SECURITY 511

Cybersecurity Engineering: Advanced Threat Detection and Monitoring

English

日程: 2025年10月20日(月)~2025年10月25日(土)

期間: 6日間

講義時間: 1日目: 9:00-19:30
2日目~5日目: 9:30-19:30
6日目: 9:30-17:30

受講スタイル: Live Online

会場: ◆LiveOnline形式
　オンライン

GIAC認定資格: GMON

講師: Seth Misenar|セスマイズナー
フェロー

言語: 英語　英語教材・同時通訳

定員: 40名

CPEポイント: 46 Points

受講料

早期割引価格：1,259,500円（税込み 1,385,450円）
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格：1,334,500円（税込み 1,467,950円）

申込締切日: 早期割引価格：2025年9月5日(金)
通常価格：2025年10月10日(金)

オプション

GIAC試験価格：149,850円（税込み 164,835円）
OnDemand 149,850円（税込み 164,835円）
Skills Quest by NetWars 価格：74,250円（税込み 81,675円）

※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円（税込11,000円）を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ（英語）をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません（別途購入可能）

下のボタンを押すと、NRIセキュアのお申し込みサイトに遷移します。

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

SEC511 PC設定詳細

重要：次の指示に沿って設定されたシステムをご用意ください。

講義の全てのコンテンツに参加するためには、適切に設定されたノートPCが必要です。この指示に従わないと、このコースの演習に参加することができず、満足のいく授業を受けることができない可能性が高いです。そのため、以下の条件をすべて満たすシステムを用意することを強くお勧めします。

授業の前にシステムをバックアップしておくこと。より良い方法は、機密データやクリティカルなデータのないシステムを使用することです。SANSはあなたのシステムやデータについて責任を負いません。

ハードウェア要件

CPU: 64ビット Intel i5/i7（第8世代以降）、またはAMD同等のプロセッサ。このクラスでは、x64ビット、2.0GHz以上のプロセッサが必須です。
重要: Apple Silicon デバイスは必要な仮想化を実行できないため、このコースでは一切使用できません。
BIOS設定は、「Intel-VTx」や「AMD-V」拡張機能などの仮想化技術を有効にするように設定する必要があります。変更が必要な場合に備えて、BIOSがパスワード保護されている場合は、必ずアクセスできるようにしてください。
16GB以上のRAMが必要です。
100GB以上の空きストレージ容量が必要です。
USB 3.0 Type-Aポートが少なくとも1つ必要です。新しいノートパソコンでは、Type-CからType-Aへの変換アダプターが必要になる場合があります。一部のエンドポイント保護ソフトウェアはUSBデバイスの使用を禁止しているため、授業前にUSBドライブを使ってシステムをテストしてください。
無線ネットワーク（802.11規格）が必要です。教室内には有線インターネットアクセスはありません。

ソフトウェア要件

ホストオペレーティングシステムは、Windows 10、Windows 11、または macOS 10.15.x 以降の最新バージョンである必要があります。
クラスの前にホストオペレーティングシステムを完全に更新して、適切なドライバーとパッチがインストールされていることを確認してください。
Linuxホストは、その多様なバリエーションのため、教室ではサポートされていません。ホストとしてLinuxを使用する場合は、コース教材やVMで動作するように設定するのは、ご自身の責任となります。
ローカル管理者アクセスが必要です。（はい、これは絶対に必要です。IT チームから許可を得られない場合は、許可を取り消してください。）コース期間中、会社がこのアクセスを許可しない場合は、別のラップトップをご持参ください。
ウイルス対策ソフトウェアまたはエンドポイント保護ソフトウェアが無効化されているか、完全に削除されているか、または管理者権限を持っていることを確認してください。多くのコースでは、オペレーティングシステムへの完全な管理者権限が必要となるため、これらの製品を使用するとラボを完了できない場合があります。
送信トラフィックをフィルタリングすると、コースのラボを完了できなくなる可能性があります。ファイアウォールを無効にするか、管理者権限を持って無効にする必要があります。
授業開始前に、VMware Workstation Pro 16.2.X+ または VMware Player 16.2.X+（Windows 10 ホストの場合）、VMware Workstation Pro 17.0.0+ または VMware Player 17.0.0+（Windows 11 ホストの場合）、VMWare Fusion Pro 12.2+ または VMware Fusion Player 11.5+（macOS ホストの場合）をダウンロードしてインストールしてください。VMware Workstation Pro または VMware Fusion Pro のライセンスをお持ちでない場合は、VMware から 30 日間の無償トライアル版をダウンロードできます。VMware の Web サイトでトライアル版に登録すると、VMware から期間限定のシリアル番号が送信されます。また、VMware Workstation Player は VMware Workstation Pro よりも機能が少ないことにご注意ください。Windows ホストシステムをご利用の場合は、よりスムーズな受講体験のために Workstation Pro をお勧めします。
Windowsホストでは、VMware製品がHyper-Vハイパーバイザーと共存できない場合があります。最適なエクスペリエンスを実現するには、VMwareが仮想マシンを起動できることを確認してください。Hyper-Vを無効にする必要がある場合があります。Hyper-V、Device Guard、Credential Guardを無効にする手順は、コース教材に付属するセットアップドキュメントに記載されています。
7-Zip（Windowsホストの場合）またはKeka （macOSホストの場合）をダウンロードしてインストールしてください。これらのツールは、ダウンロードしたコース教材にも含まれています。

コースのメディアはダウンロードで配信されます。授業で使用するメディアファイルはサイズが大きい場合があります。多くは40～50GBですが、中には100GBを超えるものもあります。ダウンロードが完了するまで十分な時間を確保してください。インターネット接続と速度は大きく異なり、様々な要因に左右されます。そのため、教材のダウンロードにかかる時間を概算することはできません。リンクを受け取ったらすぐにコースメディアのダウンロードを開始してください。コースメディアは授業初日にすぐに必要になりますので、前夜までファイルのダウンロードを待たないでください。

コース教材には「セットアップ手順」ドキュメントが含まれており、ライブクラスイベントへの参加やオンラインクラスの開始前に実行する必要がある重要な手順が詳細に説明されています。この手順を完了するには30分以上かかる場合があります。

クラスでは、実験の指示に電子ワークブックを使用しています。この新しい環境では、コースの実験に取り組んでいる間、授業資料を常に見ることができるように、2台目のモニターやタブレット端末が役立ちます。

SEC511 コース概要

攻撃者は進化し、テクノロジーは変化する。

クラウド（AWS/Azure/Microsoft 365/サーバーレス）、DevOps、ハイブリッド、ゼロトラスト、XDR、ブロックチェーン、AI＋ML......技術革新のスピードは上がり続けている。5年前と同じように組織を守ることは失敗のもとだ。しかし、最新のトレンドやピカピカのツールを追い求めても、防御が成功することはほとんどない。現代の企業防衛を成功させるには、軽快な実用主義が必要なのだ。

企業を守ることは決して簡単なことではありません。SANS SEC511は、現代のハイブリッド・エンタープライズの防御と監視を成功させるために必要な知識、スキル、能力を防御者に提供します。このコースで学ぶ防御可能なセキュリティ・アーキテクチャ、ネットワーク・セキュリティ・モニタリング（NSM）/継続的診断と緩和（CDM）/継続的セキュリティ・モニタリング（CSM）は、組織やセキュリティ・オペレーション・センター（SOC）が脅威を分析し、サイバー犯罪者の行動を示す可能性のある異常を検出するために最適な位置づけとなります。SEC511は、AWS、Azure、およびオンプレミス環境にこれらのコアプロテクションプラクティスを適用します。付属のGIAC GMON認定を取得することで、最新の防御技術を理解し、適用していることが証明されます。

現代の企業を保護し、継続的に監視するためには、複数のパブリッククラウドプロバイダー、継続的なオンプレミスインフラ、そしておそらくは従来のセキュリティ境界線から外れている相当数のリモートワーカーを考慮する必要があります。

ハイブリッド化が進む組織が直面する新たな現実への適応と進化に失敗したセキュリティ・チームは、時代遅れのメンタル・モデルや不適切な戦術を採用するリスクを負うことになる。継続的なモニタリングは、セキュリティ・チームに継続的な進化を要求する。多くの組織が、クラウドのセキュリティに注力する一方で、オンプレミスのセキュリティは後回しにしてしまうという重大な過ちを犯している（あるいはその逆）。両方のニーズを適切にバランスさせる必要がある。攻撃者は、継続的な成功を確実にするために、常にテクニックを進化させています。私たちは、この変化する脅威の状況に防御を適応させなければなりません。

このコースは、あなたの組織を支援します：

効果的なクラウド、ネットワーク、エンドポイントの保護と検出戦略の実現
最新のハイブリッド企業向けに、防御可能なセキュリティアーキテクチャと運用を設計する
組織のセキュリティ運用能力を大幅に向上させる
ハイブリッド・インフラストラクチャ全体の保護と検知のギャップを特定する
現在のインフラと資産の能力を最大限に活用する
データの意味を理解し、潜在的な侵入や不正行為を迅速に検知できるようにする

このコースでは、次のことができるようになります。

現代のハイブリッド企業を分析し、保護／検知戦略の欠陥を発見する
コースで学んだ原則を適用して、防御可能なクラウド、ネットワーク、エンドポイントセキュリティのアーキテクチャと運用を設計する
ハイブリッド企業における検出優位のセキュリティ・アーキテクチャとセキュリティ・オペレーション・センター（SOC）の重要性を理解する
ハイブリッドインフラストラクチャにおけるクラウド、ネットワーク、エンドポイントの保護と監視の主要コンポーネントを特定する
あらゆる規模の組織における適切なセキュリティ監視のニーズを把握する

上記のリストは、あなたが学ぶ知識とスキルの概要を簡単に説明したものですが、このコースが提供する内容のほんの表面をなぞったにすぎません。コースの至る所に盛り込まれた実践的な要素は、重要な概念と原則を強化します。

受講対象者

セキュリティアーキテクト
シニアセキュリティエンジニア
テクニカルセキュリティマネージャー
SOCアナリスト
SOCエンジニア
SOCマネージャー
CND（Computer Network Defense）アナリスト
ネットワークセキュリティ監視（NSM）、持続的な診断と緩和（CDM）、持続的なセキュリティ監視（CSM）といったセキュリティ戦略の導入を行う方

シラバス

DAY1
DAY2
DAY3
DAY4
DAY5
DAY6

現状評価とセキュリティ・アーキテクチャ

侵入防止に偏重したセキュリティモデルは失敗に終わっています。現実の侵害被害の頻度と規模を考えれば、別に驚くべきことではないでしょう。企業のシステムとネットワークが敵の支配下に陥ることを防ぐには、問題の根本に対処するために現在のアーキテクチャとセキュリティデザインのギャップを理解しなければなりません。では、何を改善する必要があるのでしょうか。そして、敵に打ち勝つことができるのでしょうか。何を行えば、勝てるのでしょうか。本質的なセキュリティ体制を改善するのであれば、これらの問いに答えなければなりません。

このコースでは、このような問い・目標に達するために必要なコア技術、セキュリティの原則を示していきます。近年の効率的なSOCやセキュリティアーキテクチャは、迅速な侵入検知と封込および対処能力を前提としています。目的を達成するためには、持続的な監視の実現と関連する膨大な知識が必要です。

演習

Security OnionとCyberChefによる伝統的な攻撃手法の検出
Security Onionによる最新の攻撃手法の検出
ELSAによる出力分析
NetWars（1日目）：短期集中サイバーチャレンジ

トピック

従来のセキュリティアーキテクチャー
- ペリメーター重視
- レイヤー3/4に対応
- 情報システムの一元化
- 予防指向
- デバイス駆動型
- 従来の攻撃手法
Security Onion 2.Xの紹介
- アラートメニュー
- ハントメニューへのピボッティング
- PCAPメニュー
モダンセキュリティアーキテクチャーの原理
- 検知重視型
- ポストエクスプロイト重視
- 情報システム・データの分散化
- リスク情報
- レイヤー7への対応
- セキュリティオペレーションセンター
- ネットワークセキュリティ監視
- 継続的なセキュリティ監視
- 最新の攻撃手法
- 敵対的優位性
- MITRE ATT&CK
セキュリティアーキテクチャー - 主要な技術/プラクティス
- 脅威ベクトル分析
- データ流出分析
- 検知の優位性設計
- 侵入のキルチェーン
- 可視化分析
- 側方移動分析
- データ出入口マッピング
- 内部セグメンテーション
- ネットワークセキュリティ監視
- 継続的なセキュリティ監視
クラウドデプロイメントモデル
- クラウドの共有責任
- インフラストラクチャー・アズ・コード(IaC)
- 過剰に公開されたクラウドサービスリークバケット
- クラウドネットワークの可視化
MITRE ATT&CK®とAWSセキュリティスタック
- AWSセキュリティハブ
- AWS アイデンティティ＆アクセス管理（IAM）
- AWS CloudTrail
- アマゾンクラウドウォッチ
- AWSファイアウォールマネージャー
- AWS WAF + AWS シールド
- アマゾン仮想プライベートクラウド(VPC)
- Amazon GuardDuty
- Amazon Inspector
- Amazon Macie

ネットワークセキュリティアーキテクチャ

現在の環境について課題を理解し、理想とはほど遠いことについて気付きましょう。現状と理想のギャップを埋めるため、詳細なロードマップが必要です。2日目はゼロトラストアーキテクチャ(ZTA)を紹介し、ネットワークセキュリティアーキテクチャとSOCの防衛を考えるにあたり、構成するインフラのコンポーネントを詳細に解説していきます。我々は長い間、境界を守るファイアウォールと随所に導入したアンチウィルスでセキュリティ対策は充分だ、と考えてきました。しかし今日では多数のセキュリティコンポーネントがあり、現代のセキュリティアーキテクチャはそれらを組み合わせて構築されています。

また、次世代ファイアウォール、Web アプリケーションファイアウォール、マルウェアデトネーションデバイス、SIM、DLP、ハニーポットといったまだ企業に取り入れられることが少ないテクノロジーに関しても解説していきます。そして、3/4レイヤーのファイアウォール、ルーター、スイッチ、NIDSといった古くからあるネットワーク機器をどう再利用していくかも合わせて解説します。このコースで数多くの機器やセキュリティ対策を紹介し解説しますが、何もこれらを次年度の予算に加えるべきといったことではなく、あなたの企業における現状のサイバーセキュリティアーキテクチャの機能を最大化するためには、どの新しいテクノロジーがもっとも適切で費用対効果（ROI）があるかを判断できるようにするためです。

演習

ModSecurity
Decrypting TLS with Wireshark
プロトコルインスペクションによる敵対者の検出
リーク検出のためのハニートークン
NetWars（2日目）：短期集中サイバーチャレンジ

トピック

SOC/セキュリティ・アーキテクチャー - 基幹インフラ機器
- 従来のファイアウォールと次世代ファイアウォール、およびNIPS
- ウェブアプリケーションファイアウォール
- マルウェア爆発装置
- HTTPプロキシ、Webコンテンツフィルタリング、SSL/TLS復号化
- SIEM、NIDS、パケットキャプチャ、DLP
- ハニーポット/ハニーネット
- ネットワーク・インフラストラクチャ - ルーター、スイッチ、DHCP、DNS
- スレットインテリジェンス
セグメント化された内部ネットワーク
- ルーター
- 内部SIファイアウォール
- VLAN
- ピボットの検出
- DNSアーキテクチャ
- DNS over HTTPS (DoH) と DNS over TLS (DoT) を含む暗号化されたDNS
防御可能なネットワークセキュリティアーキテクチャーの原則の適用
内部セグメンテーション
脅威ベクトル分析
データ流出分析
検知優位設計
ゼロトラストモデル（Kindervag）
侵入キルチェーン
可視化分析
データの可視化
横方向の動き分析
データ出入口マッピング

ネットワークセキュリティ監視（Network Security Monitoring: NSM）

多くの組織にとって、SOCとセキュリティアーキテクチャのデザインに関してパラダイムシフトが起きています。可視化と探知機能の強化です。しかし、デザインは始まりに過ぎません。もっとも重要なことは、侵入を検知することです。3日間かけて可視化と探知機能の強化をデザインに盛り込む方法について、議論してきました。4日目は、侵害により残される痕跡や変更を持続的に監視して、いかに見つけていくかを見ていきます。

それにはまず、監視のアプローチと目的を理解し、適切な分析手法を選択できるようにならなければなりません。ネットワークセキュリティ監視（NSM）、持続的な診断と緩和（CDM）、持続的なセキュリティ監視（CSM）といった用語（概念）は、誤解されがちですので、これらを正しく理解し組織のベストプラクティスとして導入できるよう解説していきます。持続的監視（continuous monitoring）の必要性は、クリティカルセキュリティコントロール（CSC）で強く推奨されている事項でもあります。

次に、堅牢なモデルであるネットワークセキュリティ監視（NSM）を採用して、持続的な監視を行う方法を解説していきます。NSMは、データを分析して侵入や不正行為の可能性を早期検出と対処を実現します。

演習

ZeekとのPcap Carving
セキュリティオニオンサービスサイドアタック解析
Wireshark Merlinの解析
TLS証明書とUserAgentの異常検出
NetWars（3日目）：短期集中サイバーチャレンジ

トピック

NSMの進化
NSMのツールボックス
NIDSの設計
分析方法論
データソースの理解
- フルパケットキャプチャ
- 抽出されたデータ
- 文字列データ
- フローデータ
- トランザクションデータ
- 統計データ
- アラートデータ
- タグ付きデータ
- 関連データ
クラウドNSM
NSMの実践的課題
コーナーストーンNSM
- サービスサイドとクライアントサイドのエクスプロイト
- 高エントロピー源となる文字列の特定
- EXE 転送の追跡
- コマンド＆コントロール（C2）トラフィックの特定
- ユーザーエージェントの追跡
- HTTPS経由のC2
- 暗号化証明書の追跡
- JA3によるマルウェアの検出
Cobalt Strikeの検出
- Cobalt Strikeの犯罪利用
- マレブルC2
- Cobalt Strikes x.509 証明書

エンドポイントセキュリティアーキテクチャ

近年の攻撃の顕著な特徴として、クライアントサイドのエクスプロイトに重点が置かれていることがあります。一旦クライアントに侵入されてしまうと、そこから社内ネットワークにあるパッチがあたっていない無数のメールサーバー、ウェブサーバー、DNSサーバーに横展開されてしまいます。このような背景から、クライアント侵害のリスクを低減することは、必須事項といえるでしょう。4日目は、エンドポイントシステムに焦点をあてて解説していきます。攻撃に対して柔軟性を持ち、侵害調査を行う上で必要な機能を強化するさまざまな対策を紹介していきます。

演習

Sysmon
Autoruns
AppLockerによるアプリケーションコントロール
Merlin Sysmonの解析
NetWars（4日目）：短期集中サイバーチャレンジ

トピック

エンドポイントセキュリティアーキテクチャ
- エンドポイントプロテクションプラットフォーム
- エンドポイント検知対応
- 認証保護/検出
- 設定管理/監視
エンドポイントプロテクション
- TPM デバイスヘルス認証
- ホストベースファイアウォール、ホストベースIDS/IPS
- アプリケーション制御、アプリケーション仮想化
- 仮想化ベースのセキュリティ
- Microsoft Defender。アプリケーションガード
- Windows Defender クレデンシャルガード
- エンドポイント向けDefender アタックサーフェスの削減
- EMETとDefender Exploit Guard
クラウド構成管理
エンドポイント検出 - Sysmon
- FileDelete、ProcessTampering、その他最近追加された機能
- IMPHASH
- DeepBlueHash
認証の保護と検出
- 特権アカウントの監視
- Windows Hello
- ダイナミックロック
- PINのみによる認証
- パスワードレス
- Azure Active Directory + MFA
- Azureの認証方式
- AAD条件付きアクセス
- ハッシュ/チケット/トークン攻撃
構成管理/監視
- クラウドセンター・フォー・インターネット・セキュリティ(CIS) Hardened Images
- コンテナコンテナ用CIS Hardened Images
- ベースライン・モニタリング
- 望ましい状態構成 (DSC)
- Azureオートメーションの状態設定

自動化と持続的なセキュリティ監視（CSM）

ネットワークセキュリティ監視（NSM）を始めることで、侵入や不正行為が起きていることを検知することができるようになりました。しかし、我々のシステム、ネットワーク、アプリケーションに対して、いつ侵害が増加傾向にあるのかを知りたくなるはずです。これを実現する戦略として、持続的なセキュリティ監視（CSM）、持続的な診断と緩和（CDM）があります。どんな対策が必要かを判断するために、半期または年1回に脆弱性テストを行って診断結果を待つのに比べて、持続的な監視（CM）は、プロアクティブかつ継続的に診断を繰り返し、現在のセキュリティ状態から対処すべき脆弱性について即座に把握することができます。

しかし、それには大量なデータを解析する必要があります。実現するためには、スクリプティングと自動化が不可欠です。当然、ベンダー製品や既存ツールにはこの課題を解決するよう作られているものがありますが、手動でカバーしなければならない範囲や機能や監視項目があり、自動化には不完全です。5日目は、シンプルなツールとスクリプトを使って持続的な監視を行う方法を解説していきます。

スクリプトによる自動化の方法を知ったとしても、何のデータを継続的に監視して分析する必要があるか知らなければ意味がありません。そのため、クリティカルセキュリティコントロール（CSC）について再び振り返り、優先的に企業環境で持続的に監視する価値があるものについて議論していきます。

演習

インベントリ
Windowsイベントログ
DNS over HTTPS(DoH)
Kansa- 永続性とピボット
NetWars（5日目）：短期集中サイバーチャレンジ

トピック

概要
- 継続的セキュリティ監視（CSM）と継続的診断・軽減（CDM）と情報セキュリティ継続的監視（ISCM）の比較
- サイバースコープとSCAP
業界のベストプラクティス
- 継続的モニタリングと20の重要なセキュリティコントロール
- オーストラリア信号総局（ASD）の標的型サイバー侵入を軽減する戦略
勝利のCSMテクニック
- ロングテール分析
- オーストラリア通信理事会(ASD)のサイバーセキュリティインシデント軽減のための戦略
- ASDエッセンシャルエイト
状況認識を維持する
ホスト、ポート、サービスの発見
脆弱性スキャン
パッチの監視
アプリケーションの監視
サービスログの監視
- DNSログによるマルウェアの検出
- Iodineとdnscat2によるDNSトンネリングの検出
- Domain_statsと登録データアクセスプロトコル(RDAP)
デバイスやアプライアンスの変更の監視
プロキシとファイアウォールのデータを活用する
Windowsイベントログ収集の一元化の設定
重要なWindowsイベントの監視
- ハンズオン Windowsイベントログを利用したマルウェアの検出
スクリプトと自動化
- 自動化の重要性
- PowerShell
- Deep Blue CLI
セキュリティ・オペレーション・センター (SOC)
- SOCの目的
- SOCの主な役割
- 防御可能なセキュリティ・アーキテクチャとの関係

キャップストーン：デザイン、検知、防御

コースのクライマックスは、チーム単位での設計、探知、旗の防衛競技である。NetWarsを活用した6日目は、1週間を通して学んだ原則を実践する1日です。

それぞれのチームは、1週間で学んだ現代のサイバー防衛技術の習得を確実にするために、複数のレベルで構成されたミッションを進めていきます。セキュリティアーキテクチャ、ネットワークセキュリティの監視、エンドポイントのセキュリティ、継続的な監視からなるこの挑戦的なエクササイズは、楽しく実践的なチームベースの課題を通じ、重要な原則を身のあるものとします。

トピック

セキュリティアーキテクチャー
継続的なセキュリティ監視
NSMとCSMの応用
Security Onion、Wireshark、CyberChefによる悪意あるトラフィックの解析
悪意のあるWindowsイベントログの分析
パケット分析
ログ分析
C2検知

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。