ニュースレター登録
資料ダウンロード
お問い合わせ

SECURITY549

Cloud Security Architecture

Cloud Security

English
日程

2025年10月27日(月)~2025年10月31日(金)

期間
5日間
講義時間

1日目: 9:00-17:30
2日目~5日目: 9:30-17:30

受講スタイル
Live Online
会場

◆LiveOnline形式
 オンライン

GIAC認定資格
GCAD
講師
David Hazar|デビット アザール
SANS認定インストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
30 Points
受講料

早期割引価格:1,180,750 円(税込み 1,298,825円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格:1,255,750円(税込み 1,381,325 円)

申込締切日
早期割引価格:2025年9月12日(金)
通常価格:2025年10月17日(金)
オプション
  • GIAC試験 価格:149,850円(税込み 164,835円)
  • OnDemand  149,850円(税込み 164,835円)
  • Skills Quest by NetWars 価格:74,250円(税込み 81,675円)

※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)

以下の「お申し込み」を押すと、NRIセキュアのお申し込みサイトに遷移します。

お申込み

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

重要:以下の説明に従って設定したシステムを持参してください。

このコースを完全に受講するには、適切に構成されたシステムが必要です。これらの指示をよく読んで従わない場合、コースのハンズオン演習に完全に参加することはできません。そのため、指定された要件をすべて満たすシステムを持参してください。

授業前にシステムをバックアップしてください。できれば、機密データや重要なデータが保存されていないシステムを使用してください。SANSはお客様のシステムやデータについて一切責任を負いません。

必須のSEC549ホスト構成とソフトウェア要件

  • ホスト オペレーティング システムは、Windows 10Windows 11、または macOS 10.15.x 以降の最新バージョンである必要があります。
  • クラスの前にホスト オペレーティング システムを完全に更新して、適切なドライバーとパッチがインストールされていることを確認してください。
  • Linux をホストとして使用することを選択した場合は、コース教材や VM で動作するように Linux を構成する責任はお客様のみが負うことになります。

SANSは、AWSAzureGoogle Cloudのクラウド環境へのアクセスを提供します。ただし、クラウドセキュリティ管理上の問題により、SMSを受信可能な有効な電話番号によるログイン認証が必要となる場合があります(仮想電話番号はご利用いただけません)。このような状況が発生した場合に備えて、クラウドプロバイダーに電話番号をご提供いただくようお願いいたします。

コース教材には「セットアップ手順」ドキュメントが含まれており、ライブクラスイベントへの参加やオンラインクラスの開始前に実行する必要がある重要な手順が詳細に説明されています。この手順を完了するには30分以上かかる場合があります。

クラスでは、ラボ資料と課題の配布にranges.ioを使用しています。ラボの指示の配布には、ブラウザでホストされる電子ワークブックを使用しています。クラウドウェブコンソールやdraw.ioのダイアグラムで作業している間、ラボの指示を常に確認できるように、2台目のモニターやタブレット端末があると便利です。

SEC549 コース概要

クラウドにおける脅威のメンタルモデルがないまま、アーキテクトはオンプレミスの世界で意図された設計パターンをクラウドシステムに強引に適用しようとし、クラウドの採用と近代化のスピードを妨げている。さらに悪いことに、クラウドにおける信頼の境界を識別できないために、アイデンティティやネットワークプレーンでのセキュリティ管理が欠落し、セキュリティの成果が上がらないという結果になる。SEC549では、クラウドセキュリティアーキテクチャを紹介します。このコースでは、クラウドの明確なメンタルモデルと利用可能な制御を習得し、分散された境界と見慣れない信頼境界を持つこの新しい、大きく異なる世界に脅威モデルを移行できるようにします。
そのためこのコースでは、セキュリティ・オペレーション・センターがクラウド上のインシデントを監視、検出、対応、回復できるようにするアーキテクチャについて深く掘り下げます。このエンタープライズ・クラウド・セキュリティ・アーキテクチャ・コースでは、クラウド・テレメトリの堅牢なロギングと、エッジで収集されたイベントと洞察の一元化によって、ビジネス目標を効果的にサポートする方法を学びます。このコースでは、アーキテクトがクラウド環境で適切なロギングが設定されていることを確認し、可用性を考慮した設計の必要性を強調したリカバリ戦略を策定できるようにします。
SEC549は、架空の企業のクラウド移行の旅と、その過程で遭遇する課題を中心に構成されている。クラウド・セキュリティ・アーキテクトを目指す学生は、一元化されたアイデンティティ・プランを段階的に導入し、クラウドでホストされるアプリケーションを有効にするためのセキュアなパターンを設計することが課題となる。分散型リソースへのアクセスを保護するための補完的なメカニズムとして、ネットワーク層とID層の両方の制御を詳しく取り上げる。特にクラウドの台頭と複数のクラウド・サービス・プロバイダーの採用により、断片化されたアイデンティティとその危険性についての議論を通して、アイデンティティを一元化することの重要性がこのコースの中核をなすものであることが示されます。受講生は、段階的なID統合を設計する際に使用される基本的な概念を学ぶことで、自信を持って同様の課題に取り組むことができるようになります。

「このコースはお勧めできる。このコースはセキュアな設計の多くの核心的な側面を突いています。さらに、クラウドセキュリティアーキテクチャと戦略の欠如、安全でない設計は、Cloud Security AllianceやOWASPのような組織によってトップリスクとして強調されています。クラウドセキュリティアーキテクチャのトピックは、一般的にもっと注目され、フォーカスされる必要がある。」

- Greg Lewis, SAP

業務に役立つポイント
  • 黎明期のクラウド技術とその急速な普及がもたらすリスクの軽減
  • 段階的なアプローチを計画することで、クラウド移行のリスクを低減する。
  • 一元化により、アイデンティティの乱立や技術的負債を防ぐことができます。
  • ハイレベルなガードレールを作ることでビジネスの成長を可能にする
  • コストのかかるアンチパターンの定着を防ぐ
  • 既存のアクセスパターンを改善することで、組織をゼロ・トラスト体制に移行させる。
  • 効果的な条件付きアクセスポリシーを設計し、ビジネス主導のポリシー例外にガードレールを設置する方法を学ぶ。
習得できるスキル
  • セキュアなエンタープライズ・クラウド・セキュリティ・アーキテクチャ・パターンによるビジネスの実現
  • 建築パターンと現実のインフラを結びつける
  • セキュアでスケーラブルなID基盤をクラウドで構築
  • 組織の従業員IDを一元化し、スプロール化を防ぐ
  • ハブ・アンド・スポーク・パターンを用いたマイクロセグメント・ネットワークの構築
  • 縦および横方向のトラフィックを検査するための集中型ネットワーク・ファイアウォールの設定
  • ネットワーク・ベースとアイデンティティ・ベースの両方のコントロールを組み込む方法を学ぶ
  • クラウドホスティングされたデータリポジトリのデータ境界を作成する機能
  • 組織全体で鍵管理サービス(KMS)リソースを一元化し、共有する。
  • セキュリティ・オペレーションがクラウドで対応できるようにする
  • サービス・モデル(IaaS、PaaS、SaaS)で利用可能なテレメトリーとロギングを理解する。
  • ブレイクグラスアカウントを活用したリカバリープロセスの設計
  • 段階的なクラウド移行に戦略的に取り組む
  • 条件付きアクセス・ポリシーを導入して、リソースへのアクセスを保護し、アイデンティティ境界を強化する。
ラボの内容

SEC549の実習部分はユニークで、特にクラウドのためのアーキテクトを目指す学生に適している。各ラボは、アーキテクチャ図として提示されたアンチパターンを観察し、修正することで実施される。各ダイアグラムの「正しい」バージョンは、AWSのライブインフラストラクチャとして実装され、学生が構成を検討できるようになっている。このコースでは、受講生はエンタープライズスケールのAWS組織にアクセスすることができ、ラボやコースを通して議論されるすべての詳細を観察することができます。
コースの各セクションでは、3つの主要なクラウドすべてについてセキュリティ設計の考慮事項を議論していますが、AWSでの作業に重点を置いており、ラボはAWSの概念に基づいて構成されています。

シラバスの概要
  • セクション1:クラウドにおけるIAM、3つの主要クラウドプロバイダーそれぞれの上位レベルのリソースコンテナ、企業規模のクラウド資産でガードレールを実施するための制限的ポリシーの使用方法について説明する基礎的なセクション。
  • セクション2:ゼロ・トラストに重点を置き、クラウド・リソースへのアクセスを承認し、不正アクセスを防止するガードレールを構築するZT戦略を採用するために、クラウド・サービスをどのように利用するかについて説明する。
  • セクション3:クラウドネットワークリソースをアットスケールで管理するには、アーキテクトがクラウドネイティブなネットワーク制御を理解する必要があります。ネットワーク設定の一元化、マイクロセグメンテーションの実施、トラフィック・インスペクション・アプライアンスの設定、アカウント間でのネットワーク・サービスの共有方法について学びます。
  • セクション4:クラウド上のデータを保護するには、セキュリティチームはクラウドネイティブのデータ保護機能を検討する必要がある。クラウド・ネイティブ・ストレージとビッグデータ・サービスに保存されたデータを保護し、管理する方法を学ぶ。
  • セクション5:このセクションでは、SOCの能力を向上させ、従来の手法をクラウドホスティング環境に適応させ、組織がワークロードをクラウドに移行する際にも堅牢な検知と対応を継続できるようにする方法に焦点を当てる。

本講座受講にあたる前提条件

以下はSEC549の前提条件となるコースまたは同等の経験である:

  • SANS SEC488:Cloud Security Essentials、または3大クラウド(AWS、Azure、GCP)のいずれかを使用した実務経験
  • AWSマネジメントコンソールに精通している

SEC549への準備

SEC549を受講する学生は、クラウドにおけるIDアクセス管理(IAM)のパターンを学ぶ機会があります。ロールベースのアクセス制御、属性ベースのアクセス制御、権限管理などのIAMの概念に基本的に精通していることが役に立ちますが、必須ではありません。
さらに、ネットワーク層におけるデプロイメントの安全性を確保するためのクラウドネイティブツールについても掘り下げていきます。ファイアウォール、ネットワーク・アクセス・コントロール・リスト、IPアドレッシングなど、ネットワークの概念についての基本的な理解があれば役に立ちますが、必須ではありません。

シラバス

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5

SEC549.1: Cloud Account Management and Identity Foundations

概要

SEC549は、クラウドの脅威モデリング、セキュアなパターンとは何か、メンタルモデルをクラウドにどのように適応させる必要があるかなど、コース全体を通して使用される概念を定義することから始まる。
このセクションでは、ユーザー、グループ、ロール、マシン・アイデンティティなど、クラウドにおけるアイデンティティの基本的な概念と、それらの概念が3つの主要クラウド・プロバイダー間でどのように微妙に異なるかについて説明する。クラウドにおけるアイデンティティの管理は、このセクションの包括的なテーマです。このコースでは、IDフェデレーション、シングルサインオン、およびこれらのテクノロジーで使用されるプロトコルのコアコンセプトを学びます。AWS SSOを例に、集中化されたワークフォースIDをサポートするIDフェデレーションを有効にし、クラウドにユーザーを自動的にプロビジョニングし、アクセス制御を管理する属性を集中的に維持する方法を学びます。

演習

  • クラウドの脅威モデル
  • ユーザーアカウントのプロビジョニングの一元化
  • 効果的な階層を作るためのアカウントの構造化
  • IAMユーザーからロールへのアクセス移行

トピックス

  • クラウドネイティブサービスの脅威モデリングに重点を置いたクラウドにおけるセキュリティアーキテクチャ
  • 3つのCSPで提供される大規模なビルディング・ブロックを使用して、効果的な階層デザインを作成する。
  • アイデンティティ基盤の実装 - クラウドにおけるIAMの許可方法とパターンを理解する
  • 統合アクセスとシングルサインオン - IDのフェデレーションでユーザーを大規模管理

SEC549.2: Implementing an Identity Perimeter in the Cloud

概要

アイデンティティとアクセス・コントロールは、このセクションのコンセプトの基礎となる。セクション2では、ゼロトラスト運動とその歴史、そしてクラウドにおけるゼロトラストを活用して従来のアクセスパターンをどのように改善できるかについて詳しく説明する。権限付与アーキテクチャだけでなく、クラウド資産にIDガードレールを構築し、セキュリティやコンプライアンス目的で制約を設ける方法についても説明する。受講者は、複数のパブリッククラウド環境にわたってエンドユーザーとマシンのIDを認証する方法を学びます。このセクションは、組織のリソースと信頼できるサードパーティ間のアクセスを制限するポリシーを実装することで締めくくられる。このセクションの重要なポイントは、組織のリソースと信頼できるサードパーティ間のアクセスを制限するポリシーを実装する方法です。
このセクションでは、Azure ADの条件付きアクセスと、リソースアクセスのガードレールを定義するためのポリシーの作成方法に焦点を当てます。条件付きアクセスに実践的な強いレンズを向けることで、多要素認証(MFA)の実施に対するビジネス主導の例外を狭く安全に切り分ける方法を学びます。

演習

  • 脅威モデリング ゼロトラスト・アクセス
  • レガシー・アプリケーションへの最新認証の統合
  • クロスクラウド認証の拡張
  • クロスクラウド・アイデンティティ境界の強制
  • 条件付きアクセス・ポリシーでセキュリティとユーザビリティのバランスをとる

トピックス

  • クラウド・マイグレーション - 考慮事項とビジネス・ドライバー
  • ゼロ・トラスト・コンセプト - クラウドサービスを利用してゼロ・トラスト・パターンを段階的アプローチで実装する
  • AWS Cognitoを使用したクラウドホスト型アプリケーションへのIdentity Pillarの実装
  • ワークロードIDフェデレーションによる、クラウドプロバイダー(AWS、Azure、Google Cloud)をまたがるユーザーとワークロードの認証
  • クラウドを横断するガードレールでアイデンティティの境界を強制する
  • 効果的な条件付きアクセスポリシーを設計する

SEC549.3: Network Access Perimeters for the Cloud

概要

しっかりとしたアイデンティティの基礎を身につけた上で、受講生は各組織のクラウド・アーキテクチャ・パターンに焦点を移していく。エンタープライズ・クラウド・ネットワークの構築には、オンプレミス・ネットワークから移行する際の基本的な理解が必要である。セクション3では、パブリック、プライベート、ハイブリッドの各クラウドネットワークを構築するために必要な主要リソースについて説明する。そこから、組織全体でこれらのリソースのコンフィギュレーションを一元管理する方法を学びます。次に、クラウドのマイクロセグメンテーション、ハブとスポークのネットワーク、マイクロネットワーク間のトラフィックのルーティングについて説明します。次に、イングレスおよびイグレス・ネットワークを介したトラフィック・フローの一元化と、サードパーティ製セキュリティ・アプライアンスによる東西トラフィックの検査に焦点を移します。最後に、スポークネットワークを追加し、組織全体でDNSコンフィギュレーションを共有することで、ネットワークサービスを共有する方法を学びます。

演習

  • ネットワーク・セキュリティ・コントロールの一元化
  • トランジット・ゲートウェイの構築
  • ネットワーク・ファイアウォールのポリシー
  • VPCプライベート・ネットワーク・アクセス

トピックス

  • オンプレミス型とクラウド型仮想ネットワークの比較
  • VPC共有とファイアウォールマネージャーによるクラウドホスティングネットワークの大規模管理
  • ハブ&スポーク・アーキテクチャによるマイクロ・セグメンテーションとハイブリッド・ネットワークの構築
  • 出入国トラフィック・ネットワーク制御の一元化
  • サードパーティ製セキュリティ・アプライアンスによる東西トラフィックの検査
  • ネットワークサービスとプライベートDNSリソースの共有

SEC549.4: Data Access Perimeters in the Cloud

概要

セクション4では、クラウドネイティブのデータ保護パターンに焦点を当てる。組織全体に共通するストレージサービスの管理から始め、基礎となるデータ境界ポリシーを確立する。そこから、ビューとアクセスポイントを通じてデータレイクへのアクセスをセグメント化する方法を学びます。次に、属性ベースのアクセス制御、タグ付け、データマスキングによって、どのようにクラウドネイティブなデータ損失防止制御を実現できるかを探ります。最後に、鍵管理とバックアップのアーキテクチャパターンについて学びます。

演習

  • 公的データ保管組織の方針
  • 共有データセットのアクセス制御
  • ビッグ・クエリ・データ・ガバナンスとデータ損失防止
  • 鍵管理(KMS)リソースの一元化

トピックス

  • Cloud-Native Storageサービスへのアクセスを管理する
  • アプリケーション・アクセスのためのクラウドにおける境界線の確立
  • アクセスポイントとビューによるデータ-レイクのアクセス制御とガバナンス
  • ビッグ・クエリ(BQ)のアイデンティティとデータ流出の制御
  • 属性ベースのアクセス制御、マスキング、データ損失防止のためのデータタギング
  • 鍵管理とデータ・バックアップ・リソースの一元化

SEC549.5: Enabling the Cloud-Focused SOC

概要

このセクションでは、新しいクラウドベースの世界でSOCの運用(インシデントの調査、イベントのログ、脅威の調査)を可能にする方法について説明します。このセクションでは、クラウドのデータソースについて深く掘り下げ、CSP内でログとクラウド固有のイベントを集約し、中央のSIEMにエクスポートできるようにします。このセクションでは、クラウドベースのインシデントへの対応、封じ込め、そして最終的な復旧を可能にする効果的なアーキテクチャの構築方法を学びます。

演習

  • クラウド・ネイティブ・イベントの一元化
  • クラウド・テレメトリーを外部SIEMにエクスポートする
  • ネットワーク層検疫のアーキテクチャ

トピックス

  • クラウド中心の世界におけるセキュリティ・オペレーション
  • 様々なサービスモデル(IaaS、PaaS、SaaS)において十分なロギング範囲を確保するための、データソースのロギングと集計に関する詳細な調査
  • ネットワーク層とアイデンティティ層の検疫ゾーンでクラウドでの対応を可能にする
  • 可用性を考慮したクラウドアカウントリカバリーのためのブレークグラスアカウントの設計

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。

ニュースレター登録
資料ダウンロード
お問い合わせ