NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Managing Security Vulnerabilities: Enterprise and Cloud
Security Management, Legal, and Audit
English2022年11月14日(月)~11月18日(金)
1日目: 9:00-17:30
2日目~5日目: 9:30-17:30
オンライン
1,070,000円 (税込み¥1,177,000)
※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
Microsoft Excel の最新版がインストールされたコンピュータ機器(ノート PC またはタブレット)を持参してください。コース中、複数の演習に使用します。
本講義で使用する Cyber42 ゲームは、Amazon Web Services(AWS)上でホストされています。受講者は、AWS サービスへのアクセスを制限していないコンピュータを用意する必要があります。企業のマシンでは、VPN、プロキシ、またはファイアウォールフィルタが設定されている場合があり、AWSとの通信に問題が発生する可能性があります。Cyber42ゲームにアクセスするためには、これらのサービスを設定または無効化できる必要があります。
ノートパソコンの設定に関して追加で質問がある場合は、sans-info@nri-secure.co.jp (NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください。(英文)
対処療法をやめ、根本を治そう。
このコースは、脆弱性管理プログラムが十分に確立されている組織の方も、これから始める組織の方も、脆弱性管理についてこれまでとは異なる考え方を持てるようにするためのコースです。このコースでは、防御されていない脆弱性に優先順位を付け、さまざまな理由で現在修復できていない脆弱性に関連するリスクを明確かつ効果的に伝える方法を学びます。また、インフラとアプリケーションの両方、およびクラウドと非クラウド環境の両方における脆弱性管理に関連する負担を軽減するために、成熟した組織が行っていることを学ぶことができます。MGT516は、PIACT(Prepare, Identify, Analyze, Communicate, and Treat)モデルに基づいています。
MGT516 は、組織のプログラムを成熟させるために、脆弱性管理について戦略的に考えることを支援しますが、一般的な課題を克服するための戦術的なガイダンスも提供します。多くの組織が従来型とクラウドの両方の運用環境で直面している典型的な問題を理解し、その解決策を議論することで、今日および明日の課題に対応する準備が整います。また、多くの組織が従来の運用環境を管理するだけでなく、クラウドサービスを採用していることを踏まえ、コース全体を通じて様々なクラウドサービスの種類と、それらがプログラムに与えるプラスとマイナスの影響についても見ていきます。また、それぞれの環境で活用できるツールやプロセスに焦点を当て、新しいトレンドも紹介します。
「このコースは、確立された脆弱性管理チームと発展途上の脆弱性管理チームの両方にとって不可欠なものです」
- Robert Adams, CBC
「クラウド脆弱性管理の初心者が活用するのに最適なコースだと思います。」
- Amaan Mughal
MGT516では、Cyber42のリーダーシップシミュレーションゲーム、概略シナリオに基づいたクリティカルシンキングラボ、ハンズオンラボ、デモンストレーションなどを用いて、VMバトルを巧みに戦うために必要な情報を提供します。Cyber42は、受講生がコースを通して内容を吸収し、応用できるようにします。このWebベースの継続的な卓上演習では、学生は架空の組織であるThe Everything CorporationまたはE Corp.において、セキュリティ文化の向上、予算とスケジュールの管理、特定の脆弱性管理能力の向上などを行います。これは、特定の事象に対応することで組織の成熟度を向上させるためのさまざまな選択肢を考えなければならない現実世界のシナリオに身を置くことになります。以下は、セクションごとに異なるゲームコンポーネントやその他のラボの簡単な説明です。
「素晴らしいラボ。脆弱性管理が思った以上に楽しい。」
- Page Jeffery, Newmont
「このラボをめぐる議論や、他のユーザーとの類似点を聞くのは本当に楽しいです。このラボの形式は楽しいと思います。」
- Isaac Philbrook, Premera
「Cyber42は素晴らしい!」
- Yann Esclanguin, Caterpillar
注:SANSは、脆弱性管理に重点を置いた2つのコースを提供しています。MGT516は、組織のプログラムを成熟させるために脆弱性管理について戦略的に考えることを支援し、また、一般的な課題を克服するための戦術的ガイダンスを提供するものです。「SEC460: Enterprise and Cloud | Threat Vulnerability Assessment 」では、企業全体で真の価値を確保するために、実績のある実践的なアプローチを使用して、技術的な脆弱性評価のスキルとテクニックを構築することができます。比較の全容はこちらでご確認ください。
このコースでは、脆弱性、パッチ、構成管理の概念について基本的に理解していることが推奨されます。
「脆弱性管理の情報量に圧倒されがちです。脆弱性は、私たちが使用するあらゆるデバイスやソフトウェアに存在し、毎日新しいレポートが発表されています。このダイナミックな状況を管理することは、組織にとっての課題です。私たちの目標は、膨大な量の脆弱性を管理し、脆弱性管理プログラムを構築または改善するためのフレームワークを受講者に提供することです。これにより、受講者は、環境内の主要な問題を特定し、それらの問題に対する潜在的な解決策を評価し、脆弱性管理の有効性についてチーム内および組織内に伝達することができるようになります。」
- Jonathan Risto
「ジョナサンは、今日の講義の中で、具体的な事例や経験談を話してくれたことに感謝しています。実社会に即した素晴らしいチャレンジで、内容をより身近なものにしてくれました。ありがとうございました!」
- Bridget Aman
「私は、10年以上にわたって、組織がインフラやアプリケーションの脆弱性管理能力とプログラムを改善するのを支援してきました。同じような問題に頭を悩ませている組織がいかに多いかに驚かされます。また、組織から、より伝統的な運用環境での脆弱性管理に苦労しているにもかかわらず、クラウドでの脆弱性管理をどのように成功させようとしているのかという話を聞くと、心配になります。このコースでは、現在のプログラムを改善し、そのプログラムをクラウドに拡張するために何ができるかについて、受講者の理解を深めたいと考えています。このコースでは、受講者が直面する一般的な障害を理解し、これらの課題に対する解決策を提供したいと思います。脆弱性管理に万能の解決策はありませんが、成熟した組織には間違いなく共通のテーマがあります。また、このコースは、あなたが直面しているかもしれない同じ問題のいくつかを解決するために、同業者が組織で行っていることから学ぶことができる素晴らしい機会です。」
- David Hazar
「David は、脆弱性管理において、数多くの異なるタイプの組織との膨大な経験を有しています。授業中、これは現実世界の課題を持ち込んで議論する上で不可欠でした。」
- Vikas Bangia, Bessemer Trust
脆弱性を特定することは、私たちのセキュリティプログラムにとって引き続き重要な課題です。また、脆弱性の特定は、セキュリティプログラムを導き、成熟度を追跡するために使用する、分析、対策、測定基準のためのデータも提供します。このセクションでは、識別に関する一般的な落とし穴を取り上げ、インフラストラクチャとアプリケーションの両方における識別のアーキテクチャと設計について説明します。また、識別を行うために許可を必要とする可能性のある場所について、また、当社のシステムやアプリケーションをテストする許可を第三者に安全に与え、発見した内容を責任を持って開示する方法について説明します。
脆弱性のスキャンを行い、その結果をチームに送り、是正を求めるという時代は過ぎ去りました。私たちは、出力を分析して不正確さを減らし、是正を妨げている根本原因の問題を特定することで、負担を軽減する必要があります。解決できない問題を特定したら、残りの問題に優先順位を付けて、最大の効果を発揮できるようにし、システムおよびプラットフォームの所有者に的を絞ったレポートやダッシュボードを提供する必要があります。このセクションでは、特定プロセスの出力によくある不正確な点を取り上げ、優先順位付けについて説明した後、プログラムと関連する運用能力を測定するために一般的に使用されているメトリクスについて見ていきます。また、有意義なレポートの作成方法、コミュニケーション戦略、コラボレーションと参加を促進するために開催すべきさまざまなタイプの会議についても説明します。
脆弱性を治療し、リスクを低減することは、脆弱性管理において行うすべてのことの最終目標です。参加者全員にとって、存在する典型的なプロセスと技術を理解し、組織内のポジティブな変化を増大させるためにそれらを活用する方法を理解することが重要です。ほとんどの組織では、何らかの形で変更、パッチ、および構成管理プログラムを実施していることでしょう。このコースでは、変更を合理化し、一貫性を高めるために、これらのプロセスとどのように連携しているかを見ていきます。また、クラウド特有の課題、アプリケーションの脆弱性に対処する方法、従来の対処法が使えない場合の代替策についても検討します。
脆弱性管理は、組織の中で最も簡単な仕事ではなく、多くの課題が私たちの足を引っ張ります。責任と説明責任の分担から、共有された人材への依存まで、この領域で行われる仕事の多くは認識されません。このセクションでは、この1週間を通して学んだこと、議論したことの多くをまとめ、この情報を使ってプログラムを改善する方法を見ていきます。また、様々なステークホルダーを特定し、より効果的に協力し、堅牢な脆弱性管理プログラムを構築し、成熟させる方法について議論します。