ニュースレター登録
資料ダウンロード
お問い合わせ

SECURITY 401

Security Essentials: Network, Endpoint, and Cloud

Cyber Defense Essentials

English
日程
2024年10月21日(月)~2024年10月26日(土)
期間
6日間
講義時間

1日目: 9:00-19:30
2日目~5日目: 9:30-19:30
6日目: 9:30-17:30

受講スタイル
ハイブリッド (LiveOnlineとOnsiteの同時開催)
会場

◆LiveOnline形式
 オンライン

◆Onsite形式(予定)
 御茶ノ水トライエッジカンファレンス(https://try-edge.infield95.com/
 東京都千代田区神田駿河台4-2-5 御茶ノ水NKビル(トライエッジ御茶ノ水)11階

GIAC認定資格
GSEC
講師
Masafumi Negishi|根岸 征史
NRIセキュア認定 SANSトレーニング・マスターインストラクター
Satoshi Hayashi|林 聡
NRIセキュア認定 SANSトレーニング・マスターインストラクター
言語
日本語 日本語教材
定員
40名
CPEポイント
46 Points
受講料

早期割引価格:990,000 円(税込み 1,089,000 円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格:1,090,000円(税込み 1,199,000 円)

申込締切日
早期割引価格:2024年9月6日(金)
通常価格:2024年10月11日(金)
オプション
  • GIAC試験 価格:160,000円(税込み 176,000円)
  • NetWars Continuous 価格:270,000円(税込み 297,000円)
  • 英語教材 価格:40,000円(税込み 44,000円)

※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)。

下のボタンを押すと、NRIセキュアのお申し込みサイトに遷移します。

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

SEC 401 PC設定詳細

重要! 下記の条件を満たしたご自身のシステムをご持参ください。

このコースを完全に受講するには、適切に設定されたシステムが必要です。この説明をよく読み、それに従わなければ、コースの実地練習に十分に参加することができません。従って、指定された要件をすべて満たすシステムでご出席ください。授業の前にシステムのバックアップを取っておくことが重要です。 また、機密データが保存されているシステムは持ち込まないようにお願いします。SANSは、あなたのシステムやデータについて責任を負いません。

 

ハードウェア要件

  • CPU: 64ビットIntel i5/i7(第8世代以降)、またはAMD同等品。このクラスでは、64ビット、2.0GHz以上のプロセッサーが必須。
  • 重要: Appleシリコンを搭載したデバイスは必要な仮想化を行うことができないため、このコースでは一切使用できません。
  • 「Intel-VTx」や「AMD-V」拡張機能など、仮想化技術を有効にするためのBIOS設定が必要です。
    変更が必要な場合に備えて、BIOSがパスワードで保護されている場合は、絶対にアクセスできるようにしてください。
  • 16GB以上のRAMが必要です。
  • 100GB以上のストレージ空き容量が必要です。
  • 利用可能なUSB 3.0 Type-Aポートが1つ以上あること。新しいノートパソコンには、Type-CからType-Aへのアダプタが必要な場合があります。
    エンドポイントプロテクションソフトウェアの中にはUSBデバイスの使用を禁止しているものもありますので、授業前にUSBドライブでシステムをテストしてください。
  • ワイヤレスネットワーク(802.11規格)が必要です。教室では有線のインターネット接続はできません。

ホスト環境とソフトウェアの必須要件

  • ホストのオペレーティングシステムは、Windows 10、Windows 11、または macOS 10.15.x 以降の最新バージョンである必要があります。
  • 授業前にホスト OS を完全にアップデートし、適切なドライバとパッチがインストールされていることを確認してください。
  • Linuxホストはバリエーションが多いため、教室ではサポートしていません。Linuxをホストとして使用する場合、コース教材および/またはVMと連動するように設定する責任は各自にあります。
  • ローカル管理者アクセスが必要です。(これは絶対に必要です。ITチームにそうでないと言わせないでください)。受講期間中、会社がこのアクセスを許可しない場合は、別のノートパソコンを持参するよう手配してください。
  • ウイルス対策ソフトやエンドポイント保護ソフトが無効になっていること、完全に削除されていること、またはそのための管理者権限を持っていることを確認してください。私たちのコースの多くは、オペレーティングシステムへの完全な管理者アクセスを必要とし、これらの製品はラボの達成を妨げる可能性があります。
  • アウトバウンドトラフィックのフィルタリングは、あなたのコースのラボの達成を妨げる可能性があります。ファイアウォールは無効にするか、無効にするための管理者権限を持ってください。
  • VMware Workstation Pro 16.2.X+またはVMware Player 16.2.X+(Windows10ホスト用)、VMware Workstation Pro 17.0.0+またはVMware Player 17.0.0+(Windows11ホスト用)、VMWare Fusion Pro 12.2+またはVMware Fusion Player 11.5+(macOSホスト用)をクラス開始前にダウンロードし、インストールしてください。VMware Workstation ProまたはVMware Fusion Proのライセンスをお持ちでない方は、VMwareから30日間の無料トライアル版をダウンロードできます。VMwareのウェブサイトからトライアルに登録すると、期間限定のシリアル番号が送られてきます。また、VMware Workstation PlayerはVMware Workstation Proよりも機能が少ないことに注意してください。Windowsホスト・システムを使用している場合は、よりシームレスな学生体験のためにWorkstation Proをお勧めします。
  • Windowsホストでは、VMware製品はHyper-Vハイパーバイザーと共存できない場合があります。VMwareが仮想マシンを起動できることを確認してください。そのためには、Hyper-Vを無効にする必要があります。Hyper-V、Device Guard、およびCredential Guardを無効にする方法は、コース教材に付属のセットアップ・ドキュメントに記載されています。
  • 7-Zip (Windows ホスト用) または Keka (macOS ホスト用) をダウンロードしてインストールします。これらのツールもダウンロードしたコース教材に含まれています。

授業で使用するメディアは、ダウンロード形式で提供されます。授業で使用するメディアファイルは、40〜50GBの範囲で、100GBを超えるものもあります。ダウンロードが完了するまでに十分な時間を確保する必要があります。インターネットの接続環境や速度は、様々な要因によって大きく異なります。そのため、教材のダウンロードにかかる時間の目安を示すことはできません。リンクを入手したら、コースメディアのダウンロードを開始してください。授業の初日には、すぐにコースメディアが必要になります。 クラス開始の前日の夜までダウンロードを待っていると、失敗する可能性が高くなります。

コース教材には「セットアップ手順」という文書が含まれています。この文書には、ライブ・クラスのイベントに参加する前、またはオンライン・クラスを開始する前に行わなければならない重要な手順の詳細が記載されています。これらの手順を完了するには、30分以上かかる場合があります。

クラスでは、実験指導に電子ワークブックを使用しています。この新しい環境では、講師がプレゼンテーションを行っている間や、ラボの演習に取り組んでいる間に、クラスの教材を表示しておくために、2台目のモニターやタブレット端末が有効であることがわかっています。

 

ノートパソコンの仕様についてご不明な点がございましたら、laptop_prep@sans.orgへご連絡ください。

SEC401 コース概要

サイバーセキュリティの基礎を学ぶ

組織は常に狙われているので、最終的な侵害に備えなければなりません。今日、かつてないほど、迅速な検知と対応が重要になっています。敵対者がお客様の環境に存在する期間が長ければ長いほど、その影響は甚大なものとなり、ダメージも大きくなります。情報セキュリティにおける最も重要な問題は、「いかに早く敵を検知し、対応し、修復するか」ということかもしれません。

情報セキュリティとは、適切な防御領域に焦点を当てることであり、特にお客様の組織の独自性に適用することが重要です。SEC401では、コンピュータや情報セキュリティの用語や基本的な仕組みを学び、それを自社のニーズに合わせて適用する方法を学びます。また、システムや組織のセキュリティを担当する際に必要となる、本質的かつ効果的なセキュリティの知識を得ることができます。

SEC401は、情報セキュリティの初心者の方から、専門的な知識を持つベテランの方まで、オンプレミスやクラウドを問わず、重要な情報や技術資産を保護・保全するために必要な情報セキュリティのスキルとテクニックを提供します。また、学んだ概念を、現代の敵対者の立場に立って、勝利のための防御戦略に直接適用する方法も紹介します。これが私たちの戦い方であり、これが私たちの勝ち方です。

新しくなったラボの概要

刷新されたSEC401コースで、システムとネットワークを防御するために不可欠なスキルを身につけましょう。これらのラボは、現代のサイバーセキュリティの課題に欠かせない実践的なスキルと実践的な経験を提供するために綿密に設計されています。実践的なスキルを身につけることができます。

新しいラボのハイライト

  • ネットワーク分析: TcpdumpとWiresharkのラボでネットワークトラフィックを深く掘り下げ、AWS VPC Flow Logsを探求してクラウドベースのネットワーク運用を理解します。
  • 高度な脅威検出 SIEMログ解析のスキルを身につけ、Snort3やZeekなどのツールを使用して堅牢な侵入検知とネットワークセキュリティ監視を行います。
  • システムセキュリティ Linuxのログと監査、Windowsのプロセス探索、Windowsのファイルシステム権限などのスキルを磨き、包括的なシステム監視を実現します。
  • 監査とコンプライアンス マスターパスワード監査、バイナリファイル分析、データ損失防止により、新たな脅威から機密データを保護します。
  • 暗号とリカバリ: ハッシュ化と暗号検証、暗号化と復号化、モバイル・デバイスのバックアップ・リカバリを実践し、データの保護と復旧を実現します。
  • WindowsとLinuxのセキュリティ Windowsシステムセキュリティポリシーの適用、Linuxパーミッションの管理、セキュリティ強化のためのLinuxコンテナについて学びます。
  • 自動化と発見 PowerShellを活用してスピードとスケールを向上させ、ネットワーク・ディスカバリーを実施して、セキュリティ・タスクを効率的に管理します。
  • エクスプロイトと保護 Web App Exploitationで脆弱性の特定と悪用を学び、セキュリティのベストプラクティスを適用します。

各ラボは、実世界のツールやテクニックを使いこなし、さまざまなセキュリティインシデントに効果的に対応できるように構成されています。サイバーセキュリティの初心者の方でも、スキルの更新を目指す方でも、これらのラボでは、セキュリティの基礎の重要な側面について、実践的で没頭できる学習体験を提供します。

「SEC401は、非常に幅広いセキュリティ技術、プロセス、ツールをカバーしており、あなたの目を開かせてくれるでしょう。このコースでは、すべてが魔法ではなく、派手なツールがなくてもデータのパケットを解釈することができるということを教えてくれるところが良かったです。ラボは、完璧な指導とシームレスなパケットキャプチャで、概念を実証するのに最適なものでした。" - フェイ・マ、DESEI

ビジネスにおける収穫

  • 優先度の高いセキュリティ上の懸念に対処する方法
  • トップ・クラウド・プロバイダー間のセキュリティの強みと違いを活用する
  • 攻撃対象の検証を支援するネットワーク可視性マップの構築
  • ハードニングと構成管理を通じて組織の攻撃対象領域を削減する

オンプレミスとクラウドの両方で学ぶことができます。

  • サイバーセキュリティの中核となる分野と、検知、応答、防止の基礎に基づいたセキュリティプログラムの構築方法
  • 組織内で優先度の高いセキュリティ問題に対処し、効果的なセキュリティソリューションにつながる正しい行動をとることに焦点を当てた、実践的なヒントとコツ
  • 敵対者がどのように戦術や技術を変えていくのか、それに合わせてどのように防御を変えていくのか
  • ランサムウェアとは何か、そしてランサムウェアからどのように防御するか
  • 持続的脅威の指標に基づいた、防御可能なネットワークアーキテクチャ(VLANNAC802.1x、ゼロトラスト)を活用する方法
  • 強固な認証(Multi-Factor Authentication)の側面を含むアイデンティティおよびアクセス管理(IAM)の方法論
  • 様々なクラウドプロバイダー(マルチクラウドを含む)間のセキュリティの強みと違いを活用する方法
  • 脆弱性管理プログラムの現実的かつ実践的な適用方法
  • tcpdumpWiresharkなどのツールを使用して、ネットワーク通信プロトコルをスニッフィングし、ネットワーク通信の内容(アクセス認証情報を含む)を特定する方法
  • WindowsLinuxmacOSのコマンドラインツールを使用してシステムを分析し、危険性の高い指標を探し出す方法、および継続的な監視を自動化するための基本的なスクリプトの概念。
  • 攻撃対象領域の検証に使用するネットワーク可視化マップの構築方法、およびハードニングと構成管理による攻撃対象領域の削減のための最良の方法の決定方法
  • セキュリティに関して、勝つ組織と負ける組織がある理由、そして最も重要なのは、勝つ側に回る方法です。

持続的標的型攻撃の増加に伴い、組織が標的となることは避けられません。攻撃を防御することは継続的な課題であり、次世代の脅威を含め、常に新しい脅威が出現しています。環境の防御を成功させるためには、組織はサイバーセキュリティにおいて何が本当に有効なのかを理解する必要があります。これまでも、そしてこれからも有効なのは、リスクベースのアプローチでサイバー防御を行うことです。

 

教材の内容

  • コースブックとラボ
  • TCP IPリファレンスガイド
  • 講義のMP3音声ファイル

お知らせ

本コースは、DoD8140 IAT Level 2の要件を満たすGSEC認定資格の取得を目指します。

受講対象者

  • 情報セキュリティに関する技術的な理解のギャップを埋めたいセキュリティ担当者
  • 情報セキュリティについて、簡単な用語や概念以上の理解を得たい管理職の方
  • セキュリティが主な職務ではないが、効果的な運用を行うためにセキュリティの理解が必要な運用担当者
  • 攻撃から守るためのネットワークを構築する方法を知りたいITエンジニアやスーパーバイザー
  • 攻撃者に狙われるシステムの構築と保守を担当する管理者
  • フォレンジック専門家、侵入テスト担当者、監査担当者が、自分の仕事を効果的に進めるために、セキュリティの原則の強固な基礎を身に付ける必要がある場合
  • 情報システムおよびネットワークに関する何らかのバックグラウンドを持ち、情報セキュリティに初めて携わる人

※SEC401は、GIAC(GSEC)認定試験対象コースです。

GIAC Security Essentials

GIAC Security Essentialsは、情報セキュリティに関する実務者の知識を、単純な用語や概念を超えて検証するものです。GSEC認定資格者は、セキュリティ・タスクに関して、ITシステムの実務を担当する資格があることを証明します。 

  • ディフェンスインデプス、アクセスコントロールとパスワード管理
  • 暗号:基本概念、アルゴリズムと展開、アプリケーション
  • クラウド:AWSの基礎、Microsoftクラウド

  • 防御可能なネットワークアーキテクチャ、ネットワークとプロトコル、ネットワークセキュリティ
  • インシデント処理と対応、データ損失防止、モバイルデバイスセキュリティ、脆弱性スキャンと侵入テスト

  • Linux:基礎、ハードニングとセキュリティ

  • SIEM、クリティカルコントロール、エクスプロイトの軽減

  • Web通信セキュリティ、仮想化・クラウドセキュリティ、エンドポイントセキュリティ
  • Windows:アクセスコントロール、自動化、監査、フォレンジック、セキュリティインフラ、ネットワークサービス

ハンズオンの一例

このコースのラボベースの実習パートでは、学生はコースのコンセプトを応用し、習得することができる。ラボでは、一連の危険に見舞われた架空の組織であるAlpha Incorporatedのセキュリティチームの冒険を追います。ラボは、現代の多くの組織が直面する4つの実社会のシナリオに基づいており、受講生は、キャリアを通じて直面する実社会の課題に対する鋭い理解を得ることができます。実践的な演習を通じてコースのコンセプトを習得することで、SANSの約束である「コースで学んだことは即座に職場で活用できる」という精神を実現することができます。

  • セクション1: Tcpdump; Wireshark; AWS VPC フローログ
  • セクション2: パスワード監査; データ損失防止; モバイルデバイスのバックアップリカバリ
  • セクション3: ネットワークディスカバリー; バイナリファイルの解析と特徴づけ; ウェブアプリのエクスプロイト; SIEMログ解析
  • セクション4: ハッシュ化と暗号検証、暗号化と復号化、Snort3とZeekによる侵入検知とネットワークセキュリティ監視
  • セクション5: Windowsプロセスの探索; Windowsファイルシステムのパーミッション; Windowsシステムセキュリティポリシーの適用; PowerShellを使用したスピードと拡張性
  • セクション6: Linuxパーミッション; Linuxコンテナ; Linuxログと監査

コース開発者より

「身の周りの世界を観察すると、私たちは終わりのない危険な世界に生きているように見えてきます。新たな脅威がない日はもうないのかもしれません。一見したところ、セキュリティ侵害の増加は、これまで以上に多くのシステムが、より多くのコンピュータネットワークに接続されていることが原因である可能性があります。また、セキュリティ対策の不備が原因で、セキュリティ侵害が増加している可能性もあるでしょう。

コンピュータの歴史の中で最も多くのセキュリティが利用可能な今日、世界的に増加し続ける情報漏洩の原因がセキュリティ対策の不備であるとは考えられません。そうでしょうか?真実は常に複雑です。もしかしたら、私たちは現在、増え続けるセキュリティ能力と増え続ける危険性の世界に同時に生きているのかもしれません。しかし、その答えは、「攻めることが守ることにつながる」というシンプルな考え方にあるのかもしれません。

真実は常に複雑である。私たちは今、セキュリティの能力が向上し続ける世界と、妥協が増え続ける世界を同時に生きているのかもしれない。しかし、その答えは「攻撃は防御に役立つ」という考え方と同じくらい単純なものかもしれない。SEC401では、この考え方の精神に基づき、現代の敵対者に対抗するために、あなたやあなたの組織を可能な限り最善の状態にするための、現実的で即座に実行可能な知識と情報を提供します。どのように戦い、どのように勝つかを学ぶためにご参加ください。
- Bryan Simon, Lead Author, SEC401.

 

Bryan Simonの知識と経験は驚くべきものです。SEC401のコース内容は非常に有用で、自分の仕事に活かせそうです。またラボは実用的で、講義で提示された概念の素晴らしいデモンストレーションになります。」
- Thomas Wilson, Agile Systems

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5
  • DAY6

ネットワークセキュリティとクラウドの基礎

攻撃者が企業のリソースにアクセスする際の主な侵入経路は、インターネットに接続されたネットワークです。企業側はできるだけ多くの攻撃を阻止しようとしますが、失敗してしまった場合には、時宜にかなった方法で防御しなければなりません。そのため、ネットワーク設計の種類や関係する通信フローなど、防御可能なネットワークアーキテクチャをどのように構築するかを理解することが重要です。

大小関わらずいかなる組織においても、すべてのデータが均等に作成されるわけではありません。定期的に作成されるデータもあれば、偶発的なデータもあり、非常に機密性の高いデータもあります。これらのデータが失われると、組織に回復不能な損害が生じる可能性があります。

ネットワークを利用した攻撃が重要なデータにどのようなリスクをもたらすのか、また、そのような攻撃に対して組織がどのような脆弱性を持つのかを理解することが重要です。そのためには、最新のネットワークの通信プロトコルを熟知する必要があります。

クラウドコンピューティングはパブリック、プライベートのネットワークを問わず現代のネットワークの大きなテーマです。防御可能なネットワークについての議論は、クラウドとは何か、考慮しなければならない重要なセキュリティ上の注意事項を抜きにしては成り立ちません。

敵対者も私たちと同じようにネットワークを必要としています。敵対者は、長期的な目標を達成するまで、私たちのネットワーク上のシステムからシステムへと容赦なく移動しながら、その土地で生活しています。言い換えれば、敵は自分の目標を達成するために私たちのネットワークを利用する必要があるのです。私たちのネットワークがどのように機能しているか(私たち独自のニーズに照らし合わせて)を理解することで、敵対者の活動をより簡単に発見することができます。

このセクションの終わりまでに、防御のためのネットワークアーキテクチャ、ネットワークとプロトコル、仮想化とクラウドセキュリティ、および無線通信のセキュリティについて理解します。

演習
  • tcpdumpを用いたネットワークトラフィックのスニフィングと解析
  • Wiresharkを用いたネットワークトラフィックのスニフィング、プロトコルデコード、抽出
  • Amazon Web Services(AWS)のVPCフローログの検査と解釈

トピック

モジュール:防御ネットワークアーキテクチャ

ネットワークを適切に保護・防御するためには、まず、ネットワークアーキテクチャの論理コンポーネントと物理コンポーネントの両方を明確かつしっかりと理解する必要があります。しかし、ネットワークアーキテクチャの理解を超えて、ネットワークを適切に保護・防御するためには、攻撃者がどのようにネットワークの情報システムを悪用し目的を達成するのかを確認する必要があります。

  • ネットワークアーキテクチャ
  • ネットワーク機器への攻撃
  • ネットワークトポロジー
  • ネットワークデザイン
モジュール:プロトコルとパケット解析

ネットワークの相互作用を十分理解することで、最新の (非公開含む) 攻撃をより効果的に認識、分析、および対応するために、コンピュータネットワークとプロトコルのコア領域について学習します。

  • ネットワークプロトコル
  • インターネットプロトコル(IP)
  • インターネット制御メッセージプロトコル(ICMP)
  • 伝送制御プロトコル(TCP)
  • ユーザーデータグラムプロトコル(UDP)
  • tcpdump
モジュール:仮想化とクラウドセキュリティ

仮想化とは何か、仮想化環境のセキュリティ上の利点とリスク、仮想化アーキテクチャの違いについて学習します。クラウド・コンピューティングは仮想化をベースに構築されているため、このモジュールの最後には、パブリック・クラウドおよびプライベート・クラウドとは何か、どのように機能するのか、パブリック・クラウドが提供するサービス(セキュリティ・サービスを含む)、関連するセキュリティ・コンセプトについて幅広く説明しています。

  • 仮想化の概要
  • 仮想化セキュリティ
  • クラウドの概要
  • クラウドセキュリティ
モジュール:ワイヤレスネットワークの保護

現在利用可能なさまざまなタイプの無線通信技術の違い、それらの通信に存在する不安定性、およびそれら不安定性のリスクをより許容可能なレベルのリスクに低減するための緩和アプローチについて学習します。

  • 「ワイヤレス」通信の普及
  • 従来のワイヤレス:IEEE 802.11とその継続的進化
  • パーソナルエリアネットワーク
  • 5Gセルラー (モバイル) 通信
  • モノのインターネット(IOT)

多層防御

概要

モジュール 徹底した防御

このモジュールでは、システムに対する脅威を検証し、それらに対する防御方法を全体像から見ていきます。深層防御と呼ばれる原則で、防御は何層にも重ねる必要があることを学びます。また、システムの保護に役立つ関連原則(ゼロ・トラストなど)を評価します。

  • 深層防御の概要
  • リスクの構成要素:機密性、完全性、可用性
  • 深層防護の戦略
  • コア・セキュリティ戦略
  • クラウドにおける深層防御
  • ゼロ・トラスト手法
  • 可変的信頼

モジュール IAM、認証、パスワード・セキュリティ

このモジュールでは、アイデンティティ管理とアクセス制御の原則について説明します。アクセス制御モデルはセキュリティに対するアプローチが異なるため、その基本原理、長所、短所を探ります。このモジュールには、認証と認可のプロトコルと制御に関する簡単な議論も含まれる。アイデンティティとアクセス管理についての議論は、当然、認証とパスワードのセキュリティについての議論につながります。このモジュールでは、認証のさまざまな要素(「知っているもの」、「持っているもの」、「自分であるもの」)について時間をかけて議論します。このモジュールの最後には、「あなたが知っているもの」の最も一般的な(そして問題のある)例である「パスワード」に特に焦点を当てます。

  • IAAA: 識別、認証、認可、説明責任
  • シングルサインオン(SSO): 従来のオンプレミスとクラウド(SAML と OATH)
  • パスワード管理
  • パスワード・テクニック
  • パスワード(パスフレーズ)ポリシー
  • パスワード保管
  • 鍵の導出機能
  • パスワード評価の仕組み
  • パスワード攻撃ツール(HashcatとMimikatz)
  • 多要素認証
  • 適応型認証
  • 特権アクセス管理 オンプレミスとクラウド

モジュール セキュリティ・フレームワーク

セキュリティの実装においては、適切な測定基準を含むフレームワークを持つことが重要である。よく言われるように、測定できないものは管理できません。このモジュールでは、3つのフレームワークに焦点を当てます: Center for Internet Security (CIS) Controls(組織が直面する最も重要なリスクに優先順位を付けるために作成された)、NIST Cybersecurity Framework(サイバーセキュリティの全体的なリスク管理を支援する標準、ガイドライン、ベストプラクティス)、MITRE ATT&CK knowledge base(敵の戦術とテクニック)です。CIS コントロールの優先順位付けされたアクションと、NIST サイバーセキュリティフレームワークの全体的なリスクに関する理解を、敵対者の戦術とテクニックを考慮しながら組み合わせることで、現代の敵対者に対する防御を強固なものにすることができます。

  • CIS コントロールの紹介
  • CIS コントロールの指導原則
  • ケーススタディ CIS コントロールのサンプル
  • NISTサイバーセキュリティ・フレームワーク
  • MITRE ATT&CK(TTPと既知の敵対者へのマッピング)

モジュール データ損失防止

損失か漏えいか?

本質的に、データ損失とは、データが破損したり、削除されたり、何らかの方法で読めなくなったりするあらゆる状態を指します。データ漏洩とは、特に意図しない情報開示やデータ漏えいにつながる可能性のあるインシデントのことです。このモジュールでは、データ損失またはデータ漏えいを構成する正確な内容、および適切なデータ損失防止機能を実装するために活用できる方法論について説明します。

  • 損失または漏えい
  • データ損失
  • データ漏えい
  • ランサムウェア
  • 予防策
  • 冗長化(オンプレミスとクラウド)
  • データ復旧
  • 関連規制要件(GDPRとCCPA)
  • データ損失防止ツール
  • データ流出に対する防御
  • ユーザー活動の監視

モジュール モバイル・デバイス・セキュリティ

モジュールの前半では、AndroidとiOSのモバイル・オペレーティング・システムの比較と、両者の違いを説明します。モジュールの最後には、マルウェアによる有害な攻撃の可能性とともに、両モバイルオペレーティングシステムのセキュリティ機能について簡単に説明します。

  • AndroidとiOSの比較
  • Androidのセキュリティ
  • Androidのセキュリティ機能
  • Androidについて知っておくべきこと
  • Androidのフラグメンテーション
  • アンドロイドのセキュリティ修正プロセス
  • アップルのiOSセキュリティ
  • Apple iOSのセキュリティ機能
  • iOSについて知っておくべきこと
  • iOSのアップデート
  • モバイルの問題と機会
  • モバイルデバイスの管理
  • ロック解除、ルート化、脱獄
  • モバイルマルウェア対策
  • Androidマルウェア
  • iOSマルウェア

演習

  • パスワード監査
  • データ損失防止機能を使用した調査テクニック
  • モバイルデバイスのバックアップから発見されたアーティファクトの調査

脆弱性マネジメントとレスポンス

Day3では、脆弱性が顕在化している環境の様々な領域に焦点を当てます。まず、何が脆弱性を構成するのか、どのようにして適切な脆弱性評価プログラムを実施するのがベストなのか、全体的な議論を行います。脆弱性評価とペネトレーションテストは全く異なるものですが、ペネトレーションテストは脆弱性評価と並行して議論されることが多くあります。

脆弱性評価についての議論を結論付けるにあたり、次に、侵入テストとは何か、そしてその利点をどのように活用するのがベストなのかについての議論に移ります。脆弱性は、攻撃者が発見可能な弱点であるため、脆弱性についての議論は、実際の侵害の実例に基づいた最新の攻撃方法論について真剣に議論しなければ、不完全なものになってしまいます。私たちの環境において脆弱性が顕在化する可能性のあるすべての領域の中で、おそらくWebアプリケーションは、潜在的な脆弱性とその結果として生じるリスクの最も実質的な領域の一つであると言えます。Webアプリケーションから容易に発見される脆弱性の特性から、Webアプリケーションのセキュリ ティ対策にモジュール全体の注意を集中させる必要があります。脆弱性によって(おそらくは非常に簡単に)攻撃者が発見することを可能にしているのは事実ですが、攻撃者が完全に隠れたままでいることは不可能です。ハードウェアとソフトウェアのロギング能力を活用することで、より簡単に、より短い時間で敵を発見することができます。このような能力をどのようにして発揮するかは、最後のモジュールのテーマになります。それはセキュリティ運用とログ管理です。最後に、私たちの環境が侵害された場合に適切に対応するための行動計画を考えておく必要があります。適切なインシデントレスポンスの方法論は、Day3の最終モジュールのテーマです。

演習
  • Nmapによるシステム、ポート、脆弱性の発見
  • マルウェア分析
  • Webアプリケーションの脆弱性を悪用したエクスプロイト
  • インシデントレスポンスと調査のためのSIEMログの活用

トピック

モジュール:脆弱性評価

偵察 (情報収集、ネットワークのマッピング、脆弱性のスキャン、マッピング/スキャン・テクノロジーの適用など) に使用されるツール、テクノロジー、およびテクニックについて理解します。

  • 脆弱性管理の概要
  • 脆弱性評価の実施ステップ
  • 重要度とリスク
モジュール:ペネトレーションテスト

ペネトレーションテストの役割は、大多数の組織で十分に理解されており、RedTeaming、攻撃者エミュレーション、PurpleTeamingのような新しいテスト技術が生まれました。それぞれに独自のアプローチと利点があります。多くの場合、ペネトレーションテストの範囲は限定されており、テスターが敵の行動をエミュレートしたり、模倣したりすることはできません。そこで、RedTeamingや攻撃者エミュレーションなどが活躍します。組織に最大のビジネス価値を提供するためには、ペネトレーションテストに関して、体系的かつ綿密なアプローチを取らなければなりません。

  • ペネトレーションテストの目的と意義
  • レッドチーム
  • 敵のエミュレーション
  • パープルチーム
  • 外部および内部侵入テスト
  • ウェブアプリケーション侵入テスト
  • ソーシャルエンジニアリング
  • モバイル端末のテスト
  • IoTのテスト
  • ペネトレーションテストのプロセス
  • 侵入テストツール(Nmap、Metasploit、Meterpreter)
  • パスワードの侵害、再利用、ステューフィング、および散布
  • パスワードの偽装、再利用、詰め込み、および噴霧
モジュール:攻撃と悪意あるソフトウェア

ここでは、Marriottの事件(世界中で何百万人もの人々が危険にさらされた漏洩事件)と、さまざまな業界で何十万ものシステムを麻痺させ続けているランサムウェア攻撃を見ていきます。これらの攻撃について詳しく説明し、攻撃を可能にした条件だけでなく、攻撃に関連するリスクを管理するために使われる戦略についても説明します。

  • 注目度の高い漏洩事件とランサムウエア
  • Ransomware as a Service
  • 共通の攻撃テクニック
  • マルウエアとその分析
モジュール:Webアプリケーションセキュリティ

ここでは、安全な Web アプリケーションの設計と実装に関して知っておくべき最も重要なポイントを見ていきます。まず、Web 通信の基本についての説明から始めます。その後、HTTPHTTPSHTMLCookie、認証、およびステートの保持について説明します。最後に、Web アプリケーションの脆弱性を特定して修正する方法を見て締めくくります。

  • WEBアプリケーションの基礎
  • Cookie
  • HTTPS
  •  セキュアなWebアプリケーション開発
  • OWASP Top10

  • セキュアなコーディングの基礎

  • Webアプリケーションの脆弱性
  • ウェブアプリケーション監視

  • ウェブアプリケーションファイアウォール(WAF)

モジュール:セキュリティ運用とログ管理

ここでは、ロギングの重要なコンポーネント、ロギングを適切に管理する方法、ロギングの力を最大限に活用するために理解しなければならない考慮事項を学習します。

  • ロギングの概要
  • ログ・コレクション・アーキテクチャ
  • ログのフィルタリング
  • 受け入れられていないログ標準
  • ログ標準の設定と構成
  • ログ分析ツール
  • ログの集約とSIEM
  • 主なログ収集活動
モジュール:デジタルフォレンジックとインシデントレスポンス

ここでは、インシデントハンドリングの基本と、なぜそれが組織にとって重要なのかを探ります。そして、独自のインシデントハンドリング手順を作成するためのマルチステップ・プロセスの概要を説明します。また、デジタルフォレンジックの方法論を学習し、プロセスが再現性があり検証可能であることを保証する方法についても説明します。

  •  デジタルフォレンジックの基礎
  • デジタルフォレンジックとは?

  • 実際のデジタルフォレンジック
  • 調査のプロセス
  • フォレンジックとして健全な状態を保つ

  • デジタルフォレンジックアーチファクトの例
  • DFIRの分野

  • デジタルフォレンジックツール

  • インシデントハンドリング基礎
  • インシデントハンドリングのためのマルチステッププロセス

  • インシデントレスポンス:脅威ハンティング

データセキュリティ技術

セキュリティ対策に特効薬はありません。しかし、多くのセキュリティ問題の解決に役立つと思われながらほとんどの会社で実装されていない技術があります。その技術とは、暗号化です。暗号化はメッセージの意味を隠してしまうことで、権限のない者による機密情報の読み取りを阻止できます。4日目は、暗号化のさまざまな側面と企業の資産を保護するための暗号の使用法について見ていきます。

後半では、攻撃者が組織にアクセスするのを阻止するために使用されるいくつかの予防技術(ファイアウォール、IPS(侵入防止システム))と、ネットワーク上の攻撃者の存在を検知するための様々なタイプの検知技術(IDS(侵入検知システム))に焦点を当てていきます。これらの予防技術と検知技術は、ネットワークやエンドポイントの観点から実装することができ、それぞれの技術を適用することに関する類似点と相違点を探ります。

演習
  • ハッシュ化と暗号検証
  • 暗号化、復号化、デジタル署名技術
  • SnortとZeek侵入検知システムを活用したインシデント検知

トピック

モジュール:暗号

暗号を使用して、機能上の機密性、完全性、認証、および情報の否認不可を提供することができます。暗号システムには一般的に、対称型、非対称型、ハッシュ型の3種類がある。 これらの方式は通常、使用される鍵の数によって互いに区別されます。 ここでは、これら異なるタイプのアルゴリズムと、各タイプを使用して特定のセキュリティ機能を提供する方法について学びます。 

  • 暗号システムの基礎知識
  • 暗号解読
  • 暗号解析
  • 暗号システムの一般的な種類(対称、非対称、ハッシング)
  • デジタル署名
モジュール:暗号アルゴリズムと実装

このモジュールの内容は、現代の暗号技術に寄与する数学的概念の高レベルな理解を深めるのに役立ちます。また、暗号の防御を覆すために使用される一般的な攻撃についても確認します。 

  • 暗号の概念
  • 対称鍵暗号と非対称鍵暗号
  • AES
  • RSA
  • ECC
  • 暗号に対する攻撃
モジュール:暗号技術の活用

このモジュールでは、転送中データの保護と保存データの保護という観点から、暗号の実用的なアプリケーションについて説明します。最後に、公開鍵の管理(および関連する証明書の概念)について、公開鍵基盤の観点から重要な議論を展開します。

  • 伝送のデータ
  • 仮想プライベート・ネットワーク(VPN)、IPsecとSSLベース
  • 静止データ
  • ファイル/フォルダレベルの暗号化
  • フルディスク暗号化
  • GNUプライバシーガード(GPG)
  • 鍵管理
  • 公開鍵インフラストラクチャ(PKI)
  • デジタル証明書
  • 認証局(CA)
モジュール:ネットワークセキュリティデバイス

このモジュールでは、ネットワーク・セキュリティ・デバイスの3つの主要カテゴリーについて説明します。ファイアウォール、ネットワーク侵入検知システム(NIDS)、ネットワーク侵入防止システム(NIPS)です。これらの機器を組み合わせることで、予防と検知の機能を補完することができます。

  • ファイアウォールの概要

  • ファイアウォールの種類

  • ファイアウォールの構成と導入に関する考察

  • NIDS

  • NIDSの種類

  • NIDSとしてのSnort

  • NIPS

  • NIPSの導入方法

  • NIPSのセキュリティと生産性リスクに関する考察

モジュール:エンドポイントセキュリティ

ここでは、エンドポイントセキュリティを実装するための重要なコンポーネント、戦略、およびソリューションを検討します。主に、エンドポイントセキュリティへの一般的なアプローチ、ベースラインアクティビティのための戦略、ホストベースのIDSHIDS)やホストベースのIPSHIPS)のようなソリューションが含まれます。

  • エンドポイントセキュリティの概要

  • エンドポイント・セキュリティのコア・コンポーネント

  • エンドポイントセキュリティの強化

  • エンドポイント・セキュリティ・ソリューション

  • マルウェア対策

  • エンドポイント・ファイアウォール

  • インテグリティ・チェック

  • HIDS、HIPS、EDR 

WindowsとAzureのセキュリティ

Windowsがシンプルだった頃を覚えているでしょうか。Windows XPが小さなワークグループを占めていた以前のことはどうでしょうか。あれから、多くの技術的革新があり、今日ではWindowsTabletやAzure、Active Directory、PowerShell、Office365、Hyper-V、仮想デスクトップインフラ(VDI)などが私たちの周りに普及していますが、マイクロソフトはGoogleやApple、アマゾンをはじめとしたクラウドサービスの巨人たちを相手に覇権争いを繰り広げています。

Windowsは、世界中で最も広く使われ、かつターゲットにされているているオペレーティングシステムです。同時に、Active Directory、PKI、BitLocker、AppLocker、およびユーザーアカウント制御の複雑さは、課題でもあり有益にも成り得ます。ここでは、オンプレミスおよびクラウド(Microsoft Azure)の両方で作業を簡略化・自動化できるツールを学習します。Windowsエコシステムの自動化と監査機能を確認し、Windowsセキュリティの基礎を身につけることができます。

演習
  • プロセスの観察と分析
  • インシデントレスポンスの一環としてのNTFSファイルシステムのパーミッション分析
  • セキュリティ・テンプレートによるシステム・ベースライン設定の監査と実施
  • スピードとスケールのためのPowerShellスクリプトと自動化テクニック

トピック

モジュール:Windowsセキュリティインフラ

Windowsセキュリティをサポートするインフラストラクチャについて理解します。これは、Windowsセキュリティモデルの全体像で、以降のすべてを理解するために必要な背景概念について学習します。

  • Windows製品ファミリ
  • Windowsワークグループとアカウント
  • Windows Active Directoryとグループポリシー
モジュール:Windows as a Service

このモジュールでは、アップデート(パッチ)や新しいクラウドベースの展開方法(Windows AutopilotおよびWindows Virtual Desktop)に適用されるWindowsシステムの管理手法について説明します。

  • サポート終了
  • サービスチャネル
  • Windows Update
  • Windows Server Update Services (WSUS)
  • Windows オートパイロット
  • Windows仮想デスクトップ
モジュール:Windowsアクセスコントロール

Windows NTファイルシステム ( NTFS ) 、共有フォルダ、Active Directory、および特権でアクセス許可がどのように適用されるかについて理解します。BitLockerドライブ暗号化については、別形式のアクセス制御 (暗号化された情報) 、およびトラステッドプラットフォームモジュールを使用している場合に、起動プロセスの整合性の維持を支援するツールとして学習します。

  • NTFSアクセス許可
  • 共有フォルダのアクセス許可
  • Active Directory
  • 権限
  • 特権
  • BitLockerドライブの暗号化
モジュール:セキュリティポリシーの実装

セキュリティ構成の変更を自動化するための最も優れたツールの1つであるSECEDIT.EXEについて理解します。ここでは、パスワード・ポリシー、ロックアウト・ポリシー、ヌル・ユーザー・セッションの制限など、このツールを使用して行う最も重要な変更について学習します。また、グループポリシーオブジェクト (GPO) と、GPOによってドメイン全体に適用できるセキュリティ構成の変更についても学習します。

  • セキュリティテンプレートの適用
  • セキュリティ構成と分析スナップイン
  • ローカルグループポリシーオブジェクト
  • ドメイングループポリシーオブジェクト
  • 管理ユーザー
  • 特権アカウント管理
  • 管理者権限の削減
  • AppLocker
  • ユーザーアカウント制御
  • Windowsファイアウォール
  • IPsecの認証と暗号化
  • リモートデスクトップサービス
  • 推奨されるGPO設定の検証
モジュール:マイクロソフトのクラウドコンピューティング

LANの中にも、クラウドの中にも、さまざまなサーバーが混在していると思います。MicrosoftのクラウドはAzureとして知られています。このAzureの上に、Microsoft 365Exchange OnlineOneDriveIntuneなどのサービスが実装されています。マイクロソフトはWindows 10以降のバージョンをAzureとの連携を前提に設計しているため、Windowsのセキュリティには、Windows単体だけでなく、Azureも含まれています。Microsoft Azureの本質的な概念を理解することは、セキュリティ専門家としてのキャリアにとって重要です。

  • マイクロソフトのクラウドコンピューティングへの全面的な賭け
  • マイクロソフトのクラウドの種類。IaaS、PaaS、SaaS、そしてDaaS
  • Microsoft Azure
  • Entra ID (Azure Active Directory)
  • Entra ID シングルサインオン
  • マルチファクタ認証
  • 管理者ロールの削減
  • エンドポイントセキュリティの強化
  • Microsoft Intune
  • Azure コンディショナル・アクセス
  • Azure Key Vault
  • Azure モニタ
  • Azure Sentinel (SIEMおよびSOAR)
  • Azure ポリシー
  • Azureセキュリティセンター
モジュール:処理の自動化、ロギング、監査

自動化、ロギング、監査の機能連携は、作業を自動化できなければ、監査とフォレンジックの作業はまったく (または散発的にしか) 行われないか、直接操作できる小規模なマシンを超えて拡張することはできません。

ありがたいことに、現代のWindowsシステムには非常に強力な自動化機能が備わっています。PowerShellです。PowerShell とは何か、そして、実装の一貫性、変更の検出、システムの修復、さらには脅威の探索を追求するために PowerShell をどのように活用するかを学びます。

  • Windows PowerShellとは?
  • Windows PowerShellとPowerShell Coreの比較
  • Windows Subsystem for Linux (WSL)
  • Azureの自動化とコマンドライン機能(PowerShell AzモジュールとAzure CLI)
  • Azureクラウドシェル
  • ランブック
  • 変更検出と分析による継続的な運用データの収集
  • 継続的な運用データの収集
  • 変更検出と分析の採用

Linux, AWS, およびMacのセキュリティ

多くの組織では、それほど多くのUnix/Linuxシステムは所有していませんが、最も保護すべき重要なシステムの一部です。
最終日の内容は、業界の合意基準をベースに、あらゆるLinuxシステムのセキュリティを向上させるガイダンスを提供します。Linux初心者のための背景情報を含む実践的な手引きから、あらゆるレベルの専門家向けのセキュリティアドバイスや「ベスト・プラクティス」までを包含する内容になっています。

Linuxは「無料の」オペレーティングシステムであることから、多くの先進的なセキュリティコンセプトが最初にLinuxのために開発されたことは驚くべきことではありません。コンテナがよい例です。コンテナはクラウドコンピューティングにおいて強力かつ柔軟なコンセプトを提供します。コンテナは、情報セキュリティのために特別に設計されたものではありませんが、最小の要素に基づいて構築されており、これは情報セキュリティ全体の方法論の中で(多層防御の一部として)活用することができます。コンテナは、情報セキュリティにとって何を意味し、何を意味しないのか、そしてその管理のためのベスト・プラクティスについて十分に議論されます。LinuxとUNIXの概念を説明するには、本コースの第5章で説明するMicrosoft AzureとAWSの比較をしなければなりません。ここでは、AWSの基礎知識を検証し、利用可能な優れたセキュリティ管理について説明します。最後に、UNIXをベースにしたアップル社のmacOSのレビューでこのセクションを締めくくります。Appleの由緒あるmacOSは、ハードウェアとソフトウェアのセキュリティのための広範な機会を提供していますが、実際に何ができて何ができないのかという点で、しばしば誤解されています。

演習

  • Linuxのパーミッション
  • コンテナとログの概念
  • Linuxのログと監査機能

トピック

モジュール:Linux基礎
ここでは、Linux システムの設定と保護方法を理解するために必要な基礎的項目について学習します。
  • オペレーティングシステムの比較
  • Linuxの脆弱性
  • Linuxオペレーティングシステム
  • シェル
  • Linuxカーネル
  • Linuxファイルシステムと本質的なセキュリティ機能
  • 静止時の暗号化
  • アクセス許可
  • ユーザーアカウント
  • PAM サブシステム
  • コマンドライン機能
  • サービスのハードニング
  • パッケージ管理
モジュール:コンテナ化されたセキュリティ

セグメンテーションと分離に関する技術の重要性を無視することはできません。分離技術は、攻撃者によって引き起こされる初期のダメージを軽減するのに役立ち、検出までの時間を長くすることができます。このモジュールでは仮想化やコンテナなど、さまざまなタイプの分離技術について説明します。コンテナは(情報セキュリティの観点から見て)比較的新しい概念です。コンテナを使用することで、どのようなセキュリティ上のメリットがあるのか、またコンテナ自体に顕在化する可能性のある潜在的なセキュリティ問題については、多くの誤解があるかもしれません。ここでは、コンテナとは何か、コンテナの展開のベストプラクティス、そしてコンテナをどのようにしてセキュリティを確保するかを学習します。

  • 仮想化
  • コンテナとVM
  • コンテナとオーケストレーション
  • LXC
  • Cグループと名前空間
  • ドッカー
  • Dockerイメージ
  • Kubernetes
  • コンテナ・セキュリティ
  • Dockerのベストプラクティス
  • 脆弱性管理とセキュアな構成ベースライン
モジュール:Linuxセキュリティサービスの強化とインフラ

ここでは、最新の Linux システムに追加のセキュリティとロックダウン機能を提供するセキュリティ強化ユーティリティについて説明します。このコースで以前に議論したように、ロギング機能を活用することは、現代のサイバーディフェンスにおいて非常に重要です。よく知られているSyslogロギングスタンダード(およびその関連機能)に対するLinuxのサポートについて説明します。Syslogが老朽化し続けると、現代のサイバーディフェンスが必要とするロギング機能を提供できなくなるかもしれません。そのため、追加のロギング機能の強化 syslog-ngからauditdまで について学習していきます。

  • オペレーティングシステムの強化
  • SELinux
  • AppArmor
  • Linuxハードニング
  • カーネル・モジュールのセキュリティ
  • SSHハードニング
  • CISハードニング・ガイドとユーティリティ
  • ログファイル
  • シスログ
  • シスログ・セキュリティ
  • ログのローテーション
  • 監査
  • ファイアウォール ネットワークとエンドポイント
モジュール:macOSセキュリティ

ここでは、macOSシステムに組み込まれているセキュリティ機能の概要に焦点を当てます。macOSは比較的安全なシステムであり、さまざまなセキュリティ機能を備えていますが、他のソフトウェアと同様に問題がある可能性もあります。

  • macOSとは?
  • プライバシーコントロール
  • キーチェーン
  • 強固なパスワード
  • ゲートキーパー
  • フィッシング対策とダウンロード保護
  • XProtect
  • ファイアウオール
  • FileVault
  • サンドボックス化とランタイム保護
  • セキュリティ囲い込み
  • macOSの脆弱性とマルウエア

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。