NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Implementing and Auditing Security Frameworks and Controls
※本イベントでの開催は中止となりました。
次回開催をお待ちください。
CyberDeception
English2023年1月23日(月)~1月27日(金)
1日目: 9:00-17:30
2日目~5日目: 9:30-17:30
オンライン
【年末年始特別価格※】1,120,000円(税込 1,232,000円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。
【通常価格】1,220,000円(税込 : 1,342,000円)
※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。
※コース本体のお申し込み後から講義開始までの間に、GIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)をいただきます。
※講義開始後のGIAC試験のお申込みは、こちらのページ(英語)をご参照のうえ、GIACへ直接お申し込みください。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
注意:M1プロセッサを使用するAppleシステムは、必要な仮想化機能を実行できないため、このコースに使用することは一切できません。
重要! 下記の要項に従って設定されたシステムを持参してください。
授業開始前に4つの準備をお願いします。この早めの準備により、トレーニングを最大限に活用することができます。このコースに完全に参加するためには、正しく設定されたシステムを持参する必要があります。以下の説明をよく読み、それに従わない場合、このコースに不可欠な実習に参加できないため、満足のいく授業が受けられない可能性が高くなります。そのため、以下の要件をすべて満たしたシステムでコースに参加されることを強くお勧めします。このセクションでは、授業に必要なシステムのハードウェアとソフトウェアの構成について詳しく説明します。また、これらのトピックに関する一連の短いビデオを https://sansurl.com/sans-setup-videos で見ることができます。
SANSのコースは、座学とハンズオンセッションで構成されています。ハンズオンセッションは、コースで得た知識をインストラクター主導の環境で実践できるように設計されています。受講者は、学習したツールやテクニックをインストールし、設定し、使用します。
受講条件1:正しく設定されたノートPCを持参すること
※LiveOnlineの場合はノートでなくても可
このコースの受講生は、授業中の演習をこなすために、ノートパソコンを持参することが必要です。以下の要件2~4を満たし、正しく設定されたコンピュータを持参してください。授業ではコンピュータのインストールを手伝う時間はありませんので、授業に来る前に適切にインストールと設定をして、授業を最大限に活用できるようにしてください。このクラスには、通常のプロダクション・コンピュータを持ち込まないでください。ソフトウェアをインストールする際、システム上の他の何かを壊してしまう可能性が常にあります。受講生は最悪の事態を想定し、すべてのデータが失われる可能性があることを理解しておいてください。
要件2:ノートPCのハードウエア要件
授業で使用するノートパソコンには、少なくとも以下のハードウェアを搭載してください。
*授業に参加する前に、お使いのノートパソコンで仮想化がサポートされていることを確認してください。その方法についての詳細は、https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1003944 で確認できます。
ネットワークインターフェイスが設定可能であることを証明するために、授業に来る前にテストを行い、すべての適切なドライバがインストールされていることを確認してください。
要件3:ノートPCのオペレーティングシステム要件
授業で使用するノートパソコンには、少なくとも以下のOSが搭載されていることを確認してください。
Apple Mac OSXでも可能ですが、すべてのラボの活動はホストOSがMicrosoft Windowsベースであることを前提としています。上記のMicrosoft Windows以外のOSを搭載したノートパソコンを持参する場合は、自分自身でシステムの再設定と管理に自信があることが必要です。
要件その4: ノートパソコンのソフトウェア要件
授業で使用するノートパソコンには、少なくとも以下のソフトウェアがインストールされていることを確認してください。
上記の簡単な説明に従って、クラスを最大限に活用していただければと思います。
コースのメディアは、ダウンロードで配信されます。授業で使用するメディアファイルは、40~50GBの大容量になることがあります。ダウンロードが完了するまでには、十分な時間が必要です。インターネット接続と速度は、多くの異なる要因によって大きく異なります。そのため、教材のダウンロードにかかる時間の目安をお知らせすることはできません。リンクを入手したら、すぐにコースメディアのダウンロードを開始してください。授業初日には、コースメディアがすぐに必要になります。授業開始の前夜にダウンロードを開始すると、失敗する可能性が高くなります。
SANSでは、PDF形式の印刷物の提供を開始しました。さらに、一部のクラスでは、PDFに加えて電子ワークブックを使用しています。この新しい環境では、セカンドモニターやタブレット端末を使用することで、講師の講義中やラボでの演習中も授業内容を確認することができ、便利であることが分かっています。
ノートパソコンの仕様についてご質問がある場合は、laptop_prep@sans.org までご連絡ください。
多くの組織は、情報システムの防御に加えて、ビジネスを行うための前提条件として、多くのサイバーセキュリティ標準や要件に準拠する必要があります。世界中に数十のサイバーセキュリティ標準が存在し、ほとんどの組織は複数の標準に準拠する必要があります。脅威や攻撃対象が変化し、進化するにつれて、組織のセキュリティも同様に変化するはずです。SANSは、組織がこの変化し続ける脅威のシナリオに対応できるように、最も一般的に利用されているサイバーセキュリティのフレームワークを1つの包括的で比較可能なアプローチにマッピングし、組織が努力と資産を合理化して、必要な標準に準拠しながらネットワークを適切に保護できるようにしました。
SEC566は、Center for Internet Security's CIS) Controls (v7.1 / 8.0), NIST Cybersecurity Framework (CSF), Cybersecurity Maturity Model Certification (CMMC), ISO/IEC 27000, その他多くの共通する業界標準やフレームワークで定義されているコントロールを実装および監査するのに必要な、具体的で実証済みのテクニックとツールをマスターすることができるようになります。受講者は、組織を守り、業界標準に準拠するために、これらのさまざまな標準を凝集した戦略に統合する方法を学びます。SANSの徹底した実践的なトレーニングにより、セキュリティ実務者は、脅威を阻止する方法だけでなく、脅威が存在する理由や、現在展開されているセキュリティ対策が次世代の脅威に対しても有効であることを確実にする方法を理解することができるようになるのです。SEC566は、費用対効果の高い自動化により、既存のネットワークに制御を導入する方法をセキュリティ専門家に提示します。監査人、CIO、リスクオフィサーにとって、サイバーセキュリティ対策が効果的に実施されているかどうかを測定する方法を理解するための最適なコースです。
ビジネス上の学び
学習するスキル
ハンズオントレーニング
このコースでは、クラスで議論されたコンセプトを説明する実習ラボ演習に参加します。これらの実習の目的は、コースで議論された防御の理解を補完し、強化することであり、コントロールが実際のシナリオにどのように適用できるかの実践例を提供することである。
セクション 1: 授業のための生徒用ノートパソコンの準備、AuditScripts CIS 重要コントロール初期評価ツールの使用方法、Microsoft PowerShell による資産のインベントリ作成
セクション 2: データを暗号化するための Veracrypt の使用方法、特権アクセスを悪用する Mimikatz の使用方法、ベースラインを作成するための Windows Management Instrumentation (WMI) の説明
セクション 3: Microsoft AppLocker を使用してアプリケーション制御を強制する方法、PowerShell を使用してソフトウェア更新をテストする方法、CIS-CAT ツールを使用して設定を監査する方法、PowerShell で Nmap の出力を解析する方法
セクション4:GoPhishを使用してフィッシング評価を実行する方法、Nipperを使用してネットワークデバイスの設定を監査する方法、Wiresharkを使用して悪意のあるアクティビティを検出する方法
演習とラボは、コースをさらに理解する上で素晴らしい知識を与えてくれます。
- Nasser AlMazrouei, ADIA
ラボでの実際のツールの使用とデモンストレーションは、脅威の可能性を理解する上で本当に役立ちます。
- Andrew Cummings, Emory University
すべてのラボは、フォローしやすく、期待通りに実行されました。
- Shawn Bilak, Southern Company
今日、最後のラボを終えて悲しいです。本当に楽しかったです。でも、自分の学習と実践をさらに進めるために使えるリソースもいくつか知ることができました。正直なところ、ラボが楽しいとは思っていませんでしたが、とてもクールです!もっと学ぶのが待ち遠しいです。
- Amy Garner, BUPA
シラバスの概要
セクション1:組織が使用する最も一般的なサイバーセキュリティ標準の概要と、サイバーセキュリティリスクへの対処方法の紹介を学びます。
セクション2:データ保護とアイデンティティおよびアクセス管理(IAM)の基本原則を学び、業界標準のサイバーセキュリティフレームワークで定義されたコントロールに優先順位を付けます。
セクション3: 脆弱性と構成管理の基本原則を学び、業界標準のサイバーセキュリティフレームワークで定義された管理策に優先順位を付けます。
セクション4:エンドポイントセキュリティとネットワークベースの防御の基本原則を学び、業界標準のサイバーセキュリティフレームワークによって定義された管理策に優先順位を付けます。
セクション5:業界標準のサイバーセキュリティフレームワークによって定義された制御を優先し、主要なサイバーセキュリティガバナンスと運用の実践の中核となる原則を学びます。
その他の無料資料
受け取るもの
次に受けるコース
私たちのようなサイバーセキュリティの専門家は、この業界で20年以上働いていますが、私たちの職業全体が、情報システムを守ろうとする組織に対して明確な指針を提供することに、良くも悪くもなっているのではないかと思う日があります。サイバーセキュリティの標準をオンラインで検索すると、何十もの文書が見つかりますが、いずれも自分たちのアプローチが今日の無数の脅威から守るために最も適したものであると述べています。しかし、これらの文書が矛盾した、あるいは曖昧なアドバイスをしている場合、組織は自らを守るために何をすべきかをどのように判断すればよいのでしょうか。
SANS SEC566: Implementing and Auditing Security Frameworks and Controlsでは、この問題を解決することを目的としています。このコースを書くにあたり、私たちは、サイバーセキュリティの衛生原則とみなされるべき一般的なサイバーセキュリティコントロールをよりよく理解するために、最も一般的なサイバーセキュリティ標準をすべて分析しました。何十ものコントロールライブラリを検討しましたが、今日の組織に最も有意義な影響を与える可能性のあるライブラリに焦点を当てます。Center for Internet SecurityのCritical Controls、NIST SP 800-171、およびCybersecurity Maturity Model Certificationを使用して、このコースでは、組織が情報システムを守るために役立つサイバーセキュリティ防御の優先順位セットを理解することができます。私たちは、混乱を切り抜け、この取り組みで成功するために何ができるかを明確かつ簡潔に学生に提供したいと願っています。
- James Tarala と Kelli K. Tarala
このコースを気に入りました。セキュリティポスチャを測定する方法を提供し、その概念をあらゆる組織に適用することができます。
- John M., US Military
CISコントロールズVersion 8の背景と文脈、およびNIST SP 800-171とサイバーセキュリティ成熟度モデル認証(CMMC)の最新バージョンについて学びます。これらの標準とコントロールフレームワークは、サイバーセキュリティの実践を形成し、影響を与え、守備範囲に整理されています。これらの防御領域の相互作用を理解するために、受講者はまず、ガバナンス基盤の重要性や、複数のフレームワークにわたる制御の実施を効率化する方法など、サイバーセキュリティプログラムのビルディングブロックを理解する必要があります。
この最初のコースでは、防御領域で使用される主要な用語の基本的な知識を確立します。さらに、コントロールの1つである「企業資産のインベントリおよびコントロール」を深く掘り下げていきます。ネットワークに新しいデバイスが導入されると、未知の脆弱性にさらされたり、ネットワーク運用に支障をきたしたりするリスクがあります。悪意のあるコードは、インストール時に適切なセキュリティアップデートが設定されておらず、パッチも適用されていない新しいハードウェアを利用することができます。攻撃者は、このような脆弱なシステムを利用して、ハード化される前にバックドアを設置することができる。CISコントロール#1の自動化においては、すべてのデバイスを正確かつ最新のインベントリーコントロールシステムに含めることが重要である。データベースに登録されていないデバイスは、ネットワークへの接続を許可されるべきではありません。一部の組織では、特定の大規模な企業向け商用製品を使用したり、無料のソリューションを使用して定期的にネットワークを追跡・調査することにより、資産目録を管理しています。
セクション2では、データ保護、識別と認証、アクセス制御管理、監査とアカウンタビリティといった防御の領域について学習を開始します。IDとアクセス制御がどのようにデータ保護を促進するかを学び、また監査ログ管理の重要性を学びます。具体的には、セクション2において、以下の防御領域について学習します。
セクション3では、コンフィギュレーション管理、システムおよびソフトウェアの整合性、脆弱性管理、物理的保護という防御領域について学習します。具体的には、次のような防御の領域を学びます。
セキュリティ研究者やベンダーが新たな脆弱性を発見し報告すると、攻撃者はすぐにエクスプロイトコードを作成または更新し、標的となるターゲットに対してそれを実行します。重要な脆弱性を持つソフトウェアの発見や修正が大幅に遅れた場合、執拗な攻撃者が脆弱性のあるマシンを突破し、制御するための十分な機会を提供することになります。システムのセキュリティ構成を評価するために、多くの脆弱性スキャンツールが利用可能です。最も効果的な脆弱性スキャンツールは、現在のスキャン結果と過去のスキャン結果を比較し、環境内の脆弱性が時間の経過とともにどのように変化しているかを判断します。資産目録システムで特定されたすべてのマシンに、脆弱性のスキャンを実施する必要があります。
ソフトウェアのデフォルト設定は、セキュリティではなく、導入のしやすさや使いやすさを重視していることが多く、デフォルトのままでは悪用されやすいシステムも存在します。攻撃者は、様々な形態のマルウェアを使用して、ネットワークからアクセス可能なサービスとクライアントソフトウェアの両方を悪用しようとします。インストールされ、稼働しているシステムのインベントリ作成と制御ができなければ、企業はシステムをより脆弱なものにしてしまいます。組織は、一連のイメージと、これらの標準的なイメージをホストするための安全なストレージサーバーを開発することによって、この制御を実装することができます。構成管理ツールは、インストールされたソフトウェアの設定を測定し、組織で使用されている標準的なイメージ構成からの逸脱を探すために使用することができます。
物理的セキュリティは、以前は建物やデータセンターへのアクセスを制御することに限られていましたが、現在では、システム、モバイルデバイス、リムーバブルメディアへのアクセスを制限し、データアクセスを許可された個人に限定することも物理的保護に含まれます。物理的セキュリティには、訪問者の確認、付き添い、監視、クリーンデスクプロトコル、施設やデータセンターへの物理的アクセスログの管理などの追加要件が含まれます。
セクション4では、システムの完全性、システムおよび通信の保護、構成管理、メディアの保護という防御の領域を学びます。具体的には、電子メールとブラウザの保護、エンドポイントの検出と対応、データ復旧、ネットワークデバイス管理などのサイバーセキュリティコントロールを学びます。
ウェブブラウザやメールクライアントは、技術的に複雑で柔軟性が高く、ユーザーや他のシステム、ウェブサイトと直接やり取りを行うため、侵入や攻撃の対象となることが非常に多くなっています。コンテンツは、ユーザーを誘惑し、悪意のあるコードの侵入や貴重なデータの損失、その他の攻撃を可能にするような行動を取らせるような偽装工作が可能です。組織は、攻撃者がウェブブラウザや電子メールシステムとの相互作用を通じて人間の行動を操作する攻撃対象領域と機会を最小化する必要があります。
悪意のあるソフトウェアは、Webブラウジング、電子メールの添付ファイル、モバイルデバイスなどのベクトルを通じてエンドユーザーや組織を狙うため、インターネットの脅威の不可欠かつ危険な要素となっています。悪意のあるコードは、システムのコンポーネントを改ざんし、機密データを取得し、他のシステムに感染したコードを拡散させる可能性があります。アンチウィルス・シグネチャが最新であることを確認するために、効果的な組織は、企業のエンドポイントセキュリティ製品に内蔵されている管理機能などの自動化機能を使用して、アンチウィルス、アンチスパイウェア、ホストベースの侵入検知システム(IDS)機能がすべての管理対象システムで有効であることを検証しています。また、自動化された評価を毎日実行し、その結果を確認して、そのような保護機能を無効にしているシステムや、最新のマルウェア定義が適用されていないシステムを発見し、軽減する。システムは、コンピュータシステムにインストールされた、またはインストールしようとした、あるいは実行された、または実行しようとした悪意のあるソフトウェアを特定しなければならない。
攻撃者がマシンを危険にさらすと、設定やソフトウェアに大きな変更を加えることがよくあります。また、攻撃者は、侵害されたマシンに保存されているデータを微妙に変更することもあり、汚染された情報によって組織の有効性が損なわれる可能性があります。四半期に一度、テストチームは、システムのバックアップのランダムなサンプルをテストベッド環境にリストアして評価する必要があります。復元されたシステムは、バックアップのオペレーティングシステム、アプリケーション、およびデータがすべて無傷で機能することを確認する必要があります。
攻撃者は、ファイアウォール、ルーター、スイッチの電子的な穴や設定ミスを探し、防御を突破します。これらのネットワーク機器が悪用されると、攻撃者は標的のネットワークにアクセスし、信頼できるシステムを装った悪意のあるシステムにトラフィックをリダイレクトし、通信中のデータを傍受して改ざんすることができます。組織は、ネットワーク・フィルタリング・デバイスのルール・セットを評価し、それらが一貫しているか、または矛盾しているかを判断し、ネットワーク・フィルタの自動チェックを提供する商用ツールを使用することができます。さらに、これらの商用ツールは、ルールセット内のエラーを検索する。このようなツールは、ファイアウォールのルールセット、ルーターのアクセス制御リスト、その他のフィルタリング技術に重要な変更が加えられるたびに実行する必要があります。
インターネットに接続されたシステムを攻撃することで、攻撃者は他のネットワークや内部システムに侵入するための中継地点や橋頭堡を作ることができます。自動化されたツールは、ネットワークへの脆弱な侵入口を悪用するために使用されることがあります。ネットワークの境界を通過するトラフィックの流れを制御し、攻撃や侵入されたマシンの証拠を探すために、境界の防御は多層的であるべきです。これらの境界は、ファイアウォール、プロキシ、DMZ境界ネットワーク、ネットワークベースの侵入防止システム、侵入検知システムで構成されるべきです。組織は、脆弱性スキャンツールを起動し、これらのセンサーを定期的にテストする必要があります。これらのツールは、スキャナートラフィックが適切なアラートをトリガーすることを検証します。侵入検知システム(IDS)センサーのキャプチャしたパケットを毎日自動スクリプトで確認し、ログ量が予想されるパラメータ内にあり、適切にフォーマットされ、破損していないことを確認する必要があります。
このコースでは、授業で学んだことをすべて使って、包括的なディセプション計画を作成します。そして、ディセプションプログラムの有効性を評価する方法を学びます。また、ディセプションの合法性、およびディセプション環境におけるインシデントレスポンスの違いについても理解することができます。最後に、商用ディセプション・ソリューションの概要を説明します。
攻撃を効果的に発見し、効果的に対処することを望む組織は、従業員や請負業者がギャップを発見し、それを埋めることに依存している。強固なセキュリティスキル評価プログラムは、セキュリティ意識の向上が必要な箇所について、意思決定者に実用的な情報を提供することができる。また、セキュリティ対策を向上させるために、限られたリソースを適切に配分する判断材料にもなります。スキルアップの鍵は測定にある。認定試験ではなく、従業員と雇用者の双方が、どこの知識が十分で、どこが不足しているかを示す評価である。ギャップが明らかになれば、必要な知識を持つ従業員に、そうでない従業員の指導を依頼することができます。また、従業員の準備態勢を直接維持するためのトレーニングプログラムも開発することができます。
技術的なニーズやサービスを補うために、サードパーティーサービスプロバイダーを利用する組織がますます増えています。サービスプロバイダの例としては、アウトソーシングコンサルタント、ITプロバイダー、給与計算プロバイダー、電子請求書プロバイダー、製造業者などがあります。サードパーティは、リモート接続、企業間ネットワーク、データの共有と処理を通じて、組織のセキュリティ体制にさらなるリスクをもたらす可能性があります。
犯罪組織は、Webベースと非Webベースの両方のアプリケーション・ソフトウェアの脆弱性を頻繁に攻撃します。実際、犯罪者にとっては最優先事項です。アプリケーションソフトウェアは、3つの点で遠隔地からの侵害に対して脆弱性があります。
攻撃を避けるためには、社内開発およびサードパーティのアプリケーション・ソフトウェアを慎重にテストして、セキュリティ上の欠陥を見つける必要があります。ソースコードテストツール、ウェブアプリケーションセキュリティスキャンツール、およびオブジェクトコードテストツールは、アプリケーションソフトウェアを保護する上で有用であることが証明されています。また、豊富なプログラミング知識とアプリケーション侵入テストの専門知識を持つテスターによる手作業でのアプリケーションセキュリティ侵入テストも有効な手段です。システムは、アプリケーションレベルのソフトウェア攻撃を検知し、ブロックすることができなければならず、企業の管理担当者にアラートを生成するか、電子メールを送信しなければならない。
インシデントレスポンス計画がない場合、組織はそもそも攻撃を発見できない可能性があります。また、攻撃が発見されたとしても、組織は適切な手順に従って被害を食い止め、攻撃者の存在を根絶し、安全な方法で回復することができないかもしれません。このように、攻撃者は、発見されたとしても、より大きな被害をもたらし、より多くのシステムに感染し、場合によっては、他の方法では不可能なほど多くの機密データを流出させ、大きな影響を与える可能性があります。インシデント対応チームは、詳細なインシデント対応手順を定義した後、組織が直面する脅威と脆弱性に合わせて調整された一連の攻撃シナリオに取り組むなど、シナリオに基づく訓練を定期的に行う必要がある。
攻撃者は、ソーシャルエンジニアリングや脆弱なソフトウェアやハードウェアを悪用して、ネットワークやシステムに侵入します。ペネトレーションテストでは、コンピュータ攻撃者の行動を模倣し、それを悪用して、攻撃者がどのようなアクセスを獲得できるかを判断します。各組織は、ペネトレーションテストとレッドチーム分析について、明確な範囲と取り組みルールを定義する必要があります。このようなプロジェクトの範囲には、少なくとも、最も価値の高い情報および生産処理機能を持つシステムを含める必要があります。