NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Public Cloud Security: AWS, Azure, and GCP
Cloud Security
English2023年11月13日(月)~11月17日(金)
1日目:9:00-19:30
2日目~4日目:9:30-19:30
5日目:9:30-17:30
オンライン
早期割引価格:1,080,000 円(税込み 1,188,000円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。
通常価格 :1,200,000円(税込み 1,320,000円)
※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。
※コース本体のお申し込み後にGIAC試験を追加される場合、事務手数料(10,000円(税込み11,000円))をいただきます。
※GIAC試験はご自身で直接お申し込みいただくことも可能です。こちらのページ(英語)を参照ください。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
重要 この説明書に従って設定したシステムを持参してください。
このコースに完全に参加するためには、適切に設定されたシステムが必要です。この説明をよく読み、それに従わなければ、コースの実習に十分に参加することができません。従って、指定された要件をすべて満たすシステムでご出席ください。
授業の前にシステムをバックアップしてください。より良い方法は、機密データやクリティカルなデータのないシステムを使用することです。SANSはあなたのシステムやデータに対して責任を負いません。
コースウェアはダウンロードで配信されます。ファイルのサイズは大きく、多くは40~50GBの範囲で、中には100GBを超えるものもあります。ダウンロードを完了させるためには十分な時間が必要です。インターネット接続と速度はさまざまでありいろいろな要因によって異なるため、コースウェアのダウンロードにかかる時間を見積もることはできません。コースウェアのダウンロードのためのリンクを取得したら、すぐにダウンロードを開始してください。講義の初日にはすぐ教材が必要になります。講義開始の前夜までダウンロードを待つと、講義への参加がうまくいかなくなる確率が高くなります。
コース教材には「セットアップ手順」という文書が含まれています。この文書には、ライブ・クラスに参加する前、またはオンライン・クラスを開始する前に行うべき重要な手順が詳細に記載されています。この手順を完了するには、30分以上かかる場合があります。
あなたのクラスでは、ラボの指示に電子ワークブックを使用します。この新しい環境では、2台目のモニターおよび/またはタブレット端末が、コースのラボで作業している間、授業資料を見えるようにしておくのに便利です。
ノートパソコンの仕様についてご質問がある場合は、laptop_prep@sans.org までご連絡ください。
複数のクラウドには複数のソリューションが必要
SEC510は、クラウドセキュリティの実務家、アナリスト、研究者が、最も人気のあるパブリッククラウドプロバイダの内部構造を深く理解できるようにするための教材です。このコースでは、Amazon Web Services (AWS)、Microsoft Azure、Google Cloud Platform (GCP)など、最も人気の高いパブリッククラウドプロバイダーの内部構造を深く理解することができます。MITRE ATT&CK Cloud Matrix や CIS Cloud Benchmarks などの業界標準や方法論を学び、その知識を実践的な演習で応用し、各プロバイダのクラウドネイティブサービスを活用した最新のWebアプリケーションを評価します。学生は、硬化していないサービスを起動し、セキュリティ設定を分析し、セキュリティが不十分であることを検証し、パッチを展開し、修復を検証します。また、各クラウドのサービスやPaaS(Platform as a Service)、IaaS(Infrastructure as a Service)を導入する際に必要な知識を身につけることができます。
ビッグ3のクラウドプロバイダーだけでも、1社で消費しきれないほどのサービスを提供しています。セキュリティの専門家としては、開発者が使用するものを、過去の実績のあるソリューションに限定したくなることもあるでしょう。しかし、このようなアプローチは、変化を嫌うセキュリティ・エンティティを製品開発部門が傍観することになり、必然的に失敗します。セキュリティではなく、機能性が採用を促進するのです。もしチームが、競合他社よりも早く製品を市場に投入するのに役立つサービスを発見したら、それを利用することができますし、そうすべきです。SEC510は、このようなチームに対して、適切かつ最新のガイダンスとガードレールを提供し、迅速かつ安全に行動できるようにする能力を身に付けます。
"このクラスは素晴らしい投資でした。3大クラウドプロバイダーのデフォルトサービスやデフォルト設定の様々な長所と短所、そして簡単には軽減できない固有のセキュリティについて、非常に多くのことを学ぶことができました。クライアントのクラウド環境の安全性を監視し、支援するために、私のチームに持ち帰ることができる実用的な内容がたくさんあります。"".
- John Senn, EY
ビジネス上のポイント
SEC 510では、講義で説明したすべての考え方をハンズオン型のラボ演習により振り返ります。ラボ演習では各プロバイダのクラウドネイティブ製品を活用し、Next.js、React、およびSequelizeで記述されたクラウドに依存しない最新のWebアプリケーションを評価します。各実習には、ステップごとのガイドが用意されているほか、追加のサポートなしでスキルをテストしたい受講生のためには「ノーヒント」のオプションが用意されています。これにより、受講生は最適な難易度を選択し、必要に応じてステップ・バイ・ステップ・ガイドに戻ることができます。
SEC 510では、ゲーミフィケーションによるCloudWars Bonus Challengesに毎日参加する機会を受講生に提供するとともに、クラウドのセキュリティと関連ツールに関する実践的なハンズオン演習を提供します。
「ラボは素晴らしい。講義で学んだ内容をすべてカバーしている」
- Enrique Gamboa, ALG
「ラボは正気ではありません。とても素晴らしい設定です。私は多くのことを学んでおり、さらにこの素晴らしい基礎の上に構築することができるでしょう。」
- Kevin Sahota, 604 Security
「ラボは非常によく構成されており、何がなぜ起こっているのかを正確に説明するために詳細です。"」
- Gareth Johnson, Close Brothers
シラバスの概要
SEC510では、Terraform Infrastructure-as-Codeを使用して各クラウドのサービスを展開・設定しますが、Terraformに関する深い知識や使用する構文を理解する必要はありません。しかし、このコードが何を実現するのか、高いレベルで紹介されます。
SEC 510への参加の前提となるSANSコースまたは経験は次の通りです。
前もって準備したい方は、Terraform Getting Started Guide をチェックしてください: https://learn.hashicorp.com/terraform/getting-started/install
このクラスでは、HTMLやJavaScriptなどのWebアプリケーション技術やコンセプトの基本的な理解が必要です。このコースでは、より多くの方に受講していただくために、プログラミング言語にとらわれないディスカッションを行う予定です。データベース(SQL)やスクリプト言語など、最新のWebアプリケーションで使用される概念についてある程度理解していることが望ましいです。
GPCS認定は、パブリッククラウド環境とマルチクラウド環境の両方でクラウドを保護する実践者としての能力を証明するものです。GPCS認定プロフェッショナルは、AWS、Azure、GCPの微妙な違いに精通しており、これらの各プラットフォームを保護するために必要な次のスキルを備えたメンバーです。
複数のパブリッククラウドプロバイダーを利用する最近の傾向により、セキュリティとコンプライアンスの専門家には新たな機会がもたらされると同時に、課題についても発生しています。提供されるクラウドサービスの環境は絶えず進化しているため、好ましくないセキュリティソリューションを導入してしまうようなことはいつでも簡単に起こり得ます。そのため、マルチクラウド利用の意向を無視したり、企業レベルで阻止したりしがちではありますが、これは問題のコントロールを難しくするだけです。
そもそも、なぜ企業は新たなクラウドソリューションを採用するのでしょうか?それは、彼らの仕事をより簡単かつ楽しく行うためです。開発者は、企業本部のセキュリティチームのためではなく、ビジネスのために利益を上げる製品を開発しているのです。もし、競合他社よりも早く製品を市場に出すのに役立つようなサービスを見つけたら、それを使うことができるのだし、使うべきなのです。セキュリティ担当者は、マルチクラウド利用の動向がもはや避けられないものであることを受け入れ、組織が迅速かつ安全に利用開始へと動きだすための「ガードレールを実装する」という困難な作業に取り組む必要があります。好むと好まざるとにかかわらず、マルチクラウドの嵐がやってくるです。
SEC 510では、まず大手3社のクラウドプロバイダの概要を説明するところからスタートします。ここでは、複数のクラウドプロバイダの採用が進んでいる要因と、これまでAWSに大きく遅れをとっていたAzureとGCPの人気の高まりについてチェックしていきます。受講生はラボ環境を立ち上げ、最新のWebアプリケーションを大手3社の各クラウドに導入する作業を行います。
これらの講義・作業を通じ、クラウドセキュリティにおいて最も基本的であるにもかかわらず誤解されている概念である、アイデンティティ・アクセス管理 (IAM) の複雑さに関する理解が進みます。受講生はラボ環境で攻撃者の役割を演じることによって、アプリケーションの脆弱性を利用して実際のIAM認証情報を危険にさらし、機密データにアクセスします。
この日の講義の残りの部分では、適切に記述されたIAMポリシーの活用により攻撃で引き起こされる損害を最小限に抑える方法に焦点を当てます。最終的な解決策はアプリケーションのバグを修正することに他なりませんが、この方針によって、些細なインシデントがニュースの一面を飾るようなことを防ぐことができます。
2日目は、仮想プライベートネットワーク内のインフラをロックダウン(封鎖)する方法について説明します。デフォルトのネットワークセキュリティは緩いことが多く、何百万もの機密性の高い資産がパブリックインターネットに不用意にアクセス可能になっています。このセクションでは、そのような資産があなたの所属する組織に存在していないことを確認します。
最初に、各プロバイダー内で入力トラフィックと出力トラフィックを制限する方法を示します。受講生は、公開データベースにアクセスして、各環境でリバースシェルセッションを作成することにより、こうした制限がない場合に起こりうるダメージについて分析します。次に、セキュアなクラウド構成で攻撃ベクトルを排除します。
ネットワークにおける多層防御のメカニズムの解説に加え、避けられないネットワークベースの攻撃に対処するためのクラウドベースの侵入検知機能についても紹介します。生徒たちはクラウド上のトラフィックを分析し、データ侵害の兆候を見つけ出します。
Azure Bastion
OSログイン
アイデンティティ・アウェア・プロキシ(IAP)
3日目の講義の前半では、クラウドにおける暗号化に関連するトピックの全般について説明します。受講生は、各プロバイダの暗号鍵ソリューションと、それらのソリューションを使った格納データの暗号化について学習します。また、クライアント、ロード・バランサ、アプリケーション、データベース・サーバ間の暗号化など、エンド・ツー・エンドでのデータ転送の暗号化をクラウドで行う方法についても学習します。
適切な暗号化は、セキュリティにとって重要なだけではありません。これは、法的およびコンプライアンス上の重要な考慮事項でもあります。この日の講義では、オーディターに監査用の情報パッケージを送付するために必要なすべての情報を、組織でしっかりと掌握できているようにします。
講義の後半では、クラウドへのデータの保存、多層防御メカニズム、アクセス・ロギング、ファイル・システムの永続性などについて説明します。
4日目の講義では、業界を席巻するパラダイムであるサーバレスについて詳しく説明することにより、絶えず変化するテクノロジーのトレンドに取り組んでいきます。また、サーバーレスがもたらす課題と、開発およびセキュリティ運用での安全性を確保する点でのメリットについても説明します。
講義の前半では、AWS Lambda、Azure Functions、Google Cloud Functionsにおけるサーバーレスクラウドの機能について説明します。Serverless Prey (このコースの著者によって書かれた、人気のオープンソースツール) を使ってサーバーレスランタイム環境の内部を概観した後、受講生は実環境でサーバーレス環境の実際の機能を確認・調査し、ハードニングを行います。
講義の後半では、クラウドの機能と相互に関連することが多いApp Servicesについて説明します。最後に、2014年のGoogleによる買収以来、Google Cloud Platformと徐々に統合されつつあるサーバーレスアプリケーションプラットフォーム"Firebase"の詳細について説明します。
このコースの最後では、複数のクラウドアカウントやプロバイダーをまたがった運用方法に関する実践的なガイダンスを提示して締めくくります。これまでの講義で説明したトピックの多くは、ある1つのアカウントから複数のアカウントに移行する場合やプロバイダが相互に統合される場合、非常に複雑なものとなります。まず、複数のアカウントとクラウドを使用することでアイデンティティとアクセス管理 (IAM) がどのように変わるのかを説明します。
セキュアなユーザーID管理は、シングル・サインオン (SSO) について触れないかぎり、完全には説明しきれないものです。SSOによって、組織のメンバーは、同じ認証情報を使用してさまざまなアプリケーションにサインオンできるようになります。メンバーが組織から離脱する場合、管理者はコマンド1つでメンバのすべてのアクセスを終了させられます。この日の講義の後半では、各クラウドでのネイティブSSOソリューション、複数のAWSアカウントを管理する際のAWS SSOの重要性、各クラウドのエンドユーザーIDサービスについて説明します。
講義の最後には、このコースで学習したベンチマークに基づきコンプライアンス上のチェックを自動化するツールとサービスを紹介します。これには、オープンソースソリューションやクラウドベースのセキュリティサービスが含まれます。こうした機能を利用すれば、SEC 510で身に付けた知識を大規模な環境へ実際に適用することができるようになります。