下のボタンを押すと、NRIセキュアのお申し込みサイトに遷移します。
Continuous Monitoring and Security Operations
Blue Team Operations
English2024年10月21日(月)~2024年10月26日(土)
1日目: 9:00-19:30
2日目~5日目: 9:30-19:30
6日目: 9:30-17:30
◆LiveOnline形式
オンライン
早期割引価格:1,220,000 円(税込み 1,342,000 円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。
通常価格:1,350,000 円(税込み 1,485,000 円)
※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
重要:次の指示に沿って設定されたシステムをご用意ください。
講義の全てのコンテンツに参加するためには、適切に設定されたノートPCが必要です。この指示に従わないと、このコースの演習に参加することができず、満足のいく授業を受けることができない可能性が高いです。そのため、以下の条件をすべて満たすシステムを用意することを強くお勧めします。
授業の前にシステムをバックアップしておくこと。より良い方法は、機密データやクリティカルなデータのないシステムを使用することです。SANSはあなたのシステムやデータについて責任を負いません。
SEC511ホストOSの必須要件
LiveOnlineでのコースメディアの事前準備、テキストについて
コースのメディアがダウンロード版で配信されるようになりました。授業で使用するメディアファイルは大容量で、40〜50GBの範囲で、100GBを超えるものもあります。ダウンロードに必要な時間は様々な要因に左右されるため、所要時間を見積もることはできませんが、非常に時間がかかってしまう場合もあります。メールよりダウンロードリンクを取得したら、コースメディアのダウンロードを開始してください。コースメディアは授業初日すぐに必要になります。開始前夜などにダウンロードを開始すると、失敗する可能性が高くなりますので、時間に余裕をもってご準備ください。
コース教材には「セットアップ手順」という文書が含まれています。この文書には、ライブ・クラスのイベントに参加する前、またはオンライン・クラスを開始する前に行わなければならない重要な手順の詳細が記載されています。これらの手順を完了するには、30分以上かかる場合があります。
あなたのクラスでは、ラボの指示に電子ワークブックを使用します。この新しい環境ではセカンドモニターやタブレット端末を使って、授業の資料を見られるようにしておくと便利です。
ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください。(英文)
現代の企業を保護し、継続的に監視するためには、複数のパブリッククラウドプロバイダー、継続的なオンプレミスインフラ、そしておそらくは従来のセキュリティ境界線から外れている相当数のリモートワーカーを考慮する必要があります。
ハイブリッド化が進む組織が直面する新たな現実への適応と進化に失敗したセキュリティ・チームは、時代遅れのメンタル・モデルや不適切な戦術を採用するリスクを負うことになる。継続的なモニタリングは、セキュリティ・チームに継続的な進化を要求する。多くの組織が、クラウドのセキュリティに注力する一方で、オンプレミスのセキュリティは後回しにしてしまうという重大な過ちを犯している(あるいはその逆)。両方のニーズを適切にバランスさせる必要がある。攻撃者は、継続的な成功を確実にするために、常にテクニックを進化させています。私たちは、この変化する脅威の状況に防御を適応させなければなりません。
上記のリストは、あなたが学ぶ知識とスキルの概要を簡単に説明したものですが、このコースが提供する内容のほんの表面をなぞったにすぎません。コースの至る所に盛り込まれた実践的な要素は、重要な概念と原則を強化します。
GIAC Continuous Monitoring (GMON)認定は、侵入を阻止し、異常な活動を迅速に検出する能力を証明するものです。GMON認定者は、防御可能なセキュリティ・アーキテクチャ、ネットワーク・セキュリティ監視、継続的な診断と緩和、継続的なセキュリティ監視に関する知識を実証しています。
「多くの企業・組織は攻撃者から侵害される可能性があり、その可能性と向き合い始めたばかりです。境界防御に焦点を当てた予防的セキュリティ管理だけでは防ぐことはできません。攻撃者は、単に組織内の抜け穴を見つけるに過ぎず、内部セキュリティ管理の欠如は、攻撃者が目標を達成するために時間を費やすことを可能にしてしまいます。このコースでは、”セキュリティアーキテクチャと持続的監視の現状”を評価して、容易に理解しながら擁護できるセキュリティアーキテクチャに対する新しいアプローチについて学びます。私たちがこのコースで最も気に入っているのは、受講生がこれから取り組む上で、敵を断念させる最も効果的な形で組織化するためのアクション項目リストがあることです。受講生は、自組織のセキュリティアーキテクチャの不備を評価し、期待される警戒値からの偏りを継続的に監視できるような意味ある変化をもたらすことでしょう。」
- Eric Conrad and Seth Misenar
SEC511は、学ぶべき具体的な事柄に焦点を当てるだけでなく、分析的な考え方を促進するのにも役立っている。
- Calvin Harris, Exelon
侵入防止に偏重したセキュリティモデルは失敗に終わっています。現実の侵害被害の頻度と規模を考えれば、別に驚くべきことではないでしょう。企業のシステムとネットワークが敵の支配下に陥ることを防ぐには、問題の根本に対処するために現在のアーキテクチャとセキュリティデザインのギャップを理解しなければなりません。では、何を改善する必要があるのでしょうか。そして、敵に打ち勝つことができるのでしょうか。何を行えば、勝てるのでしょうか。本質的なセキュリティ体制を改善するのであれば、これらの問いに答えなければなりません。
このコースでは、このような問い・目標に達するために必要なコア技術、セキュリティの原則を示していきます。近年の効率的なSOCやセキュリティアーキテクチャは、迅速な侵入検知と封込および対処能力を前提としています。目的を達成するためには、持続的な監視の実現と関連する膨大な知識が必要です。
現在の環境について課題を理解し、理想とはほど遠いことについて気付きましょう。現状と理想のギャップを埋めるため、詳細なロードマップが必要です。2日目はゼロトラストアーキテクチャ(ZTA)を紹介し、ネットワークセキュリティアーキテクチャとSOCの防衛を考えるにあたり、構成するインフラのコンポーネントを詳細に解説していきます。我々は長い間、境界を守るファイアウォールと随所に導入したアンチウィルスでセキュリティ対策は充分だ、と考えてきました。しかし今日では多数のセキュリティコンポーネントがあり、現代のセキュリティアーキテクチャはそれらを組み合わせて構築されています。
また、次世代ファイアウォール、Web アプリケーション ファイアウォール、マルウェアデトネーションデバイス、SIM、DLP、ハニーポットといったまだ企業に取り入れられることが少ないテクノロジーに関しても解説していきます。そして、3/4レイヤーのファイアウォール、ルーター、スイッチ、NIDSといった古くからあるネットワーク機器をどう再利用していくかも合わせて解説します。このコースで数多くの機器やセキュリティ対策を紹介し解説しますが、何もこれらを次年度の予算に加えるべきといったことではなく、あなたの企業における現状のサイバーセキュリティアーキテクチャの機能を最大化するためには、どの新しいテクノロジーがもっとも適切で費用対効果(ROI)があるかを判断できるようにするためです。
多くの組織にとって、SOCとセキュリティアーキテクチャのデザインに関してパラダイムシフトが起きています。可視化と探知機能の強化です。しかし、デザインは始まりに過ぎません。もっとも重要なことは、侵入を検知することです。3日間かけて可視化と探知機能の強化をデザインに盛り込む方法について、議論してきました。4日目は、侵害により残される痕跡や変更を持続的に監視して、いかに見つけていくかを見ていきます。
それにはまず、監視のアプローチと目的を理解し、適切な分析手法を選択できるようにならなければなりません。ネットワークセキュリティ監視(NSM)、持続的な診断と緩和(CDM)、持続的なセキュリティ監視(CSM)といった用語(概念)は、誤解されがちですので、これらを正しく理解し組織のベストプラクティスとして導入できるよう解説していきます。持続的監視(continuous monitoring)の必要性は、クリティカルセキュリティコントロール(CSC)で強く推奨されている事項でもあります。
次に、堅牢なモデルであるネットワークセキュリティ監視(NSM)を採用して、持続的な監視を行う方法を解説していきます。NSMは、データを分析して侵入や不正行為の可能性を早期検出と対処を実現します。
近年の攻撃の顕著な特徴として、クライアントサイドのエクスプロイトに重点が置かれていることがあります。一旦クライアントに侵入されてしまうと、そこから社内ネットワークにあるパッチがあたっていない無数のメールサーバー、ウェブサーバー、DNSサーバーに横展開されてしまいます。このような背景から、クライアント侵害のリスクを低減することは、必須事項といえるでしょう。4日目は、エンドポイントシステムに焦点をあてて解説していきます。攻撃に対して柔軟性を持ち、侵害調査を行う上で必要な機能を強化するさまざまな対策を紹介していきます。
ネットワークセキュリティ監視(NSM)を始めることで、侵入や不正行為が起きていることを検知することができるようになりました。しかし、我々のシステム、ネットワーク、アプリケーションに対して、いつ侵害が増加傾向にあるのかを知りたくなるはずです。これを実現する戦略として、持続的なセキュリティ監視(CSM)、持続的な診断と緩和(CDM)があります。どんな対策が必要かを判断するために、半期または年1回に脆弱性テストを行って診断結果を待つのに比べて、持続的な監視(CM)は、プロアクティブかつ継続的に診断を繰り返し、現在のセキュリティ状態から対処すべき脆弱性について即座に把握することができます。
しかし、それには大量なデータを解析する必要があります。実現するためには、スクリプティングと自動化が不可欠です。当然、ベンダー製品や既存ツールにはこの課題を解決するよう作られているものがありますが、手動でカバーしなければならない範囲や機能や監視項目があり、自動化には不完全です。5日目は、シンプルなツールとスクリプトを使って持続的な監視を行う方法を解説していきます。
スクリプトによる自動化の方法を知ったとしても、何のデータを継続的に監視して分析する必要があるか知らなければ意味がありません。そのため、クリティカルセキュリティコントロール(CSC)について再び振り返り、優先的に企業環境で持続的に監視する価値があるものについて議論していきます。
コースのクライマックスは、チーム単位での設計、探知、旗の防衛競技である。NetWarsを活用した6日目は、1週間を通して学んだ原則を実践する1日です。
それぞれのチームは、1週間で学んだ現代のサイバー防衛技術の習得を確実にするために、複数のレベルで構成されたミッションを進めていきます。セキュリティアーキテクチャ、ネットワークセキュリティの監視、エンドポイントのセキュリティ、継続的な監視からなるこの挑戦的なエクササイズは、楽しく実践的なチームベースの課題を通じ、重要な原則を身のあるものとします。