ニュースレター登録
資料ダウンロード
お問い合わせ

FORENSICS 518

Mac and iOS Forensic Analysis and Incident Response

English
日程

2026年9月7日(月)~2026年9月12日(土)

期間
6日間
講義時間

1日目:9:00-17:30 
2日目~6日目:9:30-17:30

受講スタイル
Live Online
会場

◆LiveOnline形式
 オンライン

GIAC認定資格
GIME
講師
Lee Whitfield|リー ウィットフィールド
SANSプリンシパルインストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
36 Points
受講料

早期割引価格:1,259,500円(税込み 1,385,450円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格:1,334,500円(税込み 1,467,950円)

申込締切日
早期割引価格:2026年7月24日(金)
通常価格:2026年8月27日(木) 13:00
オプション

  • GIAC試験 価格:149,850円(税込み 164,835円)

  • OnDemand 価格:149,850円(税込み 164,835円)

  • NetWars Continuous 価格:266,250円(税込み 292,875円)
※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)

以下の「お申し込み」を押すと、NRIセキュアのお申し込みサイトに遷移します。

お申込み

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

FOR518 PC設定詳細

重要:次の手順に沿って設定されたノートPCをご準備ください。

このコースを受講するには、適切に構成されたシステムが必要です。これらの指示を注意深く読み、従わないと、コースの実践的な演習に完全に参加することはできません。そのため、指定された要件をすべて満たしたシステムを持ってお越しください。

受講前にシステムをバックアップしてください。機密データ/重要なデータが保存されていないシステムを使用することを推奨します。SANS は、受講者のシステムやデータに対して一切責任を負いません。

必須システムハードウェア要件

  • Apple Silicon (M*)システム
  • 16GB以上のRAMが必要です。
  • 200GB以上の空き内部ストレージ容量が必要です。(ダウンロードしたISOファイル(約130GB)は、セットアップ - ラボ0が完了するまで外部メディアに保存できます。)
  • USB 3.0 Type-Aポートが1つ以上必要です。 Type-CからType-Aへのアダプタが必要になる場合があります。一部のエンドポイントプロテクションソフトウェアはUSBデバイスの使用を制限するため、受講前にUSBドライブを使ってシステムをテストしてください。

このコースの追加要件

  • Apple MacOS 14以降が必要です。

ホスト構成とソフトウェア要件

  • ローカル管理者アクセスが必要です。(これは絶対に必要です。会社がコース期間中このアクセスを許可しない場合は、別のノートパソコンを持参する手配をする必要があります。)

  • ウイルス対策ソフトウェアまたはエンドポイントプロテクションソフトウェアが無効になっているか、完全に削除されているか、または管理者権限を持っていることを確認してください。このコースの多くは、オペレーティングシステムへの完全な管理者アクセスを必要とし、これらの製品が原因でラボを完了できない場合があります。

コースメディアはダウンロードで配信されます。講座で使用するメディアファイルは大きく40〜50GBで、100GBを超えるものもあります。ダウンロードが完了するまで、十分な時間を確保してください。インターネット接続と速度は大きく異なり、さまざまな要因によって左右されます。そのため、教材のダウンロードにかかる時間の見積もりを概算することはできません。リンクを取得したらすぐにコースメディアのダウンロードを開始してください。講座初日からすぐ必要になります。これらのファイルのダウンロードは受講前日の夜まで待たずに開始してください。

コース教材には、「セットアップ手順」ドキュメントが含まれており、ライブ講座への参加、オンラインクラスを受講開始する前に実行する必要がある重要な手順が詳細に説明されています。これらの手順を完了するには、30分以上かかる場合があります。

ノートパソコンの仕様について、ご質問がある場合は、カスタマーサービスにお問い合わせください。

FOR518コース概要

FOR518は、ベンダーに依存しない初のMacおよびiOSインシデント対応・フォレンジックコースです。受講者は、生データ、詳細な分析、そしてMacおよびiOSのケースから最大限の活用する方法に焦点を当てます。このコースで習得する実践的なフォレンジック分析とインシデント対応スキルは、アナリストの能力を向上させ、あらゆるMacまたはiOSデバイスを自信持って分析できる知識を身につけることを可能にします。コースには23のハンズオンラボが含まれています。

デジタルフォレンジックおよびインシデント対応の調査員は、従来Windowsマシンを扱ってきましたが、もし新しいApple MacやiOSデバイスに直面したらどうでしょうか。Appleデバイスの人気は、カフェから企業の会議室まで、あらゆる場所で高まっています。調査員としてこれらのデバイスを扱うことは、もはやニッチなスキルではなく、すべてのアナリストが遭遇するAppleデバイスを調査するために必要なコアスキルを習得する必要があります。

常に最新な状態に更新されるFOR518コースは、MacまたはiOSのケースに躊躇なく対応するために必要な技術とスキルを提供します。本コースで実施する実践的なフォレンジック分析とインシデント対応スキルは、アナリストの能力を向上させ、あらゆるMacおよびiOSデバイスに対して自信を持って分析できる知識を身につけることを可能にします。従来の調査に加え、このコースでは侵入とインシデント対応のシナリオを提示し、Appleデバイスを侵害した攻撃者を特定し、追跡する方法を学ぶことができます。

macOSおよびiOSフォレンジック実践トレーニング
FOR518の実践的な部分は他に類を見ないもので、特にデータ分析に力を注ぐ方に最適です。ラボ演習は、高価な商用ユーティリティを使用することなく、Appleのデータ保存方法と解釈方法を理解できるように設計されています。これらのラボ演習を通して、受講者は講義で提示されたデータを実際に操作し、コースデータセットに概念を適用することができます。本コースのラボ演習は学習体験の重要な要素であり、受講者は受講後も様々な分析トピックを応用する能力を高めることができます。

シラバス概要

  • セクション1:データストレージ、ファイル解析、データ解釈を含むAppleプラットフォームの概要
  • セクション2:各ユーザ設定およびシステム設定のログ解析とレビュー
  • セクション3:複数のファイルシステムアーティファクトに保存されているメタデータについて
  • セクション4:アプリケーションごとに異なるデータ保存方法および各アプリのデータ保存方法の確認
  • セクション5:その他あらゆること:生活パターン分析、パスワードクラッキング、マルウェア
  • セクション6:Appleフォレンジックチャレンジ。これまでで学んだ知識を活かし、CTF形式のチャレンジで他の参加者と競います。

コーストピックス

  • 高度なコンピュータフォレンジック手法
  • Apple固有のデータ取得とライブレスポンスによるデータ収集
  • ファイルシステムデータ分析
  • メタデータ分析
  • MacおよびiOSの重要ファイルの復元
  • データベース分析
  • ボリュームおよびディスクイメージ分析
  • Time Machine、Spotlight、FileVaultなどのMacテクノロジーの分析
  • AirTag、Apple Watch、FindMy、HomeKitなど、macOSおよびiOSデバイスとの連携に関するAppleデバイスの分析
  • 高度なログ分析と相関分析
  • APFSファイルシステムの詳細な調査

受講対象者

FOR518トレーニングは、以下のような多様な方々におすすめです。
  • ファイルシステムフォレンジックと高度なMac分析に関する知識を深め、さらに発展させたい経験豊富なデジタルフォレンジックアナリスト
  • 高度なコンピュータフォレンジックを習得し、捜査スキルを向上させたい法執行官、連邦捜査官、刑事
  • Macシステムから必要な重要データを見つける方法を知る必要があるメディア解析アナリスト
  • 高度な攻撃者による複雑なセキュリティインシデント/侵入に対応し、侵害されたシステムを調査する際に何をすべきかを知る必要があるインシデント対応チームメンバー
  • macOSおよびiOSシステムの内部構造に関する知識を深めたい情報セキュリティ専門家
  • フォレンジックスキルをさらに向上させたいSANS FOR500、FOR508、SEC575、FOR585の修了者

シラバス

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5
  • DAY6

MacとiOSの基本

このセクションでは、データ取得、タイムスタンプ、論理ファイルシステム、ディスク構造など、MacとiOSの基本事項について解説します。データ取得の基本はMacとiOSデバイスで共通ですが、分析のためにMacとiOSシステムからデータを効率的に収集するためのヒントやコツがいくつかあります。

取り上げられるトピック

  • Appleの基本、デバイスのセキュリティ、ディスクとボリューム
  • macOSのデータ取得ツールと方法
  • iOSのデータ取得ツールと方法
  • データの整理、トリアージ、iCloud

ラボ

  • 実習室のセットアップ
  • ディスクとボリューム
  • 取得データのマウントとレビュー
  • トリアージ

概要

Windowsのフォレンジック分析に慣れている受講者は、Macシステムでのわずかな違いを容易に理解できるでしょう。データ自体は同じで、フォーマットが異なるだけです。

トピックの詳細

  • Appleの基本とデバイスのセキュリティ
    • プラットフォームとバージョン
    • タイムスタンプ
    • ファイルの種類
    • セキュリティの概念
  • ディスクとボリューム
    • ディスクとボリュームの構造
    • GPTおよびその他のパーティショニング方式
    • FileVaultとハードウェア暗号化
    • ディスクイメージ
    • APFSコンテナ
  • macOSの取得ツールと方法
    • 取得における落とし穴と考慮事項
    • 商用ツールと無料ツール
    • 揮発性データ
    • メモリの取得と分析
  • iOSの取得ツールと方法
    • 商用ツールと無料ツール
    • 脱獄
    • 取得の種類と違い
    • ローカルバックアップとiCloudバックアップ
    • システム診断ファイル
    • 取得と分析のためのツール
  • データの整理、トリアージ、iCloud
    • データのドメイン構成
    • コンテナとサンドボックス
    • iOSバックアップの正規化
    • アプリケーションデータ構造
    • トリアージ分析
    • アカウント
    • iCloud

ログ分析、ユーザデータ、およびシステム構成

このセクションでは、macOSおよびiOSデバイスのシステム設定、構成、およびログ分析が、ユーザアクティビティの解明とフォレンジック調査の支援にどのように役立つかを解説します。

取り上げられるトピック

  • フォレンジックテスト
  • ログ分析
  • ユーザーアカウント
  • ネットワークデバイス構成

ラボ

  • フォレンジックテスト
  • システムログの解析
  • ユーザアーティファクトとインターフェース
  • ボリューム、印刷、およびシステム状態
  • ネットワークとBluetooth

概要

MacおよびiOSデバイスには、デバイスの使用状況(または不正使用状況)を示す多くのシステム設定が含まれています。デバイスのユーザは特定の構成を変更することがあり、これらの変更はフォレンジック調査において有用な情報源となります。多くの場合、これらの構成変更はログにも記録されており、デバイスの使用状況を詳細に把握するための履歴情報を提供します。

このセクションでは、システムおよびデータ構成とログ分析に焦点を当てます。これらのデバイスには、それぞれ分析方法と内容が異なる様々な種類のログが存在します。ログエントリをシステム上のユーザデータおよびシステムデータと関連付けることで、事件を迅速かつ効率的に解決するための詳細なタイムラインを作成できます。

トピックの詳細

  • フォレンジックテスト
    • デバイス設定
    • ツール - Corellium、無料ツール、オープンソースツール
    • SQLiteデータベースクエリ
    • データベース構造
  • システムログの解析
    • ログの基本
    • ログの種類(Unix、BSM監査、Appleシステムログ(ASL)、統合ログ)
    • ログ構成
    • 分析方法と解析ツール
  • ユーザアカウント
    • 削除されたユーザ
    • ユーザログイン
    • 権限昇格
    • 最近使用したアイテム(MRU)
    • NSKeyedArchiver Plistファイル
    • 管理対象ユーザ
  • ユーザーインターフェイス
    • キーボード
    • 通知
    • iOS Springboard
    • macOS Finder
    • 保存されたアプリケーション状態
  • ボリューム
    • ログとファイルの分析
    • 接続されたデバイス
    • ネットワーク共有
  • 印刷
    • 制御ファイル
    • データファイル
  • システム状態
    • ログとファイルの分析
  • ネットワーク
    • デバイス構成
    • モバイルデータ通信
    • Wi-Fiアクセスポイント接続
    • リモートアクセス
    • ログとファイルの分析
  • Bluetooth
    • デバイス接続
    • Apple Continuity Technology
    • AirDrop
    • ログとファイルの分析

ファイルシステムと関連アーティファクト

このセクションでは、Appleファイルシステム(APFS)を詳細に解説し、その独自の構造、アーティファクト、そしてフォレンジックにおける価値を、実践的な分析と他のファイルシステムとの比較を通して検証します。

取り上げられるトピック

  • APFSの概要
  • 拡張属性
  • 実用的なクエリ
  • ドキュメントバージョンメタデータ
  • ファイルシステムイベントストアデータベース

ラボ

  • APFSの解析(ボーナス)
  • ディスクとボリュームのアーティファクト
  • 拡張属性
  • スポットライト
  • ドキュメントバージョンとFSEvents

概要

APFSの仕組みを復習した後、受講者はファイルシステムで使用され、これまで受講者が見てきた他のオペレーティングシステムとは大きく異なる、様々な興味深いアーティファクトについて学びます。これには、メタデータを含む多くのアーティファクトが含まれており、調査にさらなる文脈を提供することができます。

追加の演習では、受講者はApple File system(APFS)を徹底的に深く理解することで、MacおよびiOSのフォレンジックの基礎を学びます。受講者は16進エディタを使用して、macOSおよびiOSシステムに実装されている主要なファイルシステムの基本構造を学習します。 

トピックの詳細

  • ボリュームファイルシステムのアーティファクト
    • APFSの概要
    • データ構造
    • APFSの利点と注意点
    • APFSクローン
    • APFSスナップショット
    • Macが残すアーティファクト
    • 各種ファイルシステムとの違い
    • DS_Storeファイル
    • The Sleuth Kit (TSK) を使用したAPFS分析
  • 拡張属性
    • コンテンツ
    • 分析
    • フォレンジック的に有用な属性
  • 注目項目
    • インデックス付き項目
    • 分析方法とツール
    • 実用的なクエリ
  • ドキュメントバージョン
    • バージョンメタデータ
    • バージョンデータベース
    • 世代
    • チャンクストレージ
  • ファイルシステムイベントストアデータベース (FSEvents)
    • 使用方法
    • ツールによる解析
    • 実用的な分析

アプリケーションデータ分析

このセクションでは、Apple純正アプリケーションによって生成されるユーザーデータを詳しく分析し、フォレンジック調査を支援するために、メール、メッセージ、写真、位置情報などの重要なアーティファクトを手動で分析する方法を学びます。

取り上げられるトピック

  • Mach-O実行ファイル
  • ブラウザ履歴とキャッシュ
  • メッセージングファイルと通話ファイル
  • メモ、写真、マップの分析

ラボ

  • アプリケーションの基礎
  • SafariとWallet
  • メールとコミュニケーション
  • メモ、写真、マップ
 

概要

ユーザ領域に含まれるすべての設定情報や環境設定情報に加え、ユーザはインターネット、メール、通信、写真、位置情報など、さまざまなApple純正アプリケーションとやり取りできます。これらのデータは、あらゆる調査において、誰が、何を、どこで、なぜ、どのように行ったのかといった情報を提供します。

このセクションでは、データが保存されているさまざまなデータベースやその他のファイルについて解説します。受講者は、市販の解析ツールを使用せずに、これらの情報を手動で解析できるようになります。

トピックの詳細

  • アプリケーションの基本
    • アプリケーションバンドル
    • Mach-O実行ファイル
    • 拡張機能
    • ソフトウェアアップデート
    • iOSアプリケーションのスナップショット
    • 権限
  • Safariブラウザ
    • 履歴
    • キャッシュ
    • セッションデータ
  • ウォレット
    • カード
    • パス
    • トランザクション
  • メール
    • メールファイル
    • 添付ファイル
    • ダウンロードしたアイテム
  • 通信
    • メッセージ
    • FaceTime
    • 通話履歴
    • ボイスメール
  • メモ
    • データベース分析
    • Protobufs
  • 写真
    • メディア分析
    • 写真メタデータ
  • マップ
    • データベース分析
    • Protobufs

高度な分析トピック

このセクションでは、Apple固有の高度なフォレンジックトピックを取り上げます。これには、生活パターン分析、パスワードクラッキング、マルウェア検出、そして包括的な調査を支援する「探す」「Time Machine」「AirTags」などの各種独自技術が含まれます。

取り上げられるトピック

  • 生活パターン分析
  • パスワードクラッキング
  • マルウェアの例とファイアウォール設定
  • その他のAppleテクノロジー

ラボ

  • 生活パターン
  • パスワードクラッキング
  • マルウェアとライブレスポンス
  • もう一つ

     

概要

Appleシステムには、MacおよびiOSデバイスユーザのみが利用できるテクノロジーがいくつか実装されています。このセクションでは、さまざまな調査に活用できる多様なトピックについて学習します。例えば、生活パターンといったトピックでは、ユーザとデバイスの具体的なアクティビティを詳細に分析し、どのアプリがいつ使用されていたか、何歩歩いたか、デバイスのロックが解除されていたか、デバイスがどこにあったかなどを特定できます。その他の高度なトピックには、暗号化されたコンテナに隠されたデータの解析、侵害の兆候、セキュリティ強化、そして「探す」、AirTags、Time Machineなど、Appleのあらゆる「機能」が含まれます。

トピックスの詳細

  • 生活パターン
    • スクリーンタイム
    • KnowledgeC
    • バイオーム
    • 電源ログ
    • アプリケーションの使用状況
    • メディアの使用状況
    • デバイスの状態
    • 健康状態
    • 位置情報データ
  • パスワードクラッキング
    • パスワードシャドウファイル
    • パスワードのクラッキング
    • キーチェーン
    • FileVault
    • 辞書ファイル
    • 暗号化されたディスクイメージ
  • マルウェアとライブレスポンス
    • マルウェアの例
    • ファイル隔離
    • XProtect
    • Gatekeeper
    • Notarization
    • 自動実行
    • ファイアウォール設定
    • Velociraptor
  • One More Thing
    • Time Machine
    • Apple Watch
    • CarPlay
    • FindMy
    • AirTags
    • HomeKit
    • VisionPro

Macフォレンジックとインシデント対応チャレンジ

このコースの最終セクションでは、受講者は習得したApple製品全般に関するフォレンジックスキルを、実際のシナリオを通して実践的に試します。

取り上げられるトピック

  • 詳細なファイルシステム調査と分析
  • 高度なコンピュータフォレンジック手法
  • メタデータとデータベース分析
  • ボリュームとディスクイメージの分析
  • Apple固有のテクノロジーの分析
  • トピックの詳細
  • 詳細なファイルシステム調査
  • ファイルシステムのタイムライン分析
  • 高度なコンピュータフォレンジック手法
  • ファイルシステムデータ分析
  • メタデータ分析
  • 重要なMacファイルの復元
  • データベース分析
  • ボリュームとディスクイメージの分析
  • Apple固有のテクノロジーの分析
  • 高度なログ分析と相関分析

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。

ニュースレター登録
資料ダウンロード
お問い合わせ