NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Security Essentials: Network, Endpoint, and Cloud
Cyber Defense Essentials
English2022年10月17日(月)~10月22日(土)
1日目: 9:00-19:30
2日目~5日目: 9:30-19:30
6日目: 9:30-17:30
◆LiveOnline形式
オンライン
◆Onsite形式
御茶ノ水トライエッジカンファレンス(https://try-edge.infield95.com/)
東京都千代田区神田駿河台4-2-5 御茶ノ水NKビル(トライエッジ御茶ノ水)11階
【日本語コース応援キャンペーン価格※】940,000 円(税込み 1,034,000円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。
【通常価格】990,000 円(税込み 1,089,000円)
※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。
※コース本体のお申し込み後から講義開始までの間に、GIAC試験オプションを追加される場合は、事務手数料10,000円(税込み11,000円)をいただきます。
※講義開始後のGIAC試験のお申込みは、こちらのページ(英語)をご参照のうえ、GIACへ直接お申し込みください。
※講義開始後の英語教材の追加お申し込みは承れませんのでご了承ください。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
重要! 下記の条件を満たしたご自身のシステムをご持参ください。
このコースを完全に受講するには、適切に設定されたシステムが必要です。下記の説明をよくお読みいただき、事前にご準備をお願いいたします。授業の前にシステムのバックアップを取っておくことが重要です。 また、機密データが保存されているシステムは持ち込まないようにお願いします。
オペレーティングシステム
・最新のWindows 10、macOS 10.15.x以降、または後述のVMware仮想化製品をインストールして実行可能なLinuxが動作していること。
・Windows Credential Guardが無効であること(ホストOSとしてWindowsを使用している場合)。
・重要な注意:M1プロセッサーを使用したAppleシステムは、必要な仮想化機能を実行できないため、このコースには一切使用できません。
CPU
・64ビット Intel i5/i7 2.0+ GHzプロセッサ
・システムのプロセッサは、64ビットのインテルi5またはi7 2.0GHzプロセッサ以上である必要があります。Windows 10で確認するには、Windowsキー+「I」を押して「設定」を開き、「システム」、「バージョン情報」の順にクリックします。プロセッサの情報はページの下の方に表示されます。Macで確認するには、ディスプレイの左上にあるAppleロゴをクリックし、「このMacについて」をクリックします。
BIOS
・Intel-VTを有効にする。
・インテルのVT(VT-x)ハードウェア仮想化技術は、システムのBIOSまたはUEFI設定で有効にする必要があります。授業中、システムのBIOSにアクセスできる必要があります。BIOSがパスワードで保護されている場合は、そのパスワードを知っている必要があります。これは絶対に必要です。
RAM
・8GBのRAM(またはそれ以上)を強く推奨します。Windows 10で確認するには、Windowsキー+「I」を押して「設定」を開き、「システム」、「バージョン情報」の順にクリックします。RAMの情報はページの下の方に表示されます。Macで確認するには、ディスプレイの左上にあるAppleロゴをクリックし、「このMacについて」をクリックします。
ハードドライブの空き容量
・VMや配布する追加ファイルをホストするためには、100GBのハードドライブの空き容量が必要です。また、仮想マシンを機械式ハードドライブよりも高速に動作させることができるSSDドライブの使用を強く推奨します。
その他の要件
以下の要件は、上記の基本的な要件に加えて、必要なものです。授業開始前に、VMware仮想化ソフトウェアをインストールし、以下の追加ソフトウェア要件を満たす必要があります。
・VMware Playerのインストール
・VMware Workstation Player 15.5+、VMware Workstation Pro 15.5.+、またはVMware Fusion 11.5+のいずれか。
・VMware Workstation または Fusion のライセンス版をお持ちでない場合は、VMware 社から 30 日間の無償評価版をダウンロードできます。VMware社のウェブサイトで試用版に登録すると、期間限定のシリアル番号が送られてきます。VMware Workstation Playerは無料でダウンロードでき、商用ライセンスは必要ありませんが、Workstation Proよりも機能が少なくなっています。また、これは非常に重要なポイントですが、Hyper-VやVirtualBoxなどの他の仮想化製品はサポートされておらず、コースの教材では使用できません。
・ホストOSおよびインストールされているすべてのセキュリティソフトウェアへの管理者アクセス権が必要です。
・ノートパソコンを再起動してログインする機能があること(ドライブ暗号化などのセキュリティソフトがインストールされている場合は、その有効な認証情報を持っていること)。
授業で使用するメディアは、ダウンロード形式で提供されます。授業で使用するメディアファイルは、20GBを超えるものもあります。ダウンロードが完了するまでに十分な時間を確保する必要があります。インターネットの接続環境や速度は、様々な要因によって大きく異なります。そのため、教材のダウンロードにかかる時間の目安を示すことはできません。リンクを入手したら、コースメディアのダウンロードを開始してください。授業の初日には、すぐにコースメディアが必要になります。 クラス開始の前日の夜までダウンロードを待っていると、失敗する可能性が高くなります。
SANSでは、PDF形式の印刷物の提供を開始しました。また、一部のクラスでは、PDFに加えて電子ワークブックを使用しています。電子ワークブックを使用するクラスの数は急速に増えるでしょう。このような新しい環境では、講師がプレゼンテーションを行っている間や、ラボの演習に取り組んでいる間に、クラスの教材を表示しておくために、2台目のモニターやタブレット端末が有効であることがわかっています。
ノートパソコンの仕様についてご不明な点がございましたら、laptop_prep@sans.orgへご連絡ください。
このコースでは、攻撃を未然に防ぎ、敵を検知するための最も効果的な手順について、仕事に戻ってすぐに使える実用的なテクニックを用いて学びます。このコースでは、お客様の環境に危害を加えようとする様々なサイバー敵対者との戦いに勝利するためのヒントやテクニックを学びます。
組織は常に狙われているので、最終的な侵害に備えなければなりません。今日、かつてないほど、迅速な検知と対応が重要になっています。敵対者がお客様の環境に存在する期間が長ければ長いほど、その影響は甚大なものとなり、ダメージも大きくなります。情報セキュリティにおける最も重要な問題は、「いかに早く敵を検知し、対応し、修復するか」ということかもしれません。
情報セキュリティとは、適切な防御領域に焦点を当てることであり、特にお客様の組織の独自性に適用することが重要です。SEC401では、コンピュータや情報セキュリティの用語や基本的な仕組みを学び、それを自社のニーズに合わせて適用する方法を学びます。また、システムや組織のセキュリティを担当する際に必要となる、本質的かつ効果的なセキュリティの知識を得ることができます。
SEC401は、情報セキュリティの初心者の方から、専門的な知識を持つベテランの方まで、オンプレミスやクラウドを問わず、重要な情報や技術資産を保護・保全するために必要な情報セキュリティのスキルとテクニックを提供します。また、学んだ概念を、現代の敵対者の立場に立って、勝利のための防御戦略に直接適用する方法も紹介します。これが私たちの戦い方であり、これが私たちの勝ち方です。
オンプレミスとクラウドの両方で学ぶことができます。
持続的標的型攻撃の増加に伴い、組織が標的となることは避けられません。攻撃を防御することは継続的な課題であり、次世代の脅威を含め、常に新しい脅威が出現しています。環境の防御を成功させるためには、組織はサイバーセキュリティにおいて何が本当に有効なのかを理解する必要があります。これまでも、そしてこれからも有効なのは、リスクベースのアプローチでサイバー防御を行うことです。
教材の内容
お知らせ
本コースは、DoD8140 IAT Level 2の要件を満たすGSEC認定資格の取得を目指します。
GIAC Security Essentials
GIAC Security Essentialsは、情報セキュリティに関する実務者の知識を、単純な用語や概念を超えて検証するものです。GSEC認定資格者は、セキュリティ・タスクに関して、ITシステムの実務を担当する資格があることを証明します。
本コースのハンズオン・ラボは、受講生が内容を習得し、学習しているコンセプトをより深く理解するのに役立ちます。管理された環境でスキルをさらに向上させるために、これらのラボを構築しました。
セクション1:tcpdump、Wireshark、Aircrack-ng
セクション2:hashcat、Cain and Abel、Application Control (Whitelisting)
セクション3:Nmap; 悪意のあるソフトウェア; コマンドインジェクション; hping3
セクション4:イメージステガノグラフィ;GNU Privacy Guard (GPG);Snort;ハッシング
セクション5:プロセスハッカー、NTFSパーミッションレポーター、SECEDIT.EXE、PowerShellスクリプティング
「SEC401は、非常に幅広いセキュリティ技術、プロセス、ツールをカバーしており、目からウロコでした。このコースでは、すべてが魔法ではなく、派手なツールがなくてもデータのパケットを解釈できることが示されているのが良かったです。ラボでは、完璧な指導とシームレスなパケットキャプチャにより、コンセプトを実証するのに最適でした。」
- Fei Ma, DESE
「身の周りの世界を観察すると、私たちは終わりのない危険な世界に生きているように見えてきます。新たな脅威がない日はもうないのかもしれません。一見したところ、セキュリティ侵害の増加は、これまで以上に多くのシステムが、より多くのコンピュータネットワークに接続されていることが原因である可能性があります。また、セキュリティ対策の不備が原因で、セキュリティ侵害が増加している可能性もあるでしょう。
コンピュータの歴史の中で最も多くのセキュリティが利用可能な今日、世界的に増加し続ける情報漏洩の原因がセキュリティ対策の不備であるとは考えられません。そうでしょうか?真実は常に複雑です。もしかしたら、私たちは現在、増え続けるセキュリティ能力と増え続ける危険性の世界に同時に生きているのかもしれません。しかし、その答えは、「攻めることが守ることにつながる」というシンプルな考え方にあるのかもしれません。
SEC401は、現実世界ですぐに実行可能な知識と情報を提供し、現代の敵に対抗するために可能な限り最善の基盤をお客様と組織に提供します。戦い方や勝ち方を学ぶために参加してください。」
- Bryan Simon, Lead Author, SEC401.
攻撃者が企業のリソースにアクセスする際の主な侵入経路は、インターネットに接続されたネットワークです。企業側はできるだけ多くの攻撃を阻止しようとしますが、失敗してしまった場合には、時宜にかなった方法で防御しなければなりません。そのため、ネットワーク設計の種類や関係する通信フローなど、防御可能なネットワークアーキテクチャをどのように構築するかを理解することが重要です。
大小関わらずいかなる組織においても、すべてのデータが均等に作成されるわけではありません。定期的に作成されるデータもあれば、偶発的なデータもあり、非常に機密性の高いデータもあります。これらのデータが失われると、組織に回復不能な損害が生じる可能性があります。
ネットワークを利用した攻撃が重要なデータにどのようなリスクをもたらすのか、また、そのような攻撃に対して組織がどのような脆弱性を持つのかを理解することが重要です。そのためには、最新のネットワークの通信プロトコルを熟知する必要があります。
クラウドコンピューティングはパブリック、プライベートのネットワークを問わず現代のネットワークの大きなテーマです。防御可能なネットワークについての議論は、クラウドとは何か、考慮しなければならない重要なセキュリティ上の注意事項を抜きにしては成り立ちません。
敵対者も私たちと同じようにネットワークを必要としています。敵対者は、長期的な目標を達成するまで、私たちのネットワーク上のシステムからシステムへと容赦なく移動しながら、その土地で生活しています。言い換えれば、敵は自分の目標を達成するために私たちのネットワークを利用する必要があるのです。私たちのネットワークがどのように機能しているか(私たち独自のニーズに照らし合わせて)を理解することで、敵対者の活動をより簡単に発見することができます。
このセクションの終わりまでに、防御のためのネットワークアーキテクチャ、ネットワークとプロトコル、仮想化とクラウドセキュリティ、および無線通信のセキュリティについて理解します。
SEC401は、情報セキュリティに関する30以上のトピックをカバーしているのが特徴です。ここでは、コースの構成、「ブートキャンプ」の時間に合わせた授業スケジュール、そしてコースのトピックの全体的なテーマへの見解を確認していきます。
ネットワークを適切に保護・防御するためには、まず、ネットワークアーキテクチャの論理コンポーネントと物理コンポーネントの両方を明確かつしっかりと理解する必要があります。しかし、ネットワークアーキテクチャの理解を超えて、ネットワークを適切に保護・防御するためには、攻撃者がどのようにネットワークの情報システムを悪用し目的を達成するのかを確認する必要があります。
ネットワークの相互作用を十分理解することで、最新の (非公開含む) 攻撃をより効果的に認識、分析、および対応するために、コンピュータネットワークとプロトコルのコア領域について学習します。
仮想化とは何か、仮想化環境のセキュリティ上の利点とリスク、仮想化アーキテクチャの違いについて学習します。クラウド・コンピューティングは仮想化をベースに構築されているため、このモジュールの最後には、パブリック・クラウドおよびプライベート・クラウドとは何か、どのように機能するのか、パブリック・クラウドが提供するサービス(セキュリティ・サービスを含む)、関連するセキュリティ・コンセプトについて幅広く説明しています。
現在利用可能なさまざまなタイプの無線通信技術の違い、それらの通信に存在する不安定性、およびそれら不安定性のリスクをより許容可能なレベルのリスクに低減するための緩和アプローチについて学習します。
このセクションでは、システムに対する大規模な脅威と、それに対する防御方法を見ていきます。深層防御と呼ばれる原則を利用して、防御を重ねる必要があることを学びます。
このセクションは、情報保証の基礎から始まります。セキュリティ上の脅威と、それが機密性、完全性、可用性にどのような影響を与えるかを見ていきます。深層防御の最も一般的な側面はアクセス制御であることから、アイデンティティおよびアクセス管理(IAM)の側面について説明しています。ここでは、最も一般的な認証要素であるパスワードが廃止され、移行されると考えられていましたが、実際にはそうはならず、今日でもクレデンシャルの盗難による情報漏洩に悩まされていることがわかります。現代の認証のために何を活用できるかが、認証とパスワードのセキュリティに関する議論の焦点となり、特にクラウド・コンピューティングに適用されます。多くの人が、IAMはクラウドベースの機能のための新しいセキュリティの境界線であると考えており、その強力なアプリケーションの重要性は強調されるべきものです。
このセクションの最後では、現代の敵の存在下で機能する最新のセキュリティ対策に焦点を移します。これは、Center for Internet Security (CIS) Controls、NIST Cybersecurity Framework、および MITRE ATT&CK の知識ベースを活用して行われます。以前のコース内容であるネットワークアーキテクチャに戻ると、転送中および保存中のデータを最も安全にするために、全体的な環境に焦点を当てて他に何ができるのかということに興味を持つのは当然でしょう。これは、データ損失防止技術についてのより大きな議論につながります。
最後に、深層防御の議論は、おそらく最も重要な技術の一つであり、かつてないほど大きな信頼を得ているモバイルデバイスに触れずには完結しません。このコースでは、BYOD(Bring Your Own Device)からMDM(Mobile Device Management)まで、モバイルデバイスの利点とセキュリティリスクについて徹底的に議論して終了します。
ここでは、システムへの脅威を検証し、それに対する防御方法を全体的に見ていきます。深層防御(Defense in Depth)と呼ばれる原則に基づき、防御を重ねる必要があることを学び、システムを守るために役立つ原則を説明します。
機密性、完全性、可用性
クラウドにおけるDefense in Depth
バリアブル・トラスト
ここでは、ID 管理とアクセス制御の理論について説明します。アクセス制御モデルは、セキュリティへのアプローチがさまざまであり、それらの根本的な原理、長所、短所を探ります。ここでは、認証と認可のプロトコルとコントロールに関する簡単な議論が含まれています。
説明責任(アカウンタビリティ)
シングルサインオン(SOS):オンプレミスとクラウド
アクセスを監視する
アイデンティティとアクセス管理の話をすると、当然、認証とパスワードのセキュリティの話になります。ここでは、「知っているもの」、「持っているもの」、「自分であるもの」という様々なタイプの認証について時間をかけて説明します。ここでは、「知っているもの」認証タイプの最も一般的な(そして問題のある)例(パスワード)に特に焦点を当てます。
セキュリティを導入する際には、適切な測定基準を含むフレームワークを持つことが重要です。よく言われるように、測定できないものは管理できません。このモジュールでは、3つのフレームワークを取り上げます。The Center for Internet Security (CIS) Controls(組織が直面する最も重要なリスクに優先順位をつけるために作成された)、NIST Cybersecurity Framework(サイバーセキュリティ・リスク全体の管理を支援するための標準、ガイドライン、ベストプラクティス)、MITRE ATT&CK knowledge base(敵の戦術と技術)です。CIS コントロールの優先順位付けされたアクションと、NIST サイバーセキュリティ・フレームワークによる全体的なリスクの理解を、敵の戦術と技術を考慮しながら組み合わせることで、現代の敵に対する防御を確固たるものにすることができます。
CISコントロールの紹介
指導原則
ケーススタディ CISコントロールのサンプル
ケーススタディ ソーラーウインズ
NISTサイバーセキュリティ・フレームワーク
フレームワークコア
実装階層
フレームワークのプロファイル
MITRE ATT&CK
テクニック
既知のアドバーサリーへのマッピング
損失もしくは漏洩?
本質的には、データの損失とは、ユーザーおよび/またはソフトウェア(アプリケーション)によってデータが破損、削除、または何らかの方法で読めなくなる状態を指します。データ侵害とは、ほとんどの場合、意図的なものであっても意図的でないものであってもよいセキュリティインシデントのことです。セキュリティインシデントは、(とりわけ)意図しない情報開示、データ漏洩、情報漏洩、データ流出につながる可能性があります。ここでは、データ損失や漏洩とは何か、異なるタイプのデータ損失や漏洩を適切に分類する様々な方法、適切なデータ損失防止機能を実装するために活用できる方法論を正確に説明します。
このモジュールでは、まずAndroidとiOSのモバイル・オペレーティング・システムを簡単に比較し、それらの違いを説明します。最後に、両システムのセキュリティ機能について簡単に説明します。
Day3では、脆弱性が顕在化している環境の様々な領域に焦点を当てます。まず、何が脆弱性を構成するのか、どのようにして適切な脆弱性評価プログラムを実施するのがベストなのか、全体的な議論を行います。脆弱性評価とペネトレーションテストは全く異なるものですが、ペネトレーションテストは脆弱性評価と並行して議論されることが多くあります。
脆弱性評価についての議論を結論付けるにあたり、次に、侵入テストとは何か、そしてその利点をどのように活用するのがベストなのかについての議論に移ります。脆弱性は、攻撃者が発見可能な弱点であるため、脆弱性についての議論は、実際の侵害の実例に基づいた最新の攻撃方法論について真剣に議論しなければ、不完全なものになってしまいます。私たちの環境において脆弱性が顕在化する可能性のあるすべての領域の中で、おそらくWebアプリケーションは、潜在的な脆弱性とその結果として生じるリスクの最も実質的な領域の一つであると言えます。Webアプリケーションから容易に発見される脆弱性の特性から、Webアプリケーションのセキュリ ティ対策にモジュール全体の注意を集中させる必要があります。脆弱性によって(おそらくは非常に簡単に)攻撃者が発見することを可能にしているのは事実ですが、攻撃者が完全に隠れたままでいることは不可能です。ハードウェアとソフトウェアのロギング能力を活用することで、より簡単に、より短い時間で敵を発見することができます。このような能力をどのようにして発揮するかは、最後のモジュールのテーマになります。それはセキュリティ運用とログ管理です。最後に、私たちの環境が侵害された場合に適切に対応するための行動計画を考えておく必要があります。適切なインシデントレスポンスの方法論は、Day3の最終モジュールのテーマです。
偵察 (情報収集、ネットワークのマッピング、脆弱性のスキャン、マッピング/スキャン・テクノロジーの適用など) に使用されるツール、テクノロジー、およびテクニックについて理解します。
ペネトレーションテストの役割は、大多数の組織で十分に理解されており、RedTeaming、攻撃者エミュレーション、PurpleTeamingのような新しいテスト技術が生まれました。それぞれに独自のアプローチと利点があります。多くの場合、ペネトレーションテストの範囲は限定されており、テスターが敵の行動をエミュレートしたり、模倣したりすることはできません。そこで、RedTeamingや攻撃者エミュレーションなどが活躍します。組織に最大のビジネス価値を提供するためには、ペネトレーションテストに関して、体系的かつ綿密なアプローチを取らなければなりません。
ここでは、Marriottの事件(世界中で何百万人もの人々が危険にさらされた漏洩事件)と、さまざまな業界で何十万ものシステムを麻痺させ続けているランサムウェア攻撃を見ていきます。これらの攻撃について詳しく説明し、攻撃を可能にした条件だけでなく、攻撃に関連するリスクを管理するために使われる戦略についても説明します。
ここでは、安全な Web アプリケーションの設計と実装に関して知っておくべき最も重要なポイントを見ていきます。まず、Web 通信の基本についての説明から始めます。その後、HTTP、HTTPS、HTML、Cookie、認証、およびステートの保持について説明します。最後に、Web アプリケーションの脆弱性を特定して修正する方法を見て締めくくります。
OWASP Top10
セキュアなコーディングの基礎
認証
アクセスコントロール
WAF(Webアプリケーションファイアウオール)
モノリシック・アーキテクチャーとセキュリティコントロール
ここでは、ロギングの重要なコンポーネント、ロギングを適切に管理する方法、ロギングの力を最大限に活用するために理解しなければならない考慮事項を学習します。
ここでは、インシデントハンドリングの基本と、なぜそれが組織にとって重要なのかを探ります。そして、独自のインシデントハンドリング手順を作成するためのマルチステップ・プロセスの概要を説明します。また、デジタルフォレンジックの方法論を学習し、プロセスが再現性があり検証可能であることを保証する方法についても説明します。
デジタルフォレンジックとは?
フォレンジックとして健全な状態を保つ
DFIRの分野
デジタルフォレンジックツール
インシデントハンドリングのためのマルチステッププロセス
セキュリティ対策に特効薬はありません。しかし、多くのセキュリティ問題の解決に役立つと思われながらほとんどの会社で実装されていない技術があります。その技術とは、暗号化です。暗号化はメッセージの意味を隠してしまうことで、権限のない者による機密情報の読み取りを阻止できます。4日目は、暗号化のさまざまな側面と企業の資産を保護するための暗号の使用法について見ていきます。関連分野として、ステガノグラフィや情報の隠ぺいについても押さえます。
後半では、攻撃者が組織にアクセスするのを阻止するために使用されるいくつかの予防技術(ファイアウォール、IPS(侵入防止システム))と、ネットワーク上の攻撃者の存在を検知するための様々なタイプの検知技術(IDS(侵入検知システム))に焦点を当てていきます。これらの予防技術と検知技術は、ネットワークやエンドポイントの観点から実装することができ、それぞれの技術を適用することに関する類似点と相違点を探ります。
暗号を使用して、機能上の機密性、完全性、認証、および情報の否認不可を提供することができます。 一般的な暗号化アルゴリズムには秘密鍵/対称、公開鍵/非対称、および非鍵/ハッシュの3タイプがあります。 これらの方式は通常、使用される鍵の数によって互いに区別されます。 ここでは、これら異なるタイプのアルゴリズムと、各タイプを使用して特定のセキュリティ機能を提供する方法について学びます。 最後に、キャリアメディアにデータを隠す手段であるステガノグラフィについて紹介します。 ステガノグラフィーはさまざまな理由で使用されますが、機密情報が送信または保存されているという事実を隠すために使用されることが多いツールです。
このモジュールの内容は、現代の暗号技術に寄与する数学的概念の高レベルな理解を深めるのに役立ちます。また、暗号の防御を覆すために使用される一般的な攻撃についても確認します。 また、暗号防御を打破するために使用される一般的な攻撃についても学習します。
暗号の使用に関する主要目標である、転送中データの保護と保存中データの保護、およびPKIを介した鍵の管理を達成するためのソリューションについて理解します。最後に、公開鍵の管理(および関連する証明書の概念)について、公開鍵基盤の観点から重要な議論を展開します。
このモジュールでは、ネットワーク・セキュリティ・デバイスの3つの主要カテゴリーについて説明します。ファイアウォール、ネットワーク侵入検知システム(NIDS)、ネットワーク侵入防止システム(NIPS)です。これらの機器を組み合わせることで、予防と検知の機能を補完することができます。
ファイアウオール
ファイアウオールの種類
ここでは、エンドポイントセキュリティを実装するための重要なコンポーネント、戦略、およびソリューションを検討します。主に、エンドポイントセキュリティへの一般的なアプローチ、ベースラインアクティビティのための戦略、ホストベースのIDS(HIDS)やホストベースのIPS(HIPS)のようなソリューションが含まれます。
エンドポイントセキュリティの概要
エンドポイント・セキュリティのコア・コンポーネント
エンドポイントセキュリティの強化
エンドポイント・セキュリティ・ソリューション
マルウェア対策
エンドポイント・ファイアウォール
インテグリティ・チェック
HIDSとHIPS
概要
実用上の注意点
Windowsがシンプルだった頃を覚えているでしょうか。Windows XPが小さなワークグループを占めていた以前のことはどうでしょうか。あれから、多くの技術的革新があり、今日ではWindowsTabletやAzure、Active Directory、PowerShell、Office365、Hyper-V、仮想デスクトップインフラ(VDI)などが私たちの周りに普及していますが、マイクロソフトはGoogleやApple、アマゾンをはじめとしたクラウドサービスの巨人たちを相手に覇権争いを繰り広げています。
Windowsは、世界中で最も広く使われ、かつターゲットにされているているオペレーティングシステムです。同時に、Active Directory、PKI、BitLocker、AppLocker、およびユーザーアカウント制御の複雑さは、課題でもあり有益にも成り得ます。ここでは、Windowsセキュリティの世界をいち早くマスターするとともに、作業を簡素化および自動化するためのツールについて学習します。自動化と監査およびフォレンジックを通して、Windowsセキュリティの堅固な基礎を築くことができます。
Windowsセキュリティをサポートするインフラストラクチャについて理解します。これは、Windowsセキュリティモデルの全体像で、以降のすべてを理解するために必要な背景概念について学習します。
このモジュールでは、アップデート(パッチ)や新しいクラウドベースの展開方法(Windows AutopilotおよびWindows Virtual Desktop)に適用されるWindowsシステムの管理手法について説明します。
Windows NTファイルシステム ( NTFS ) 、共有フォルダ、レジストリキー、Active Directory、および特権でアクセス許可がどのように適用されるかについて理解します。BitLockerドライブ暗号化については、別形式のアクセス制御 (暗号化された情報) 、およびトラステッドプラットフォームモジュールを使用している場合に、起動プロセスの整合性の維持を支援するツールとして学習します。
セキュリティ構成の変更を自動化するための最も優れたツールの1つであるSECEDIT.EXEについて理解します。ここでは、パスワード・ポリシー、ロックアウト・ポリシー、ヌル・ユーザー・セッションの制限など、このツールを使用して行う最も重要な変更について学習します。また、グループポリシーオブジェクト (GPO) と、GPOによってドメイン全体に適用できるセキュリティ構成の変更についても学習します。
LANの中にも、クラウドの中にも、さまざまなサーバーが混在していると思います。MicrosoftのクラウドはAzureとして知られています。このAzureの上に、Microsoft 365、Exchange Online、OneDrive、Intuneなどのサービスが実装されています。マイクロソフトはWindows 10以降のバージョンをAzureとの連携を前提に設計しているため、Windowsのセキュリティには、Windows単体だけでなく、Azureも含まれています。Microsoft Azureの本質的な概念を理解することは、セキュリティ専門家としてのキャリアにとって重要です。
自動化、ロギング、監査の機能連携は、作業を自動化できなければ、監査とフォレンジックの作業はまったく (または散発的にしか) 行われないか、直接操作できる小規模なマシンを超えて拡張することはできません。
ありがたいことに、現代のWindowsシステムには非常に強力な自動化機能が備わっています。PowerShellです。PowerShell とは何か、そして、実装の一貫性、変更の検出、システムの修復、さらには脅威の探索を追求するために PowerShell をどのように活用するかを学びます。
多くの組織では、それほど多くのUnix/Linuxシステムは所有していませんが、最も保護すべき重要なシステムの一部です。
最終日の内容は、業界の合意基準をベースに、あらゆるLinuxシステムのセキュリティを向上させるガイダンスを提供します。Linux初心者のための背景情報を含む実践的な手引きから、あらゆるレベルの専門家向けのセキュリティアドバイスや「ベスト・プラクティス」までを包含する内容になっています。
Linuxは「無料の」オペレーティングシステムであることから、多くの先進的なセキュリティコンセプトが最初にLinuxのために開発されたことは驚くべきことではありません。コンテナがよい例です。コンテナはクラウドコンピューティングにおいて強力かつ柔軟なコンセプトを提供します。コンテナは、情報セキュリティのために特別に設計されたものではありませんが、最小の要素に基づいて構築されており、これは情報セキュリティ全体の方法論の中で(多層防御の一部として)活用することができます。コンテナは、情報セキュリティにとって何を意味し、何を意味しないのか、そしてその管理のためのベスト・プラクティスについて十分に議論されます。LinuxとUNIXの概念を説明するには、本コースの第5章で説明するMicrosoft AzureとAWSの比較をしなければなりません。ここでは、AWSの基礎知識を検証し、利用可能な優れたセキュリティ管理について説明します。最後に、UNIXをベースにしたアップル社のmacOSのレビューでこのセクションを締めくくります。Appleの由緒あるmacOSは、ハードウェアとソフトウェアのセキュリティのための広範な機会を提供していますが、実際に何ができて何ができないのかという点で、しばしば誤解されています。
Linuxセキュリティ権限
Linuxユーザアカウント
プラグイン可能な認証モジュール
ここでは、最新の Linux システムに追加のセキュリティとロックダウン機能を提供するセキュリティ強化ユーティリティについて説明します。このコースで以前に議論したように、ロギング機能を活用することは、現代のサイバーディフェンスにおいて非常に重要です。よく知られているSyslogロギングスタンダード(およびその関連機能)に対するLinuxのサポートについて説明します。Syslogが老朽化し続けると、現代のサイバーディフェンスが必要とするロギング機能を提供できなくなるかもしれません。そのため、追加のロギング機能の強化 ~ syslog-ngからauditdまで~ について学習していきます。
セグメンテーションと分離に関する技術の重要性を無視することはできません。分離技術は、攻撃者によって引き起こされる初期のダメージを軽減するのに役立ち、検出までの時間を長くすることができます。ここでは、さまざまなタイプの分離技術について説明します。Chroot、仮想化、コンテナです。コンテナは(情報セキュリティの観点から見て)比較的新しい概念です。コンテナを使用することで、どのようなセキュリティ上のメリットがあるのか、またコンテナ自体に顕在化する可能性のある潜在的なセキュリティ問題については、多くの誤解があるかもしれません。ここでは、コンテナとは何か、コンテナの展開のベストプラクティス、そしてコンテナをどのようにしてセキュリティを確保するかを学習します。
Chroot
Dockerイメージコンテナ
Kubernetes
このモジュールでは、仮想化の基礎的な概念について説明します。これは、AWS とそのより一般的に使用されているサービス間の相互作用について理解を深めるために必要です。これは、AWSのセキュリティ・コントロールについての議論を想定した強固な基礎を提供します。
このモジュールでは、AWSで作られた特定のセキュリティ機能とサービスの概要を説明します。
AWS Well-Architected Frameworkは、安全なAWSワークロードの設計、提供、維持のためのベストプラクティスガイダンスと推奨事項を提供します。このフレームワークは、お客様がクラウド上で信頼性、安全性、効率性、コスト効率の高いワークロードを設計、運用するのに役立ちます。このフレームワークは5つの柱に分かれており、そのうちの1つがセキュリティに焦点を当てています。このセキュリティの柱が、このモジュールの焦点となります。
ここでは、macOSシステムに組み込まれているセキュリティ機能の概要に焦点を当てます。macOSは比較的安全なシステムであり、さまざまなセキュリティ機能を備えていますが、他のソフトウェアと同様に問題がある可能性もあります。