Industrial Control Systems 515

重要！この説明書に従って設定されたノートPCを持参してください。
講義の全てのコンテンツに参加するためには、適切に設定されたノートPCが必要です。この指示に従わないと、このコースの演習に参加することができず、満足のいく授業を受けることができない可能性が高いです。そのため、以下の条件をすべて満たすシステムを用意することを強くお勧めします。

授業の前にシステムをバックアップしてください。それよりも、機密データや重要なデータがないシステムを使用してください。SANSは、あなたのシステムやデータに対して責任を負いません。

• CPU: 64 ビット Intel i5/i7 (第 8 世代以降)、または AMD の同等品。このクラスには、x64 ビット、2.0+ GHz 以降のプロセッサが必須です。
• クリティカル: Apple Silicon デバイスは必要な仮想化を実行できないため、このコースではまったく使用できません。
• 「Intel-VTx」や「AMD-V」拡張機能などの仮想化テクノロジーを有効にするには、BIOS 設定を設定する必要があります。変更が必要な場合に備えて、パスワードで保護されている BIOS にアクセスできることを絶対に確認してください。
• 16GB以上のRAMが必要です。
• 160GB以上の空きストレージ容量が必要です。
• 少なくとも 1 つの使用可能な USB 3.0 Type-A ポート。新しいラップトップには、Type-C - Type-A アダプターが必要になる場合があります。一部のエンドポイント保護ソフトウェアでは USB デバイスの使用が妨げられているため、授業前に USB ドライブを使用してシステムをテストします。
• ワイヤレスネットワーク(802.11標準)が必要です。教室には有線インターネットアクセスはありません。

必須のホスト構成とソフトウェア要件

• ホスト オペレーティング システムは、最新バージョンの Windows 10、Windows 11 以降である必要があります。
• クラスの前にホストオペレーティングシステムを完全に更新して、適切なドライバーとパッチがインストールされていることを確認します。
• Linux ホストは、バリエーションが多数あるため、教室ではサポートされていません。ホストとして Linux を使用することを選択した場合は、コース教材や VM と連携するように Linux を構成する責任が単独で負われます。
• ローカル管理者アクセスが必要です。(はい、これは絶対に必要です。IT チームに別のことを言わせないでください。会社がコース期間中このアクセスを許可しない場合は、別のラップトップを持参する手配をする必要があります。
• ウイルス対策ソフトウェアまたはエンドポイント保護ソフトウェアが無効になっているか、完全に削除されているか、または管理者権限を持っていることを確認する必要があります。コースの多くは、オペレーティングシステムへの完全な管理アクセスを必要とし、これらの製品によりラボを完了できない場合があります。
• エグレストラフィックをフィルタリングすると、コースでラボを達成できない場合があります。ファイアウォールを無効にするか、無効にするには管理者権限が必要です。
• クラス開始前に、VMware Workstation Pro 16.2.X+ または VMware Player 16.2.X+ (Windows 10 ホストの場合)、VMware Workstation Pro 17.0.0+ または VMware Player 17.0.0+ (Windows 11 ホストの場合) をダウンロードしてインストールします。VMware Workstation Pro のライセンス コピーをお持ちでない場合は、VMware から 30 日間の無料トライアル コピーをダウンロードできます。VMware の Web サイトでトライアルに登録すると、期間限定のシリアル番号が送信されます。また、VMware Workstation Player が提供する機能は VMware Workstation Pro よりも少ないことにも注意してください。Windows ホスト システムを使用している場合は、よりシームレスな学生エクスペリエンスを実現するために Workstation Pro をお勧めします。
• Windows ホストでは、VMware 製品は Hyper-V ハイパーバイザーと共存しない可能性があります。最適なエクスペリエンスを得るには、VMware が仮想マシンを起動できることを確認します。これには、Hyper-V を無効にする必要がある場合があります。Hyper-V、Device Guard、Credential Guard を無効にする手順は、コース教材に付属のセットアップ ドキュメントに記載されています。
• ダウンロードしてインストールする7zip(Windows ホストの場合)。このツールは、ダウンロードしたコース教材にも含まれています。

コースメディアはダウンロードで配信されます。クラスのメディアファイルは大きくなる可能性があります。多くは40〜50GBの範囲で、100GBを超えるものもあります。ダウンロードが完了するまで、十分な時間を確保する必要があります。インターネット接続と速度は大きく異なり、さまざまな要因によって異なります。したがって、資料のダウンロードにかかる時間の見積もりを与えることはできません。リンクを取得したらすぐにコースメディアのダウンロードを開始してください。授業初日にすぐにコースメディアが必要になります。これらのファイルのダウンロードを開始するのは、授業の前夜まで待たないでください。

コース教材には、ライブクラスイベントに参加したり、オンラインクラスを開始したりする前に実行する必要がある重要な手順を詳述した「セットアップ手順」ドキュメントが含まれています。これらの手順を完了するには、30分以上かかる場合があります。

ICS515: ICS Visibility, Detection, and Responseは、産業制御システム(ICS)/運用技術(OT)ネットワークの可視化と資産識別、サイバー脅威の監視と検出、ICSサイバー攻撃の分解と教訓の抽出、インシデントレスポンスの実行、安全で信頼性の高い運用を保証するための世界をリードするICSサイバーセキュリティプログラムの実行に向けたインテリジェンス主導のアプローチを支援します。

本コースでは、ネットワーク化された産業制御システム（ICS）環境の理解から、システムに対する脅威の監視、特定された脅威へのインシデントレスポンス、および攻撃者と対峙可能なネットワークセキュリティの強化につなげていくようになっています。このアプローチは、STUXNET、HAVEX、BLACKENERGY2、CRASHOVERRIDE、TRISIS/TRITON、ランサムウェアなどのマルウェアで見られるような高度な脅威に対抗するために重要です。さらに、この取り組みは、現代の複雑なオートメーション環境を理解し、運用し、ネットワーク上に現れる非サイバー関連事象の根本原因分析を達成するためにも重要です。このコースは、ICSサイバーセキュリティプログラムに必要なコアスキルを習得することができます。

このコースでは、脅威の検出と対応を高度にシミュレートするために、ICSレンジと機器からの多数の技術データセット、模擬攻撃、レンジに展開された実世界のマルウェアを使用した実践的なアプローチを採用しています。また、プログラマブルロジックコントローラ（PLC）、発電・送電・配電レベルの電力システム運用をエミュレートする物理キット、ヒューマンマシンインターフェース（HMI）およびエンジニアリングワークステーション（EWS）として設定された仮想マシンを操作・管理することもあります。

学生はコースの約半分を費やし、25以上の技術演習と終日の技術キャップストーンを通し、実技を行います。ICSサイバーセキュリティ戦略の定義、脅威インテリジェンスの活用、ネットワークセキュリティ監視、インシデントレスポンスについて、実践的かつ技術的に理解することができるようになります。ICSサイバーキルチェーン、コレクションマネジメントフレームワーク、アクティブサイバーディフェンスサイクルなどのフレームワークを学び、授業後に活用できる再現性の高いフレームワークとモデルを身につけます。

主な内容：

• セキュリティ運用に注力したインシデントレスポンスを実施し、運用の安全性と信頼を優先させる方法。
• 環境を維持するために必要な、脅威情報の生成プロセス、コミュニティからの入手方法や活用方法。ICS脅威情報の詳細な分析と適用を定期的に行うスキル。
• 資産とそのネットワークトポロジを特定する方法、および注目すべきICSでの異常や脅威を監視する方法。ICSネットワークセキュリティ監視などの方法論と制御システムの脅威環境を低減するための方法。
• 素早く環境の特定をするために必要な、重視すべき情報と脅威の根本原因の理解につながるマルウェアの分析方法
• 攻撃を受ける中で、運用チームや意思決定者に対して、稼動停止をするか否かの指示を行うために必要な情報の取得方法。
• アクティブディフェンスと防護を目的とした、複数のセキュリティ施策の相互連携方法。テクニカルコンセプトとハンズオンの二つで補強します。

本講座受講にあたっての前提

ITまたはICSの経験がある方のほか、SANSのICS410、ICS456、SEC401またはそれらと同等のサイバーセキュリティに関する経験をお持ちの方。ICSに関する経験は必須ではありませんが、SCADA、DCS、PLC、RTUなどのICS用語やOT環境におけるリスク分解と緩和アプローチに関する理解があることをお勧めします。

• ICSインシデントレスポンスチームのリーダーまたはメンバーで、ICSを安全に運用するために必要な、高度な脅威に対応する方法に学びたいと考えている方。
• ICSや運用、およびセキュリティプロフェッショナルで、ICSアクティブディフェンスを活用し、ネットワークセキュリティ監視や脅威情報の取組みについて学びたい方
• ITセキュリティプロフェッショナルで、ICSプロトコル、脅威、優先順位など、ICS分野の知識を伸ばしたい方
• SOCチームやアナリストで、ICS SOCやデュアルIT/OT SOCにおいて、OTネットワークやICS資産を関する方法を学びたい方
• ICSレッドチームとペネトレーションテスターの方で、最新の防御戦略のなかで、　最大限のパフォーマンスを発揮し、ICSネットワークの改善ポイントを見出したい方
• アクティブディフェンスを担当する方で、自ら高度な標的型攻撃を特定し、対応する方法を学びたい方

• アクティブディフェンスの概念と応用、ICS環境における検知と分析
• ICS環境におけるディスカバリーとモニタリング、ICSに特化したデジタルフォレンジック、ICSに特化したインシデントレスポンス
• マルウェア解析技術、ICS環境における脅威解析、脅威インテリジェンスの基礎

• ネットワークにおける高度な脅威を特定するうえで、必要なネットワークの基本情報を得ることを目的としたICSネットワークの検査、資産情報やそのデータフローを特定します。
• アクティブディフェンスのコンセプトを活用し、脅威情報の使いかたやネットワークセキュリティ監視、マルウェア分析など、ICS防御に焦点を定めたインシデントレスポンスの進め方を理解します。

•  ICS515 Student Kitを使用した独自PLCの作成をします。

• STUXNET、HAVEX、BLACKENERGY2、CRASHOVERRIDE、TRISIS/TRITON、EKANSなどのICS標的型脅威とマルウェアに関する深い知識を得ることができます。
• Shodan、Wireshark、Zeek、Suricata、Volatility、FTK Imager、PDF アナライザ、PLC プログラミングソフトウェアなどの技術ツールの利用
• YARAでIOC(indicators of compromise)を作成する。
• Sliding Scale of Cybersecurity、Active Cyber Defense Cycle、Collection Management Framework、ICS Cyber Kill Chain などのモデルを利用して、脅威から情報を抽出し、ICS ネットワークセキュリティの長期的成功を促進するために利用することができる。

ハンズオン

• ICS515 Student Kitを用いたPLCの構築。
• Shodanを用いた資産情報の確認。
• 競合仮説分析
• 脅威情報レポートの取り込み
• ラボのネットワーク上でadvanced persistent threat （APT）の影響を受けたHuman Machine Interface（HMI）にインシデントレスポンダーを誘導するための新しいアクティブ・ディフェンス・スキルの確認
• ネットワーク上で確認されたAPTマルウェアの影響を受けているシステムを特定し、分析可能な脅威のサンプルを収集
• 感染したHMIと特定されたAPTマルウェアのサンプルから、マルウェアを分析し、情報を抽出し、アクティブディフェンスを完成させるためのYARAルールを作成
• SANS ICS515 Student Kitに侵入して収集したライブデータ、およびマルウェアに感染した分散制御システム（DCS）から収集したデータを含む、3種類の実地シナリオに対応します。