ニュースレター登録
資料ダウンロード
お問い合わせ

SECURITY 488

Cloud Security Essentials

Cloud Security

English
日程

2022年11月14日(月)~11月19日(土)

期間
6日間
講義時間

1日目:9:00-17:30
2日目~6日目:9:30-17:30

受講スタイル
Live Online
会場

オンライン

GIAC認定資格
GCLD
講師
Simon Vernon|サイモン バーノン
SANS認定インストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
36 point
受講料

1,130,000円 (税込み¥1,243,000)

申込締切日
2022年11月4日(金)
オプション
  • GIAC試験  135,000円(税込み 148,500円)
  • OnDemand  120,000円(税込み 132,000円)
  • NetWars Continuous  220,000円(税込み 242,000円)

※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。

※コース本体のお申し込み後から講義開始までの間に、GIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)をいただきます。

※講義開始後のGIAC試験のお申込みは、こちらのページ(英語)をご参照のうえ、GIACへ直接お申し込みください。

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

SEC488 PC設定詳細

重要! 次の手順に従ってシステムを構成してください。

この講義に完全に参加するには、適切に構成されたシステムが必要です。これらの指示を注意深く読んで従わないと、このコースに不可欠な実践的な演習に参加できず、満足できないまま講義が終了してしまう可能性があります。したがって、指定されたすべての要件を満たすシステムをご用意いただくことを強くお勧めします。

授業の前にシステムをバックアップすることが重要です。機密データが保存されているシステムは使用しないことを強くお勧めします。

受講生が必要とするもの:

  • Chromeインターネットブラウザを搭載したノートパソコン。ノートパソコンには、インターネットへの制限なしのアクセスと完全な管理者権限が必要です。
  • OpenSSHクライアント

  • Adobe Acrobat Readerまたはその他のPDFリーダーアプリケーション

  • 制限のないAmazon Web Services (AWS) AWSアカウント (1,000円程度のクレジットカード支払いが必要です)
  • 新規に取得したAzureアカウント(無料トライアル版)、またはオーナーアクセス権限があり制限のない既存のAzureアカウント

システムハードウェア要件

  1. ハードディスクの空き容量:このコースでは、コースのVMは使用しません。ウェブブラウザとローカルにインストールされたOpenSSHクライアントでラボを実施します。

  2. オペレーティングシステム:WindowsまたはmacOSオペレーティングシステムをサポートします。

追加のハードウェア要件

上記、ベースライン要件に加えて必要になります。

  1. ネットワーク要件:ワイヤレス802.11 B、G、N、またはACネットワークアダプタ
    これは、システムの内蔵ワイヤレスアダプタ、または外付けUSBワイヤレスアダプタなどです。

SANSでは、PDF形式のテキストの提供を開始しました。さらに、一部のクラスではPDFに加えて電子ブックを使用しています。電子ブックを使用するクラスは今後増えていく予定です。セカンドモニターやタブレット端末を使って、授業の資料を見られるようにしておくと便利です。

ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国に問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください。(英文)

SEC488コース概要

クラウドにおけるセキュリティを学ぶにあたって「ライセンス」となるコースです。

調査によると、ほとんどの企業は、Amazon Web ServicesAWS)、AzureGoogle Cloud PlatformGCP)、その他のクラウドサービスプロバイダーを含むマルチクラウドプラットフォームを戦略的に導入することを決定していることが明らかになっています。成熟したCSPは、顧客がより安全に製品を使用できるように、さまざまなセキュリティサービスを作成していますが、それは顧客がこれらのサービスについて知り、適切に使用する方法を知っている場合に限られます。このコースでは、ビッグ3CSPが作成したセキュリティサービスや、オープンソースのツールを使って、実際のレッスンを行います。コースの各セクションでは、実習用のラボ演習を行い、学習した内容を定着させることができます。このコースでは、クラウドに実装された機能的なセキュリティアーキテクチャを完成させるために、複数のセキュリティ制御を段階的に重ねます。

このコースでは、クラウドに適切なセキュリティ制御を実装し、自動化を使用して「期待するものを検査する」ことができるようになります。まず、クラウドの最も重要な側面の1つであるアイデンティティとアクセス管理(IAM)に触れます。その後、さまざまなCSPモデルで運用されるさまざまなクラウドワークロードを防御するための議論と実践的な演習を通じて、クラウドのセキュリティを確保することに取り組みます。Infrastructure as a Service (IaaS), Platform as a Service (PaaS), Software as a Service (SaaS), Functions as a Service (FaaS)など、さまざまなCSPモデルで運用されるさまざまなクラウドワークロードを防御するためのディスカッションと実践的な演習を行います。

ビジネス上のポイント

  • 現在のクラウド展開を理解する
  • クラウドでホストされているワークロード、サービス、および仮想マシンを保護する
  • コスト効率よく適切なサービスを選択し、適切に構成して、クラウド・リソースを適切に保護する
  • クラウドに実装される前に、一般的なセキュリティの誤設定に対処する
  • クラウドでの運用時に、業界の規制や法 律に準拠したビジネスが行えるようにす る
  • クラウド環境での攻撃者の滞留時間を短縮する

習得するスキル

  • クラウドサービスが提供するセキュリティ上の課題と機会について、所属する組織を正しい道へと導き、環境を整備する
  • クラウドサービスプロバイダ (CSP) が提供するさまざまなサービスの利用に伴うリスクの特定
  • 特定のクラウドネットワークセキュリティアーキテクチャに適したセキュリティコントロールを選択する
  • ドキュメント、セキュリティ・コントロール、監査レポートに基づいてCSPを評価する
  • 主要なCSPのサービスを安心して使用する
  • CSP環境の保護、強化、監査
  • クラウドのログ機能を活用し、クラウド環境で発生したイベントのアカウンタビリティを確立する

  • クラウドサービスプロバイダ(CSP)が提供する様々な製品の導入モデルやサービス提供モデルに基づいて、リスクとリスクコントロールの所有権を特定する

  • CSPのセキュリティ文書、サービス機能、第三者認証、およびグローバルなクラウドエコシステムにおける位置づけに基づき、CSPの信頼性を評価する

  • CSP 環境へのアクセスに使用されるコンソールへのアクセスを保護する

  • AWS Azure の両方に固有のネットワーク・セキュリティ制御を実装する

  • AWS Azure が提供する侵入テストのガイドラインに従って、「内なるレッドチーマー」で、フルスタッククラウドアプリケーションを攻撃する

ラボ演習の内容

SEC 488:Cloud Security Essentialsは、コースの各セクションにおいて、複数の実践的なラボを行うことでトレーニングのマテリアルを補強・補完しています。すべてのラボは持ち帰ることができ、オフィスに戻った最初の日から使える実務的なスキルを身に付けられるように設計されています。これらのラボは「なぜそのスキルが重要なのか」が理解できるよう、ステップバイステップで作成されており、さらに技術がなぜそのように機能するのかについて洞察を深められるようになっています。

SEC 488のラボでの演習内容は、次のとおりです

  • AWS、Azure、GCPのウェブコンソールを活用して、さまざまなクラウドサービスを安全に提供する
  • オープンソースのセキュリティツールとサービスを使用して、クラウド環境とアプリケーションをハードニングし、セキュリティを保護する
  • 仮想マシンイメージのハードニング、パッチ適用、セキュリティ保護をする
  • コマンドラインインターフェイス (CLI) と簡単なスクリプトを使用して作業を自動化する
  • クラウドにデプロイされたコードの機密漏洩を防止する
  • ログとセキュリティサービスを使用してクラウド仮想マシン上のマルウェアを検出し、ファイルシステムの初動フォレンジック調査を実行する
  • Terraformを使って、複数のクラウドプロバイダに対して完全に整備された環境をデプロイする

CloudWars はとても楽しいチャレンジでした。各セクションにおいて、研修で得た知識を問う問題がしっかりと出題されていました。
 - Evelyn Saucedo(USAA)


今後に向けて

今後に向けて

SANSは、あなたの職業上の目標や方向性に応じて、SEC488に続くコースを数多く提供しています。

クラウドセキュリティアナリスト

  • SEC510: Public Cloud Security: AWS, Azure, and GCPGPCS

クラウドセキュリティエンジニアまたはアーキテクト

  • SEC510: Public Cloud Security: AWS, Azure, and GCPGPCS
  • SEC540: Cloud Security and DevSecOps AutomationGCSA

クラウドセキュリティマネジメント / リーダーシップ

  • MGT520: Leading Cloud Security Design and Implementation

SANSSANS Cloud Security Flight Plan で全体像をご確認ください。

受講対象者

クラウド環境で作業をしている、クラウドのセキュリティに関心がある、またはクラウドサービスプロバイダの使用によるリスクを理解する必要がある方々は、本コースを受講する必要があります。
  • セキュリティエンジニア
  • セキュリティアナリスト
  • システム管理者
  • リスク管理者
  • セキュリティ・マネージャ
  • セキュリティ監査
  • クラウドを初めて使用するユーザー

※SEC488は、GIAC(GCLD)認定試験対象コースです。

GIAC Cloud Security Essentials(GCLD認定)

GIAC Cloud Security Essentials (GCLD) 認定は、システムやアプリケーションをクラウドサービスプロバイダ (CSP) 環境に移行する際に生じるセキュリティ課題について、認定保有者が幅広く理解していることを証明するものです。新たな脅威を理解することは戦いの半分にすぎません。GCLDの認定はさらに一歩進んだものであり、認定を受けた方が、価値あるクラウドベースのワークロードを防御するため、次に挙げるような予防、検知、そして反撃の様々なテクニックを実行できることを証明するものです。 - Ryan Nicholson、SANS SEC 488コース開発者

  • クラウドサービスプロバイダの類似点、相違点、課題、新たなメリットについての評価
  • 単一およびマルチクラウド環境のプランニング、導入、ハードニング、セキュリティ保護
  • 基礎的なクラウドリソース監査、セキュリティ評価、インシデント対応

本講座受講にあたっての前提

TCP/IP、ネットワーク・セキュリティ、情報セキュリティの原則に関する基本的な知識があればベターですが、必須ではありません。Linuxコマンドラインに精通しているとベターです。

コース開発者より

かつてないほど多くの企業が、ミッションクリティカルなワークロードをクラウドに移行しています。また、ほとんどの企業が単一のクラウドではなく、最大5つものクラウドを利用しているといった調査結果ですらあります。しかし、クラウドのセキュリティ侵害は常に発生しており、多くのセキュリティ専門家は、こうした急激な変化に対処する準備ができていないと感じています。SEC 488では標準とベストプラクティスに基づいてクラウドを見つめて続けており、講義を通じてセキュリティ面でのギャップを迅速に特定できるようになります。また、組織のクラウドセキュリティの弱点を補強するための実践的なツール、テクニック、パターンを受講生にご提供いたします。

 - Ryan Nicholson

  • Day1
  • Day2
  • Day3
  • Day4
  • Day5
  • Day6

SEC488.1: Identity and Access Management

概要

最初のテキストでは、このコースを取り巻く環境について説明した後、Identity and Access Management (IAM) について網羅的に取り扱っていきます。受講生は、”IAM(アイアム)"が組織のクラウドアカウントを保護する上で最も重要な役割を果たしていることをすぐにご理解いただけることでしょう。テキストでの説明により、次のことを行えるようになります。

  • クラウドアカウントのIAMサービスのセキュリティホールを特定する
  • 最小特権アクセスの概念に従いクラウドアカウントを実装するために必要なことを理解する
  • クラウドサービス認証に関連するさまざまな機密情報の検出と保護
  • クラウドベンダーが提供するIAM分析ツールを使用して、セキュリティ不備の検出を自動化する

演習

  • 新規クラウドユーザー

  • パーミッションの境界

  • クラウド管理ステーション

  • CD/CA環境のデプロイ

トピックス

  • コースの概要
  • クラウドアカウント
  • ポリシーとアクセス許可
  • グループとロール
  • 一時的な認証情報
  • 機密管理
  • アカウント管理と外部アクセス
  • IAMのその他ベストプラクティス

SEC488.2: Compute and Configuration Management

概要

2冊目のテキストでは、クラウドプロバイダーのIaaS (Infrastructure as a Service) およびPaaS (Platform as a Service) サービスにおけるコンピュート・エレメントを保護する方法を採り上げます。受講者は早い段階で、クラウドでインスタンスや仮想マシンを起動するとオンプレミスよりもはるかに複雑になると判断することでしょう。テキストを進めてゆくにつれ、受講生は次のことを学ぶことができます。

  • CSP環境にコンピューティングインスタンス/仮想マシンを安全に導入する
  • 実行中のインスタンスをライフサイクルを通じて維持する
  • 組織で再利用するためにハードニングされたイメージを作成する
  • クラウドベースのアプリケーションに影響を与える可能性があるさまざまな脅威を理解する
  • 機密情報の流出を防ぐためにクラウドストレージをロックダウンする

演習

  • セキュアなインスタンスの展開

  • スレットインテリジェンスゴールドイメージ

  • Which Reality

  • ブロブ・ロックダウン

トピックス

  • セキュアなインスタンス/仮想マシンの導入
  • ホストの構成管理
  • イメージの管理
  • アプリケーションのセキュリティ
  • 脅威モデリング
  • PaaS (Platform as a Service) とSaaS (Software as a Service) の課題
  • コンテナサービス
  • クラウド・ストレージ

SEC488.3: Data Protection and Automation

概要

3冊目のテキストでは、まずクラウド環境におけるデータ保護に焦点を当てます。私たちはいたって頻繁に、クラウドサービスの設定ミスに端を発したデータ侵害のニュース記事を目にしています。こうした設定ミスについて注意すべき点や、次のような点について学習します。

  • 各クラウドサービスにおいて、組織のデータを適切に識別・分類する
  • データの置かれている場所、ネットワークでの転送時にデータを暗号化する
  • 必要とするときにデータが使用可能であることを確認する
  • IaC (Infrastructure as Code) を活用して、オペレーションを自動化するだけでなく、セキュリティ構成も自動化する
  • クラウドベースの生産性サービスによってギャップを特定する
  • CASBがどのように機能し、組織に対してどのようなベネフィットを与えるのか理解する

演習

  • データハンティング

  • 転送中のデータの暗号化
  • Terraformによるコード評価
  • CASBにおけるテクニック

トピックス

  • データの分類
  • 保管時のデータ暗号化
  • 可用性
  • 転送中のデータの暗号化
  • ライフサイクル管理
  • Infrastructure as Code
  • 生産性向上サービス
  • クラウドアクセスセキュリティブローカー (CASB)

SEC488.4: Networking and Logging

概要

4冊目のテキストは、IaaSワークロードを成功裏に防御する準備のために、クラウドでのデータの入出力、ログ生成・収集・分析について掘り下げます。ネットワークセキュリティの分析者、アーキテクトにとっては、まさによだれが出始めるような内容でしょう。受講生は次のことを学習します。

  • ネットワークコントロールを使用してクラウドデータフローを制御する
  • さまざまな情報機密レベルのコンピューティングリソースにおいてセグメンテーションを追加する
  • 適切なログを生成し、それらのログを収集し、セキュリティ・アナリストとして処理する
  • ネットワークの可視性を向上させることにより、セキュリティ・ソリューションの有効性を向上させる
  • クラウドで発生した処理をリアルタイムで検出する

演習

  • ネットワークアクセスの制限
  • Webアプリケーションファイアウォール (WAF)
  • クラウドログの取得
  • IaaSのログ取得

トピックス

  • パブリッククラウドネットワーキング

  • IaaSシステムのリモート管理

  • セグメンテーション

  • ネットワーク保護サービス
  • クラウドロギングサービス
  • ログの収集と分析
  • ネットワークの可視化
  • クラウド検知サービス

SEC488.5: Compliance, Incident Response, and Penetration Testing

概要

テキストの5冊目では、まず最初にコンプライアンスのフレームワーク、監査レポート、プライバシー、電子情報開示について説明し、クラウドサービスプロバイダのリスク評価時に適切な質問が行えるようにするための情報と参考資料を提供します。AWS GovCloudやAzureのTrusted Computingを必要とするような、より制限された特別な要件のユースケースをカバーした後、クラウドでのペネトレーションテストを徹底的に理解し、インシデントレスポンスとフォレンジック調査によって一日を締めくくります。受講生は次のことを学習します。

  • Cloud Security Alliance Cloud Controls Matrixを活用して、特定のクラウドネットワークセキュリティアーキテクチャに適したセキュリティコントロールを選択し、監査レポートとCSPの共有責任モデルを使用してそれらのコントロールのCSPの実装を評価する
  • クラウドサービス、およびクラウド上にホストされた仮想マシンのログを使用してセキュリティインシデントを検出し、推奨されるインシデント対応方法に従って第一対応者として適切な手順を実行する
  • 侵害された仮想マシンのファイルシステムの予備フォレンジック調査を行い、侵害の兆候を特定し、ファイルシステムのタイムラインを作成する

演習

  • Security Hubコンプライアンス評価
  • Microsoft Defender for Cloud

  • マルチクラウドにおけるペネトレーションテスト
  • マルチクラウドにおけるフォレンジック調査

トピックス

  • セキュリティ保証
  • クラウドの監査
  • プライバシー
  • リスクマネジメント

  • 防衛者のためのサーバーレス

  • ペネトレーションテスト
  • 法的および契約上の要件
  • インシデント対応とフォレンジック調査

SEC488.6: CloudWars

概要

最後のテキストは、一日かけて行われるCloudWars競技の内容で構成されており、1冊目から5冊目で説明しているトピックを補強・補完しています。フレンドリーに行われる競技を通じ、受講生は2つのCSP環境において実践的な演習を行い、複数の選択肢から構成されている、いくつかの課題に答えます。異なる2つのクラウドベンダーへデプロイするためのまったく新しい環境が与えられます。欠陥に満ち溢れた環境を取り扱って、全体的なセキュリティ態勢を強化するため適切な変更を行う、という任務が与えられます。

 

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。