SECURITY 540

SEC540 PC設定詳細

システムハードウェア要件

• CPU 64ビットIntel i5/i7（第8世代以降）またはAMD同等品。このクラスでは64ビット、2.0GHz以上のプロセッサが必須。
• 重要： M1/M2プロセッサーを使用したAppleシステムは、必要な仮想化機能を実行できないため、このコースには使用できません。
• 「Intel-VTx」や「AMD-V」拡張機能など、仮想化技術を有効にするためのBIOS設定が必要です。変更が必要な場合に備えて、BIOSがパスワードで保護されている場合は、絶対にアクセスできるようにしてください。
• 16GB以上のRAMが必要です。
• 65GB以上のストレージ空き容量が必要です。
• 利用可能なUSB 3.0 Type-Aポートが1つ以上あること。新しいノートパソコンには、Type-CからType-Aへのアダプタが必要な場合があります。エンドポイントプロテクションソフトウェアの中にはUSBデバイスの使用を禁止しているものもありますので、授業前にUSBドライブでシステムをテストしてください。
• ワイヤレスネットワーク（802.11規格）が必要です。教室では有線のインターネット接続はできません。

このコースに必要なクラウドアカウント

• AWSまたはAzureのいずれかを選択し、授業中にラボを行います。授業終了後、各自で別のクラウドプロバイダーを使用してラボを行うことも可能です。
• 対面授業およびライブオンライン授業の受講生には、授業期間中AWSアカウントが提供されます。Azureラボの受講を希望する学生は、コース開始前にAzureサブスクリプションを用意する必要があります。この手順については、コースのセットアップ手順に記載されています。ラボの指示に従った場合、Azureの使用料は1週間あたり100ドル未満になります。
• OnDemand の受講生は、クラスのアクセス期間中に AWS および/または Azure アカウントの提供を要求することができます。

ホストの必須構成とソフトウェア要件

• ホストのオペレーティングシステムは、Windows 10、Windows 11、または macOS 10.15.x 以降の最新バージョンである必要があります。
• 授業前にホスト OS を完全にアップデートし、適切なドライバとパッチがインストールされていることを確認してください。
• Linuxホストはバリエーションが多いため、教室ではサポートしていません。Linuxをホストとして使用する場合、コース教材および/またはVMと連動するように設定する責任は各自にあります。
• ローカル管理者アクセスが必要です。(これは絶対に必要です。ITチームにそうでないと言わせないでください)。受講期間中、会社がこのアクセスを許可しない場合は、別のノートパソコンを持参するよう手配してください。
• ウイルス対策ソフトやエンドポイント保護ソフトが無効になっていること、完全に削除されていること、またはそのための管理者権限を持っていることを確認してください。私たちのコースの多くは、オペレーティングシステムへの完全な管理者アクセスを必要とし、これらの製品はラボの達成を妨げる可能性があります。
• アウトバウンドトラフィックのフィルタリングは、あなたのコースのラボの達成を妨げる可能性があります。ファイアウォールは無効にするか、無効にするための管理者権限を持ってください。
• VMware Workstation Pro 16.2.X+またはVMware Player 16.2.X+（Windows 10ホスト用）、VMware Workstation Pro 17.0.0+またはVMware Player 17.0.0+（Windows 11ホスト用）、VMWare Fusion Pro 12.2+またはVMware Fusion Player 11.5+（macOSホスト用）を授業開始前にダウンロードし、インストールしてください。VMware Workstation ProまたはVMware Fusion Proのライセンスをお持ちでない方は、VMwareから30日間の無料トライアル版をダウンロードできます。VMwareのウェブサイトからトライアルに登録すると、期間限定のシリアル番号が送られてきます。また、VMware Workstation PlayerはVMware Workstation Proよりも機能が少ないことに注意してください。Windowsホスト・システムを使用している場合は、よりシームレスな学生体験のためにWorkstation Proをお勧めします。
• Windowsホストでは、VMware製品はHyper-Vハイパーバイザーと共存できない場合があります。VMwareが仮想マシンを起動できることを確認してください。そのためには、Hyper-Vを無効にする必要があります。Hyper-V、Device Guard、およびCredential Guardを無効にする方法は、コース教材に付属のセットアップ・ドキュメントに記載されています。
• 7-Zip (Windows ホスト用) または Keka (macOS ホスト用) をダウンロードしてインストールします。これらのツールもダウンロードしたコース教材に含まれています。

これらの手順が完了すると、講義のメディアがダウンロードで配信されます。クラスのメディアファイルは大きくなります。多くは40～50GBの範囲で、中には100GBを超えるものもあります。ダウンロードが完了するまでには、十分な時間が必要です。インターネット接続と速度は、多くの異なる要因によって大きく異なります。そのため、教材のダウンロードにかかる時間の目安をお知らせすることはできません。リンクを入手したら、コースメディアのダウンロードを開始してください。授業初日には、コースメディアがすぐに必要になります。授業開始の前夜にダウンロードを開始すると、失敗する可能性が高くなります。

コース教材には「セットアップ手順」という文書が含まれており、ライブ・クラスに参加する前、またはオンライン・クラスを開始する前に行わなければならない重要な手順の詳細が記載されています。これらの手順を完了するには、30分以上かかる場合があります。

クラスでは、PDFに加え、電子ワークブックを使用しています。電子ワークブックを使用するクラスは、今後急速に増加すると思われます。この新しい環境では、セカンドモニターやタブレット端末があれば、講師の講義中やラボでの演習中に、授業資料を常に確認することができ、便利です。

ノートパソコンの仕様についてさらにご質問がある場合は、laptop_prep@sans.org までご連絡ください。

「クラウドの進化は早い。自動化で遅れをとらないように。」

DevOps文化に悩む組織に共通するセキュリティ上の課題には、次のようなものがあります。

• 変更承認や監査要件に対して、前もってピアコードレビューやセキュリティ承認が行われない場合がある
• インフラストラクチャとアプリケーションのスキャンが欠落していると、攻撃者が侵入口を見つけ、システムを危険にさらす可能性がある。
• クラウドセキュリティの設定ミスにより、機密データが公開されてしまったり、新たなデータ流出経路が発生する可能性がある

セキュリティチームは、DevOpsツールの使用やクラウドファーストのベストプラクティスなどを基に組織がこれらの問題を防止できるよう支援することができます。このコースでは、開発、運用、セキュリティの専門家が、クラウドインフラとソフトウェアの構築と配信に使用されるDevOps手法を深く理こうｇ、実際に体験することができます。バージョン管理から継続的インテグレーション、クラウドワークロードの実行まで、DevOpsのワークフロー全体を攻撃し、強化する方法を学びます。各ステップにおいて、オンプレミスおよびクラウドホストシステムの信頼性、完全性、セキュリティを向上させるために必要なセキュリティコントロール、設定、ツールを探ります。また、クラウドインフラとサービスの構築、テスト、展開、監視のために、20以上のDevSecOpsセキュリティ制御を実装する方法を学びます。

「SANSでこれまで受講した中で最高の講義でした。このコースは、授業が終わった後、職場に戻ってすぐに日々の業務に生かすことができるコースです。私はすでにチームのSlackチャンネルで、この講義を受けるすべきだと伝えました。
- Brian Esperanza, Teradata 

「この講義に私が参加させた人は全員、このクラスを気に入っています。セキュリティの概念を超えて、最新の運用とDevOpsの仕組みを教えてくれるので、彼らにとっては変革のきっかけになりました。また、クラウドで開発したい、Infrastructure as Codeのような概念に触れたいと考えている開発者（まだクラウドで仕事をしていない人）にとっても、インパクトのある内容です。
- Brett Cumming

ビジネス上の学び 

• 最新のクラウドセキュリティとDevSecOpsの実践を理解するセキュリティチームを構築
• DevOps およびエンジニアリング チームと連携し、自動化されたパイプラインにセキュリティを導入
• クラウド サービスと自動化を活用してセキュリ ティ機能を向上
• クラウドへの移行やデジタルトランスフォーメーションに対応できる組織を構築

習得するスキル

• DevOps の仕組みを理解し、 成功の鍵を知る
• 自動化された CI/CD パイプラインとワークフローにセキュリティスキャンを導入する
• 運用部門から技術部門への継続的な監視のフィードバックループを構築する
• Infrastructure as Code (IaC) を使用した構成管理の自動化
• コンテナ技術（Docker や Kubernetes など）のセキュリティを確保する
• ネイティブのクラウドセキュリティサービスとサードパーティツールを使用して、システムとアプリケーションを保護する
• 継続的インテグレーションサーバとアプリケーションの秘密を安全に管理する
• クラウドのロギングとメトリックを統合する
• コンプライアンスとセキュリティポリシーの継続的なスキャンを実行する

ハンズオントレーニング

SEC540は、従来の講義にとどまらず、コースの各セクションで技術を実践的に応用することができるようになっています。各ラボには、ハンズオンテクニックを学び、適用するためのステップバイステップのガイドと、ガイドに従わずにどこまでできるかを確認し、スキルを伸ばしたい受講生のために「ノーヒント」アプローチも含まれています。このため、受講者はバックグラウンドに関係なく、自分に最適と思われる難易度を選ぶことができます。また、実践的なラボにより、理論だけでなく、各セキュリティ制御の設定と実装の方法を確実に理解することができます。

SEC540のラボ環境は、実際のDevOps環境をシミュレートしており、DevOpsコンテナイメージの構築、クラウド基盤、ゴールドイメージ作成の自動化、コンテナ化ワークロードのオーケストレーション、セキュリティスキャンの実行、コンプライアンス基準の適用を担う10以上の自動パイプラインを備えています。受講者は、技術的なスキルを磨き、さまざまなコマンドラインツール、プログラミング言語、およびマークアップテンプレートを使用して、セキュリティに焦点を当てた20以上の課題を自動化することに挑戦します。

SEC540コースのラボには、AWS版とAzure版の両方があります。受講者は、授業の最初に、コース期間中に使用するクラウドプロバイダを1つ選択します。最初のラボセットを終了した後は、各自の時間で両方のクラウドプロバイダのラボを行うことができます。

上級者向けには、毎日2時間のCloudWarsボーナスチャレンジが用意されています。これらのCloudWarsチャレンジは、クラウドとDevOpsツールチェーンのハンズオン体験を提供します。

セクション1：DevOpsツールチェーンの攻撃、バージョンコントロールのセキュリティ、静的解析の自動化、Vaultで秘密を守る、CloudWars：クラウドとDevOpsセキュリティのボーナスチャレンジ
セクション2：Infrastructure as Codeネットワークハードニング、ゴールドイメージの作成、コンテナセキュリティハードニング、動的解析の自動化、CloudWars：クラウドとDevOpsセキュリティのボーナスチャレンジ
セクション３：クラウドワークロードセキュリティの見直し、クラウドホスト型CI/CDガードレイル、継続的なセキュリティ監視、データ保護サービス、CloudWars：クラウドとDevOpsセキュリティのボーナスチャレンジ
セクション4：ブルー/グリーン環境を使用したセキュリティパッチの展開、署名付きURLによるコンテンツ配信ネットワークの保護、APIゲートウェイによるREST Webサービスの保護、サーバーレスおよびJSON WebトークンによるAPIの保護、CloudWars：クラウドとDevOpsセキュリティのボーナスチャレンジ
セクション5：クラウドセキュリティポスチャ管理、WAFによる攻撃のブロック、クラウドカストディアンによる自動修復、CloudWars：クラウドとDevOpsセキュリティのボーナスチャレンジ

“ラボは本当に素晴らしい。何時間もかけて作られたことが分かります。本当によく構築されていて、素晴らしい練習になりました。”
- David Heaton, Grange Insurance 

“ラボは、全体の中で最も良いものでした。よく整備されているので、これからも続けてください。”
- Richard Ackroyd, PwC

“使用するスクリプトが非常に豊富で、活用できる。”
 - Ravi Balla, GE

“楽しくてわかりやすい。すべてが魅力的に機能した。”
- Kenneth Jordan, Openaltar

シラバスの概要

セクション1：DevOpsツールチェーンの攻撃とハードニング
セクション2：クラウドインフラ、コンテナ、およびアプリケーションの保護
セクション3：クラウドワークロードの保護、監視、データ保護
セクション4：コンテンツ、API、サーバーレスの保護
セクション5：コンプライアンス、攻撃防御、修復の自動化

追加のフリー素材 

ポスター、チートシート、リスト

• Nine Key Cloud Security Concentrations & SWAT Checklist
• Fix Security Issues Left of Prod
• CWE/SANS Top 25 Most Dangerous Software Errors
• Security Web Application Technologies (SWAT) Checklist

ウェブキャスト

• Extending DevSecOps Security Controls into the Cloud: A SANS Survey
• Winning in the Dark: Defending Serverless Infrastructure in the Cloud
• Attacking and Defending Cloud Metadata Services
• Cloud Security and DevOps Automation: Keys for Modern Security Success

ツール

クラウドセキュリティツールの一覧はこちら、すべてSEC540に適用可能です。
https://www.sans.org/cloud-security/tools/

受け取るもの

• 印刷されたコースウェアと電子コースウェア
• コースの仮想マシン(VM)を含むISO
• 事前構築されたDevOps CI/CDツールチェーン、クラウドセキュリティ、およびDevSecOpsラボ演習を含むコースVM
• AWSとAzureのインフラストラクチャをデプロイするためのCloudFormationとTerraformのコード
• VMでホストされるWikiと、ラボ演習を完了するための電子ラボワークブック
• Infrastructure as Code (IaC) とコースのVMを無期限に使用し、コース終了後も学習を継続することが可能です。

次に受講すべきコース:

現在の職務や将来の計画に応じて、これらのコースのいずれかを受講することで、クラウドセキュリティの次のステップに進むことができます。

DevSecOps プロフェッショナル

• SEC522: Application Security: Web Applications, APIs, and Microservices

クラウドセキュリティエンジニア:

• SEC510: Public Cloud Security: AWS, Azure, and GCP
• SEC541: Cloud Security Attacker Techniques, Monitoring, and Threat Detection
• SEC588: Cloud Penetration Testing

クラウドセキュリティアーキテクト:

• SEC549: Enterprise Cloud Security Architecture

クラウドセキュリティマネージャー:

• MGT516: Managing Security Vulnerabilities: Enterprise and Cloud
• MGT520: Leading Cloud Security Design and Implementation

その他の受講における注意事項

ラボの準備とセットアップのため、最初のセッションの30分前に到着するように計画してください（ただし、Azureでラボを完了することを選択した場合は、Azureアカウントの取得をこれより前に行う必要があります）。この間に、学生はクラウドアカウントが適切に設定されていることを確認し、ノートパソコンで仮想化が有効になっていることを確認し、ラボのファイルをコピーし、Linux仮想マシンを起動します。ライブ授業（オンラインまたは対面）の場合、講師はコース開始時間の30分前にノートパソコンの準備とセットアップをサポートします。講義は、予定されたコース開始時刻に開始されます。
ラボを修了するために、受講生はパブリッククラウドプロバイダーにインフラをデプロイします。SANSから提供されるアカウントと、授業に持参する必要のある個人アカウントの詳細については、以下の「ノートパソコンの必要条件」をご確認ください。

• パブリッククラウド環境へのシステム移行を考えている方
• DevOps環境への移行を考えている方
• クラウドやDevOps Continuous Deliveryパイプラインにセキュリティチェックやテスト、その他のコントロールをどのように導入すればよいかを理解したい方
• DevOpsワークロードのクラウド（特にAWS）移行に興味がある方
• AWSが提供するクラウドアプリケーションセキュリティサービス活用に興味がある方
• 開発者
• ソフトウェアアーキテクト
• 運用エンジニア
• システム管理者
• セキュリティ分析官
• セキュリティエンジニア
• 監査人
• リスク管理者
• セキュリティコンサルタント
  
  

GIAC Cloud Security Automation

GCSA認定は、DevSecOpsの方法論とツールチェーンの理解、および自動化されたセキュアなDevOpsパイプライン全体にセキュリティ制御を実装するスキルを検証します。GCSA認定者は、クラウドホスト型システムの信頼性、完全性、およびセキュリティを向上させるために必要なツール、セキュリティ管理、および構成に関する知識を実証しています。

• DevOpsの基礎、DevSecOpsのセキュリティ制御、クラウドセキュリティの基礎、コードとしてのセキュアなインフラストラクチャ
• コードとしての構成管理; コンテナセキュリティ; クラウドアーキテクチャのセキュリティ確保; 継続的なセキュリティ監視
• データ保護と秘密管理、デプロイメントオーケストレーションと安全なコンテンツ配信
• マイクロサービスセキュリティ、サーバーレスセキュリティ、ランタイムセキュリティ自動化、コードとしてのコンプライアンス