以下の「お申し込み」を押すと、NRIセキュアのお申し込みサイトに遷移します。
Cloud Security and DevSecOps Automation
Cloud Security
English2025年3月10日(月)~2025年3月14日(金)
1日目:9:00-19:30
2日目~5日目:9:30-19:30
◆LiveOnline形式
オンライン
早期早割価格:1,300,000円(税込み 1,430,000円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。
通常価格:1,420,000円(税込み 1,562,000円)
※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
これらの手順が完了すると、講義のメディアがダウンロードで配信されます。クラスのメディアファイルは大きくなります。多くは40~50GBの範囲で、中には100GBを超えるものもあります。ダウンロードが完了するまでには、十分な時間が必要です。インターネット接続と速度は、多くの異なる要因によって大きく異なります。そのため、教材のダウンロードにかかる時間の目安をお知らせすることはできません。リンクを入手したら、コースメディアのダウンロードを開始してください。授業初日には、コースメディアがすぐに必要になります。授業開始の前夜にダウンロードを開始すると、失敗する可能性が高くなります。
コース教材には「セットアップ手順」という文書が含まれており、ライブ・クラスに参加する前、またはオンライン・クラスを開始する前に行わなければならない重要な手順の詳細が記載されています。これらの手順を完了するには、30分以上かかる場合があります。
クラスでは、PDFに加え、電子ワークブックを使用しています。電子ワークブックを使用するクラスは、今後急速に増加すると思われます。この新しい環境では、セカンドモニターやタブレット端末があれば、講師の講義中やラボでの演習中に、授業資料を常に確認することができ、便利です。
ノートパソコンの仕様についてさらにご質問がある場合は、laptop_prep@sans.org までご連絡ください。
「クラウドの進化は早い。自動化で遅れをとらないように。」
DevOps文化に悩む組織に共通するセキュリティ上の課題には、次のようなものがあります。
セキュリティチームは、DevOpsツールの使用やクラウドファーストのベストプラクティスなどを基に組織がこれらの問題を防止できるよう支援することができます。このコースでは、開発、運用、セキュリティの専門家が、クラウドインフラとソフトウェアの構築と配信に使用されるDevOps手法を深く理こうg、実際に体験することができます。バージョン管理から継続的インテグレーション、クラウドワークロードの実行まで、DevOpsのワークフロー全体を攻撃し、強化する方法を学びます。各ステップにおいて、オンプレミスおよびクラウドホストシステムの信頼性、完全性、セキュリティを向上させるために必要なセキュリティコントロール、設定、ツールを探ります。また、クラウドインフラとサービスの構築、テスト、展開、監視のために、20以上のDevSecOpsセキュリティ制御を実装する方法を学びます。
「SANSでこれまで受講した中で最高の講義でした。このコースは、授業が終わった後、職場に戻ってすぐに日々の業務に生かすことができるコースです。私はすでにチームのSlackチャンネルで、この講義を受けるすべきだと伝えました。
- Brian Esperanza, Teradata
「この講義に私が参加させた人は全員、このクラスを気に入っています。セキュリティの概念を超えて、最新の運用とDevOpsの仕組みを教えてくれるので、彼らにとっては変革のきっかけになりました。また、クラウドで開発したい、Infrastructure as Codeのような概念に触れたいと考えている開発者(まだクラウドで仕事をしていない人)にとっても、インパクトのある内容です。
- Brett Cumming
SEC540は、従来の講義にとどまらず、コースの各セクションで技術を実践的に応用することができるようになっています。各ラボには、ハンズオンテクニックを学び、適用するためのステップバイステップのガイドと、ガイドに従わずにどこまでできるかを確認し、スキルを伸ばしたい受講生のために「ノーヒント」アプローチも含まれています。このため、受講者はバックグラウンドに関係なく、自分に最適と思われる難易度を選ぶことができます。また、実践的なラボにより、理論だけでなく、各セキュリティ制御の設定と実装の方法を確実に理解することができます。
SEC540のラボ環境は、実際のDevOps環境をシミュレートしており、DevOpsコンテナイメージの構築、クラウド基盤、ゴールドイメージ作成の自動化、コンテナ化ワークロードのオーケストレーション、セキュリティスキャンの実行、コンプライアンス基準の適用を担う10以上の自動パイプラインを備えています。受講者は、技術的なスキルを磨き、さまざまなコマンドラインツール、プログラミング言語、およびマークアップテンプレートを使用して、セキュリティに焦点を当てた20以上の課題を自動化することに挑戦します。
SEC540コースのラボには、AWS版とAzure版の両方があります。受講者は、授業の最初に、コース期間中に使用するクラウドプロバイダを1つ選択します。最初のラボセットを終了した後は、各自の時間で両方のクラウドプロバイダのラボを行うことができます。
上級者向けには、毎日2時間のCloudWarsボーナスチャレンジが用意されています。これらのCloudWarsチャレンジは、クラウドとDevOpsツールチェーンのハンズオン体験を提供します。
セクション1:DevOpsツールチェーンの攻撃、バージョンコントロールのセキュリティ、静的解析の自動化、Vaultで秘密を守る、CloudWars:クラウドとDevOpsセキュリティのボーナスチャレンジ
セクション2:Infrastructure as Codeネットワークハードニング、ゴールドイメージの作成、コンテナセキュリティハードニング、動的解析の自動化、CloudWars:クラウドとDevOpsセキュリティのボーナスチャレンジ
セクション3:クラウドワークロードセキュリティの見直し、クラウドホスト型CI/CDガードレイル、継続的なセキュリティ監視、データ保護サービス、CloudWars:クラウドとDevOpsセキュリティのボーナスチャレンジ
セクション4:ブルー/グリーン環境を使用したセキュリティパッチの展開、署名付きURLによるコンテンツ配信ネットワークの保護、APIゲートウェイによるREST Webサービスの保護、サーバーレスおよびJSON WebトークンによるAPIの保護、CloudWars:クラウドとDevOpsセキュリティのボーナスチャレンジ
セクション5:クラウドセキュリティポスチャ管理、WAFによる攻撃のブロック、クラウドカストディアンによる自動修復、CloudWars:クラウドとDevOpsセキュリティのボーナスチャレンジ
“ラボは本当に素晴らしい。何時間もかけて作られたことが分かります。本当によく構築されていて、素晴らしい練習になりました。”
- David Heaton, Grange Insurance
“ラボは、全体の中で最も良いものでした。よく整備されているので、これからも続けてください。”
- Richard Ackroyd, PwC
“使用するスクリプトが非常に豊富で、活用できる。”
- Ravi Balla, GE
“楽しくてわかりやすい。すべてが魅力的に機能した。”
- Kenneth Jordan, Openaltar
セクション1:DevOpsツールチェーンの攻撃とハードニング
セクション2:クラウドインフラ、コンテナ、およびアプリケーションの保護
セクション3:クラウドワークロードの保護、監視、データ保護
セクション4:コンテンツ、API、サーバーレスの保護
セクション5:コンプライアンス、攻撃防御、修復の自動化
ポスター、チートシート、リスト
ウェブキャスト
ツール
クラウドセキュリティツールの一覧はこちら、すべてSEC540に適用可能です。
https://www.sans.org/cloud-security/tools/
現在の職務や将来の計画に応じて、これらのコースのいずれかを受講することで、クラウドセキュリティの次のステップに進むことができます。
DevSecOps プロフェッショナル
クラウドセキュリティエンジニア:
クラウドセキュリティアーキテクト:
クラウドセキュリティマネージャー:
ラボの準備とセットアップのため、最初のセッションの30分前に到着するように計画してください(ただし、Azureでラボを完了することを選択した場合は、Azureアカウントの取得をこれより前に行う必要があります)。この間に、学生はクラウドアカウントが適切に設定されていることを確認し、ノートパソコンで仮想化が有効になっていることを確認し、ラボのファイルをコピーし、Linux仮想マシンを起動します。ライブ授業(オンラインまたは対面)の場合、講師はコース開始時間の30分前にノートパソコンの準備とセットアップをサポートします。講義は、予定されたコース開始時刻に開始されます。
ラボを修了するために、受講生はパブリッククラウドプロバイダーにインフラをデプロイします。SANSから提供されるアカウントと、授業に持参する必要のある個人アカウントの詳細については、以下の「ノートパソコンの必要条件」をご確認ください。
以下は、SEC540の前提条件となるコースまたは同等の経験です。
SEC540に向けた準備
SEC540の受講生は、ハンズオンで多くのDevOpsツールやクラウドツールを学習・使用する機会があります。以下のツール、技術、言語について先取りしておくと、ラボでの体験がより楽しくなります。
GCSA認定は、DevSecOpsの方法論とツールチェーンの理解、および自動化されたセキュアなDevOpsパイプライン全体にセキュリティ制御を実装するスキルを検証します。GCSA認定者は、クラウドホスト型システムの信頼性、完全性、およびセキュリティを向上させるために必要なツール、セキュリティ管理、および構成に関する知識を実証しています。
「DevOps とクラウドは、組織がオンライン・システムを設計、構築、デプロイ、運用する方法を根本的に変えています。Amazon、Microsoft、Google、Netflix などの大手企業は、毎日何百、何千もの変更を導入し、継続的に学習、改善、成長し、競合他社を大きく引き離しています。現在、DevOpsとクラウドは、インターネットの「ユニコーン」やクラウドプロバイダからエンタープライズへの道を歩み始めています。
「セキュリティに対する従来のアプローチでは、このような変化のスピードについていけません。組織内の「混乱の壁」を取り払ったエンジニアリングチームやオペレーションチームは、Infrastructure as Code、Continuous Delivery、Continuous Deployment、マイクロサービス、コンテナ、クラウドサービス・プラットフォームなど、新しい種類の自動化をますます活用するようになりました。問題は、セキュリティがツールや自動化を活用して、システムの安全性を高めることができるかどうかです。
"DevOpsとクラウドの世界では、セキュリティを再発明する必要がある"
- Eric Johnson, Ben Allen, and Frank Kim
"素晴らしい講師で、自身の経験からDevOpsの実例を挙げ、余分な概念やコマンドをその場でデモしてくれる(hashicorp terraform)。"
- Eden Kang
SEC540は、脆弱なバージョン管理および継続的インテグレーションシステムの構成を攻撃することによって、DevOpsの実践、原則、およびツールを紹介することから始めます。受講者は、ツールチェーンの仕組みや、これらのシステムがもたらすリスクについて深く理解し、ワークフローを危険にさらす可能性のある主要な弱点を特定することができます。次に、Jenkins、GitHub、GitLab、Azure DevOps、AWS CodePipelineなどのさまざまな継続的インテグレーション(CI)および継続的デリバリー(CD)システムで利用できるセキュリティ機能を検証し、環境のハードニングを開始します。様々なコード解析ツールを自動化し、安全に保存されていない秘密を発見した後、HashiCorp Vault、AWS Secrets Manager、Azure Key Vaultなどの秘密管理ソリューションに機密データを保存することに焦点を当てます。
DevOpsとセキュリティの課題
DevOpsツールチェイン
DevOpsツールやワークフローのセキュリティ確保
プレコミットセキュリティコントロール
セキュリティ・コントロールのコミット
シークレットの管理
セクション 2 では、AWS CloudFormation と Terraform を使用して、150 以上のクラウドリソースを使用したコード駆動型のクラウドインフラを展開するために、DevOps スキルを使用することに挑戦します。クラウドネットワークの評価を行い、安全でないネットワーク構成を特定し、ネットワークトラフィックフローのルールを強化します。クラウド仮想マシンに移り、Ansible、Vagrant、Packerを使用して構成管理を自動化し、ゴールドイメージを構築する方法を学びます。最後に、クラウドにワークロードをデプロイする前に、コンテナイメージのスキャンとハードニングに焦点を当てます。
コードとしてのクラウド基盤
コードとしての構成管理
コンテナのセキュリティ
アクセプタンスステージのセキュリティ
セクション 3 では、AWS Elastic Container Service (ECS) や Azure Kubernetes Service (AKS) などのクラウド ネイティブ オーケストレーション サービスでコンテナ化ワークロードを展開および実行するための準備を行います。クラウドのリソースを分析し、一般的なセキュリティ設定のミスを特定し、自動化を活用してワークロードのセキュリティを迅速に確保します。その後、ワークロードの監視、ログファイルの分析、リアルタイムでの攻撃の検出、セキュリティチームへのアラート送信に焦点を当てます。最後に、クラウドネイティブのデータ保護機能および機密データの暗号化について学習します。
クラウドデプロイメントとオーケストレーション
クラウドワークロードセキュリティ
クラウドCI/CDにおけるセキュリティ
継続的なセキュリティ監視
データ保護サービス
セクション4 では、まず、クラウドネイティブサービスを活用して、コンテナ化されたワークロードにパッチを適用し、コンテンツ配信ネットワークを保護する方法について学習します。そこから、マイクロサービスアーキテクチャ、ベストプラクティス、APIゲートウェイによるマイクロセグメンテーションに話が移っていきます。最後に、Lambda や Azure Functions など、FaaS (Functions as a Service) の構築とデプロイ方法、およびマイクロサービス環境にガードレールを追加するためのリソースを学習します。
ブルー・グリーンデプロイオプション
セキュアなコンテンツデリバリー
マイクロサービス・セキュリティ
サーバーレスのセキュリティ
セクション5では、クラウドサービスを活用してセキュリティコンプライアンスを自動化する方法を学びます。まず、Cloud Security Posture Management(CSPM)ソリューションを使って、クラウド基盤のセキュリティ問題を検出します。次に、クラウドネイティブのWeb Application Firewall(WAF)サービスを使って、監視、攻撃検知、アクティブディフェンス機能を有効にし、悪質な行為者を捕まえてブロックします。その後、DevOpsでの作業と、それがポリシーやコンプライアンスにどのような影響を与えるかについて議論します。コース終了時には、Cloud Custodianを使用して自動修復するためのポリシーをコードとして記述する方法と、クラウド設定のドリフトを検出して修正する方法を学習します。
継続的なコンプライアンス
ランタイムセキュリティ保護