ニュースレター登録
資料ダウンロード
お問い合わせ

SECURITY 497

Practical Open-Source Intelligence (OSINT)

※本コースは中止となりました。次回開催をお待ちください。

OSINT

English
日程

2024年2月26日(月)~3月2日(土)

期間
6日間
講義時間

1日目:9:00-17:30
2日目~6日目:9:30-17:30

受講スタイル
Live Online
会場

◆LiveOnline形式
 オンライン

GIAC認定資格
GOSI
講師
Mick Douglas|ミック ダグラス
SANSプリンシパルインストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
36 Points
受講料

早期割引価格:1,220,000 円(税込み 1,342,000 円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格:1,350,000 円(税込み 1,485,000 円)

申込締切日
早期割引価格:2024年2月2日(金)
通常価格:2024年2月16日(金)
オプション
  • GIAC試験  160,000円(税込み 176,000円)
  • OnDemand  160,000円(税込み 176,000円)
  • NetWars Continuous  270,000円(税込み 297,000円)

※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。

※コース本体のお申し込み後から講義開始までの間に、GIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)をいただきます。

※講義開始後のGIAC試験のお申込みは、こちらのページ(英語)をご参照のうえ、GIACへ直接お申し込みください。

現在お申し込みを受け付けておりません

受講に必要なPC環境

演習で使用するPCをご準備下さい。受講に必要なPC環境についてご確認ください。

重要! この説明書に従って設定されたご自身のシステムをお持ちください。

このコースに完全に参加するためには、正しく設定されたシステムが必要です。この説明書をよく読み、それに従わない場合、このコースに不可欠な実習に参加できないため、満足のいく授業が受けられない可能性が高くなります。したがって、コースで指定されたすべての要件を満たすシステムで参加されることを強くお勧めします。

授業の前にシステムをバックアップしておくこと。より良い方法は、機密データやクリティカルなデータのないシステムを使用することです。SANSはあなたのシステムやデータについて責任を負いません。

システムハードウェア要件

  • CPU 64ビットIntel i5/i7(第8世代以降)、またはAMD同等品。このクラスでは64ビット、2.0GHz以上のプロセッサが必須。
  • 重要: M1/M2プロセッサーを使用したAppleシステムは、必要な仮想化機能を実行できないため、このコースには使用できません。
  • 「Intel-VTx」や「AMD-V」拡張機能など、仮想化技術を有効にするためのBIOS設定が必要です。変更が必要な場合に備えて、BIOSがパスワードで保護されている場合は、絶対にアクセスできるようにしてください。
  • 8GB以上のRAMが必要です。
  • 30GB以上のストレージ空き容量が必要です。
  • 利用可能なUSB 3.0 Type-Aポートが1つ以上あること。新しいノートパソコンには、Type-CからType-Aへのアダプタが必要な場合があります。エンドポイントプロテクションソフトウェアの中にはUSBデバイスの使用を禁止しているものもありますので、授業前にUSBドライブでシステムをテストしてください。
  • ワイヤレスネットワーク(802.11規格)が必要です。教室では有線のインターネット接続はできません。

ホストの必須構成とソフトウェア要件

  • ホストのオペレーティングシステムは、Windows 10、Windows 11、または macOS 10.15.x 以降の最新バージョンである必要があります。
  • 授業前にホスト OS を完全にアップデートし、適切なドライバとパッチがインストールされていることを確認してください。
  • Linuxホストはバリエーションが多いため、教室ではサポートしていません。Linuxをホストとして使用する場合、コース教材および/またはVMと連動するように設定する責任は各自にあります。
  • ローカル管理者アクセスが必要です。(これは絶対に必要です。ITチームにそうでないと言わせないでください)。受講期間中、会社がこのアクセスを許可しない場合は、別のノートパソコンを持参するよう手配してください。
  • ウイルス対策ソフトやエンドポイント保護ソフトが無効になっていること、完全に削除されていること、またはそのための管理者権限を持っていることを確認してください。私たちのコースの多くは、
    オペレーティングシステムへの完全な管理者アクセスを必要とし、これらの製品はラボの達成を妨げる可能性があります。
  • アウトバウンドトラフィックのフィルタリングは、あなたのコースのラボの達成を妨げる可能性があります。ファイアウォールは無効にするか、無効にするための管理者権限を持ってください。
  • VMware Workstation Pro 16.2.X+またはVMware Player 16.2.X+(Windows10ホスト用)、VMware Workstation Pro 17.0.0+またはVMware Player 17.0.0+(Windows11ホスト用)、VMWare Fusion Pro 12.2+またはVMware Fusion Player 11.5+(macOSホスト用)をクラス開始前にダウンロードし、インストールしてください。VMware Workstation ProまたはVMware Fusion Proのライセンスをお持ちでない方は、VMwareから30日間の無料トライアル版をダウンロードできます。VMwareのウェブサイトからトライアルに登録すると、期間限定のシリアル番号が送られてきます。また、VMware Workstation PlayerはVMware Workstation Proよりも機能が少ないことに注意してください。Windowsホスト・システムを使用している場合は、よりシームレスな学生体験のためにWorkstation Proをお勧めします。
  • Windowsホストでは、VMware製品はHyper-Vハイパーバイザーと共存できない場合があります。VMwareが仮想マシンを起動できることを確認してください。そのためには、Hyper-Vを無効にする必要があります。Hyper-V、Device Guard、およびCredential Guardを無効にする方法は、コース教材に付属のセットアップ・ドキュメントに記載されています。
  • 7-Zip (Windows ホスト用) または Keka (macOS ホスト用) をダウンロードしてインストールします。これらのツールは、ダウンロードしたコース教材にも含まれています。

コースのメディアはダウンロードで配信されます。授業で使用するメディアファイルの容量は大きくなります。多くは40~50GBの範囲で、中には100GBを超えるものもあります。ダウンロードが完了するまでに十分な時間を確保する必要があります。インターネット接続と速度は大きく異なり、さまざまな要因に左右されます。そのため、教材のダウンロードにかかる時間の見積もりはできません。リンクを入手したら、すぐにコース・メディアのダウンロードを開始してください。授業初日にはすぐに教材が必要になります。授業の前夜までダウンロードを始めないでください。

教材には「セットアップ手順」が含まれており、ライブ・クラスやオンライン・クラスに参加する前に行うべき重要な手順が記載されています。これらの手順を完了するには、30分以上かかる場合があります。
あなたのクラスでは、ラボの指示に電子ワークブックを使用します。この新しい環境では、2台目のモニターおよび/またはタブレット端末が、コースのラボで作業している間、授業資料を見えるようにしておくのに便利です。

ノートパソコンの仕様についてご質問がある場合は、laptop_prep@sans.org までご連絡ください。

SEC497 コース概要

SEC497は、20年以上の経験を持つ業界のプロフェッショナルによって書かれたオープンソース・インテリジェンス(OSINT)に関する包括的なトレーニングコースです。このコースは、調査を行うためのスキル、さらに磨きをかけるために必要な最も重要なスキル、ツール、メソッドを学ぶために設計されています。SEC497は、情報アナリスト、法執行機関、サイバー脅威情報およびサイバー防衛者、ペンテスター、調査員、その他OSINTのスキルを向上させたい人など、OSINTの世界全体の受講者に実用的な情報を提供します。初心者の方から経験豊富な実務家の方まで、どなたにもお楽しみいただける内容となっています。

SEC497は、日々役立つ実践的なテクニックに重点を置いています。このコースは、OSINT初心者の方にもわかりやすいように構成されており、また、経験者の方には、現実の問題を解決するための武器として追加できる、試行錯誤のツールを提供しています。このコースは、情報に基づいた意思決定を促進するために、システムの仕組みを理解することに重点を置いており、政府機関や民間企業の実際のシナリオに基づいた実践的な演習が含まれています。最先端の研究や異常値技術について議論し、何が可能かを話すだけでなく、実際にやってみることを実践します。コースで扱うトピックの詳細については、以下のシラバスをご覧ください。

ビジネステイクアウェイ
このコースは、あなたの組織を以下の様に支援します:

  • OSINT調査の有効性、効率性、成功率を向上
  • OPSECをしっかり実践しながら、様々なOSINT調査を行えるOSINTチームを構築
  • 組織のオンラインインフラの正確なレポート作成
  • 侵害データを攻めと守りにどのように利用できるかを理解

以下のことができるようになります

  • OPSECを実践しながら、様々なOSINT調査を行うことができる
  • sockパペットアカウントの作成
  • インターネット上で、入手困難であったり既に削除された情報などを見つける
  • ネット上で個人を探し出し、そのネット上での存在を調べる
  • ダークウェブを理解し、効果的に検索する
  • サイバーディフェンス、合併・買収分析、ペンテストなど、組織の重要な領域におけるオンラインインフラの正確なレポートを作成することができる
  • ウェブサイトを所有する人物や、その人物が所有または運営する他のウェブサイトを明らかにすることができる
  • 侵害データの種類を理解し、攻撃と防御のためにどのように使用できるかを理解する
  • ソーシャルメディアデータの効果的な収集と活用
  • 顔認識・顔比較エンジンの理解・活用
  • 大規模なデータセットを迅速かつ簡単にトリアージして、その内容を知ることができる
  • 悪意のある文書や、位置情報を知らせるように設計された文書を特定する

ハンズオンラボ

SEC497は、官公庁や民間企業での実際のシナリオに基づいた29の実践的な演習を用意しています。

このコースでは、以下のものが提供されます

Linux仮想マシン(電子ワークブック付き)

受講対象者

  • OSINTインベスティゲーター
  • サイバー・スレット・インテリジェンス・アナリスト
  • インテリジェンス関係者
  • 法執行機関
  • ペネトレーションテスター/レッドチームメンバー
  • サイバーディフェンダーズ
  • リクルーター
  • ジャーナリスト
  • 研究者紹介
  • デジタルフォレンジック実務担当者
  • 人事担当者

 

NICEフレームワーク

  • データアナリスト(OPM422)
  • 脅威/警告アナリスト(OPM141)
  • オールソースアナリスト (OPM 111)
  • ターゲットネットワークアナリスト(OPM 132
  • 全ソースコレクションマネージャー(OPM 311
  • 全ソース-コレクション要件マネージャ(OPM 312
  • サイバーインテルプランナー(OPM331)
  • サイバーオプスプランナー(OPM332)

前提条件

このコースでは基本的なコンピュータ知識が必要です。

※SEC497は、GIAC(GOSI)認定試験対象コースです。

GIAC Open Source Intelligence

GOSI認定資格は、実務者がOSINTの方法論とフレームワークの強力な基礎を持っており、データ収集、報告、およびターゲットの分析に精通していることを確認します。
オープンソースインテリジェンスの方法論

  • OSINTデータ収集、分析、報告
  • ダークウェブからのデータ収集
  • 運用セキュリティの基礎と考察

講義内容

コース開発者より

「10年以上前に組織で最初のオープンソースインテリジェンス(OSINT)ユニットを立ち上げたとき、ツール、機器、トレーニングの予算がないと言われたことがあります。私はよく冗談で、予算がないことの良い点は、私の決断の多くが非常に簡単になることだ、と言っていました。必要なものがあれば、自分で作るか、使わずに済ませるか、どちらかでした。

そのような背景から、物事がどのように機能し、何が本当に重要なのかを理解する必要があるのです。私は、数え切れないほどのOSINT調査に加えて、10年以上にわたって世界中を飛び回り、さまざまな政府機関でオペレーション・セキュリティ(OPSEC)とOSINTを教え、小さなスタートアップからフォーチュン100の企業まで、数多くの民間企業でコンサルティングを行いました。国際的な逃亡者の追跡を手伝ったり、M&Aのデューデリジェンスレポートのためにオンラインインフラを特定したり、その間に多くの仕事をこなしてきました。このコースでは、何がうまくいき、何がうまくいかないのか、どうすれば最小限の努力とコストで目標を達成できるのか、私の経験を共有することができます。」

- Matt Edmondson

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5
  • DAY6

SEC497.1: OSINT and OPSEC Fundamentals

概要

本コースは、情報を発見、収集、処理するためのツールやテクニックに触れる前に、これらの活動をできるだけ安全かつ効果的に行う方法について議論することから始めます。このセクションでは、まずOSINTプロセスの概要と分析の落とし穴を避けるためのヒントを紹介します。次に、オペレーショナル・セキュリティ(OPSEC)の話に移ります。ブラウザのプラグインやVPNプロバイダーのリストだけでなく、アトリビューションを管理する際に本当に重要なものは何かを見ていきます。私たちの多くは無限の予算を持っているわけではなく、「完璧なOPSEC」を実現することはできませんが、ほとんどの人はその必要はありません。主なリスクと、妥当な予算内でそれを軽減する方法について説明します。

OSINTの大部分は、新しいサイトにアクセスし、ファイルや情報をダウンロードすることです。このトレーニングでは、サイトにアクセスする前に、そのサイトが既知のセキュリティ・リスクであるかどうかを判断したり、ファイルを分析して悪意のあるコンテンツがあるかどうかを判断したりするために使用できる、無料のオンライン・リソースについて説明します。また、カナリートークンの仕組みについて説明し、ハンズオンラボでカナリートークンを作成します。カナリートークンは、私たちの実際のIPアドレスや、私たちのシステムに関するその他の情報を、私たちが知らないうちに教えてしまうことができるファイルです。

架空のアカウント(別名ソックパペット)の作成はここ数年で厳しくなっており、多くのサイトが実際の電話番号や顔画像などの基準を要求しています。本講座では、このような架空のアカウントを作成するための問題点と現在の方法について説明します。

コースセクションの最後には、組織と効率を向上させることができる2つのツールを検討します。Hunchlyはオンラインリサーチをカタログ化するための素晴らしいツールで、Obsidianはメモ書きやその他のさまざまな用途に使える効果的なオープンソースツールです。また、レポートの書き方についても取り上げます。

OSINTの学生の多くは、LinuxのスキルアップをToDoリストに入れているので、セクションの最後には、Linuxのコマンドライン練習のためのオプションラボが用意されています。これは、これらのスキルに取り組みたい学生に、制御された環境でそれを行う機会を提供するものです。

演習

  • アトリビューションの管理
  • 潜在的なマルウェアに対処する
  • カナリアトークン
  • Hunchly
  • Obsidian
  • 【オプション】Linuxコマンドライン実習

トピックス

  • OSINTのプロセス
  • 解析の落とし穴を回避する
  • OPSEC
  • 潜在的なマルウェアの対処
  • カナリアトークン
  • アカウントの作成
  • Hunchly
  • 効果的なノートの取り方
  • レポート作成
  • Linux入門

SEC497.2: Essential OSINT Skills

概要

セクション2では、業界を問わず、すべてのOSINT実務者が身につけるべき基本的なスキルを紹介します。まず、OSINTリソースのキュレーションリストについて簡単に説明し、すぐにウェブの仕組みと検索エンジンを効果的に活用するための基本的な理解に移ります。同じ個人が所有・運営する他のサイトを見つける方法、サイト所有者が見せたくないコンテンツを見る方法、そしていつものようにOPSECへの影響とこれらのタスクを安全に実行する方法について説明します。また、永続的な監視アラートを設定する理由と方法についても説明します。

Webサイトのコンテンツをアーカイブしたり、Webサイトの過去のコンテンツを閲覧したり、他のサイトにWebサイトを訪問させるなど、さまざまな方法を紹介します。インターネットデータの収集と保存、および生データの処理と分析に使用可能なフォーマットへの変換方法について説明します。メタデータから有用な情報を収集する方法については、たとえデータが最初は重要でないように見えても、あるいはまったく表示されなくても、マッピング、画像、分析に役立つサイトを見ていきます。

その後、画像解析について、その方法論、役立つツール、実際の事例を紹介します。さらに、顔認識について、実際の例やオンライン上で人を探すのに使えるリソースについて説明します。最後に、翻訳リソースについて説明します。

このセクションの最後には、オプションでキャップストーンが用意されています。参加者は、ロシアのランサムウェアグループの生のチャットログから始め、ログを分析に使用できる形式に変換するプロセスを経験します。

演習

  • 検索
  • インスタントデータスクレイパー
  • メタデータ
  • リバース画像検索
  • 顔認識
  • 翻訳
  • 【オプション】2日目キャップストーン

トピックス

  • OSINTリンク&ブックマークコレクション
  • Webの基礎と検索エンジン
  • ウェブアーカイブとプロキシサイト
  • ウェブデータの収集と処理
  • メタデータ
  • マッピング
  • 画像解析・逆画像検索
  • 顔認識
  • 翻訳

SEC497.3: Investigating People

概要

本コースのセクション3では、個人またはグループの調査に焦点を当てます。まず、プライバシーについて説明し、次に、個人のアカウントを発見するために、人気のあるサイトのユーザー名と電子メールアドレスを調査するテクニックについて説明します。そして、メールアドレスが詐欺につながる可能性があるかどうかを判断する方法と、そのメールアドレスにつながる個人がいた可能性がある場所について説明します。

多くのOSINT調査は、電話番号や住所などのセレクタから始まり、そのセレクタを個人またはグループに結びつけることを要求されます。ここでは、プリペイド電話番号の所有者を特定するのに役立つものを含め、このために使用できる多くのリソースとテクニックを取り上げます。

このセクションでは、Facebookの高度な検索、削除されたTwitterデータの閲覧やTwitterボットの分析など、ソーシャルメディアサイトに焦点を当てます。また、ソーシャルメディアサイトのアカウントを持っていなくてもコンテンツを閲覧する方法、代替のソーシャルメディアサイトの検索と分析、ソーシャルメディアデータのジオロケーション、トレンド、センチメント、レピュテーションについても説明します。

演習

  • ユーザーネームの調査
  • Keybase
  • 電子メール
  • ツイッター
  • Twitterボット解析

トピックス

  • プライバシー
  • ユーザー名
  • メールアドレス
  • 住所・電話番号
  • ソーシャルメディア入門
  • フェイスブック
  • ツイッター
  • その他のソーシャルメディアサイト
  • ジオロケーション
  • トレンド、センティメント、ボット

SEC497.4: Investigating Websites and Infrastructure

概要

セクション4では、ウェブサイト、IPアドレス、クラウドを含むその他のインフラを調査します。技術に詳しくない受講生のために、これらの要素がどのようなもので、どのように機能するのかを時間をかけて説明し、これらの要素が捜査にどのように役立ったかについて、多くの実例を紹介します。このコースは、技術的なトピックを重視しないアナリストにとっても重要です。技術的な要素の仕組みを理解することで、調査中に落とし穴に落ちる可能性が低くなるからです。

サイバー脅威インテリジェンスなど、技術的なトピックを重視する受講生には、以下のようなトピックについてできるだけ多く学ぶために、さまざまなツールやリソースを取り上げることになるでしょう。

  • IPアドレスが世界のどこにあるのか、それがVPN/プロキシ/Torのノードなのかどうか
  • IPv6が異なる理由と、それが調査にとって良いことかもしれない理由
  • 過去のWHOISデータ
  • DNSレコードの理解
  • 証明書の透明性が防御者・攻撃者にとって優れている理由
  • メールのヘッダーから学べること
  • 列挙と、潜在的には匿名化解除のためのサブドメイン
  • ShodanCensysのようなテクノロジーに特化したサーチエンジン
  • サイバー脅威インテリジェンス
  • クラウド上の機密データを見つける

このコースでは、物事の仕組みを理解し、実例やケーススタディを学び、最先端の研究に目を向け、創造的な方法でツールを使用し、ほとんどの人が可能だと知らなかったことを実現することをミックスしています。

演習

  • IPアドレス調査
  • WHOIS
  • DNS
  • Amass Eyewitness
  • Censys Shodan
  • Buckets of Fun

トピックス

  • IPアドレス
  • 共通ポート
  • WHOIS
  • DNS
  • 証明書の透明性
  • メールヘッダー
  • サブドメイン
  • テクノロジーに特化した検索エンジン
  • サイバー脅威インテリジェンス
  • クラウド

SEC497.5: Automation, the Dark Web, and Large Data Sets

概要

セクション5は、ビジネスやトランジションの調査から、デジタル・フォレンジック・データや調査場所の充実のためのWi-Fi名の使用など、OSINTのためのワイヤレスのカバーまで、楽しいトピックが混在しています。また、様々なタイプの侵害データと、それを様々なOSINTやサイバーディフェンダーの目的にどのように利用できるかを探ります。

OSINTの仕事を長く続けていると、やがて巨大なデータの山が目の前に置かれ、誰かがその中身を聞いてくるようになります。あなたの仕事によっては、これはもう日常茶飯事かもしれません。このセクションでは、無料または安価なリソースを使用して、大規模なデータセットを効果的かつ迅速にトリアージし、検索する方法を説明します。

また、ダークウェブについて深く掘り下げ、その仕組みや探し方、期待される発見について説明します。ダークウェブに流出した情報漏洩のケーススタディや、ダークウェブのダウンロードを高速化するためのトリックも紹介します。また、暗号通貨に関する短いセクションも設け、Web 3.0NFTに焦点を当て、暗号通貨取引を追跡できるリソースに主に焦点を当てます。

コースのセクションが終わりに近づくにつれ、プログラミングを必要としないさまざまな自動化オプションについて説明します。セクションの最後の部分は「path forward」と呼ばれ、OSINT学習の旅を続けるのに役立つさまざまなリソースを取り上げています。

演習

  • 事業内容
  • ワイヤレス
  • バルクデータトリアージ
  • TorPGP
  • 侵害されたデータ

トピックス

  • 企業研究
  • ワイヤレス
  • 心願されたデータ
  • 大規模データセットへの対応
  • ダークウェブ
  • クリプトカレンシー
  • オートメーション
  • パスフォワード

SEC497.6: Capstone: Capture the Flag

概要

SEC497コースのキャップストーンは、数時間のキャプチャ・ザ・フラッグイベントで、受講生は小さなグループに分かれて協力して、架空のクライアントの脅威評価を作成します。このアセスメントを作成するために、コースで学んだスキルを使用する必要があります。アセスメントはクライアント(講師)に提出され、講師が各グループにフィードバックを行います。

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。

ニュースレター登録
資料ダウンロード
お問い合わせ