃対象領域の特定
セキュアなICSネットワークアーキテクチャ
  • ICS410 リファレンスモデル
  • より大きなICSサイト
  • リモートアクセス
  • 局地的なSCADA
  • 演習:安全なICSサイトの設計
パデューレベル0と1
  • パデューレベル0と1の攻撃
  • Control Things Platform
  • 演習:EEPROM Dumpsのパスワード
  • パデューのレベル0と1の技術
  • フィールドバスプロトコルファミリー
  • 演習:フィールドバスプロトコルを探る
  • パデューのレベル0と1の防御
  • 安全計装システム(SIS)

Communications and Protocols

3日目は、制御ネットワーク全体でよく見られる通信プロトコルを学習します。イーサネットのみのネットワークやTCP/IPネットワークを流れるネットワークキャプチャを分析したり、シミュレートされたコントローラをセットアップし、制御プロトコルを介して対話を行います。また、制御ネットワークから、トラフィックの流れをセグメント化して制御するためのさまざまな方法について学びます。暗号の概念と、通信プロトコルや機密データが保存された端末でどのように適用されているのかを学びます。制御ネットワークでワイヤレス通信を使用することのリスク、一般的に使用されているワイヤレス技術や防御策についても学習します。

トピック

スーパーバイザリーシステム
イーサネットとTCP/IP
  • イーサネットの概念
  • TCP/IPの概念
  • 演習:ネットワークキャプチャ分析
  • TCP/IP上のICSプロトコル
  • Wireshark と ICS プロトコル
  • ネットワークへの攻撃
  • 演習:Modbus TCPの列挙
施行区装置
  • ファイアウォールと次世代ファイアウォール
  • 現代のデータダイオード
  • NIDS/NIPSとNetflow
  • USBスキャンとハニーポット
暗号の基本を理解する
  • 暗号鍵
  • 暗号化、ハッシュ化、署名
  • 演習:マニュアル暗号
ワイヤレス技術
  • 衛星と携帯電話
  • メッシュネットワークとマイクロ波
  • BluetoothとWi-Fi
ワイヤレス攻撃と防御
  • ワイヤレスの恒久的な3つのリスク
  • スニッフィング、DoS、マスカレード、不正なAP

Supervisory Systems

4日目はICSに関連したサーバーとワークステーションのオペレーティングシステムの機能、実装アプローチ、システム管理の実践を学びます。フィッシングキャンペーンからHMI侵害まで攻撃者を追跡するネットワーク・フォレンジック演習をハンズオンで行った後、HMI webテクノロジーとパスワード・ブルートフォース攻撃を実施しながらHMI、ヒストリアン、および制御ネットワークの中間レベルから上位レベル、すなわちパデューレベル23で使用されるユーザー・インターフェース・テクノロジーを確認していきます。午後は、ベースラインを作成し、Windowsベースのワークステーションやサーバーをセキュアにする方法について学習します。

トピック

ワークステーションとサーバ
スーパーバイザリーサーバー
  • スーパーバイザリー攻撃
  • ヒストリアンとデータベース
  • 演習:SQLインジェクションによる認証のバイパス
ユーザーインターフェース
  • HMIとUIの攻撃
  • ウェブベースの攻撃
  • パスワードの防御
  • 演習:パスワードのファジング
Microsoft Windowsを守る
  • Windowsのサービス
  • Windows セキュリティポリシーと GPO
  • ホスト型ファイアウォール
  • 演習:PowerShellを使ったベースライン作成
ICSシステムへのパッチ適用
  • パッチ決定ツリー
  • ベンダー、CERTS、セキュリティ速報

ICS Security Governance

5日目は、さらにベースラインとハードニングを探求しますが、Linuxベースのワークステーションとサーバが対象です。システムのハードニング、ログ管理、監視、アラート、監査アプローチなどの ICS システムに有益な概念を確認し、複数の業界の ICS 環境で使用されている一般的なアプリケーションやデータベースをいくつか見ていきます。最後に、重要な ICS システムを保護するために何をしなければならないかを管理するために使用される様々なモデル、方法論、および業界特有の規制について学びます。主要なビジネスプロセスのリスク評価、災害復旧、ビジネスインパクト分析、コンティンジェンシープランニングをICS環境の観点から検討します。

トピック

ICSセキュリティガバナンス
Unix と Linux の防御
  • Windowsとの違い
  • Daemon、SystemV、SystemD
  • LynisとBastille
  • 演習:Linux ハードニング
エンドポイントプロテクションとSIEM
  • アプリケーションランタイムと実行制御
  • 構成の完全性とコンテナ
  • WindowsとLinuxのログ
  • 演習:Windowsのイベントログ
ICSサイバーセキュリティプログラムの構築
  • プロセスの開始
  • フレームワーク:ISA/IEC 62443、ISO/IEC 27001、NIST CSF
  • NIST CSFの使用
ICSサイバーセキュリティポリシーの作成
  • 方針・基準・指導・手順
  • 文化と執行
  • 事例や情報源
  • 演習:ICSセキュリティポリシーのレビュー
サイバーセキュリティリスクの測定
  • リスクアプローチとリスク測定
  • DRとBCプランニング
インシデント対応
  • 6つのプロセスステップ
  • 机上演習
まとめと次のステップに向けて

Capstone Exercise

ハンズオンを含むグループベースのテーブルトップ演習(TTX)を実施します。1週間を通して得た知識を使って、侵害指標(IoC)を特定し、更なる攻撃を制限するために取るべきアクションを決定し、攻撃者がOT/OCS ネットワークに深く入り込むにつれて変化させる戦術、技術、および手順(TTP)に対応していきます。1週間を通して、複数の業界のための様々なリソースを学び、ICSに焦点を当てた重要な専門資格であるGICSPの取得に向けて十分な準備ができるようになります。

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。