ニュースレター登録
資料ダウンロード
お問い合わせ

Industrial Control Systems 410

ICS/SCADA Security Essentials

Industrial Control Systems Security

English
日程

2025年1月27日(月)~2025年2月1日(土)

期間
6日間
講義時間

1日目:9:00-17:30
2日目~6日目:9:30-17:30

受講スタイル
Live Online
会場

オンライン

GIAC認定資格
GICSP
講師
Monta Elkins|モンタ エルキンス
SANSプリンシパルインストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
36 Points
受講料

早期割引価格:1,390,000 円(税込み 1,529,000 円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格:1,520,000 円(税込み 1,672,000 円)

申込締切日
早期割引価格:2024年12月20日(金)
通常価格:2025年1月17日(金)
オプション
  • GIAC試験 170,000 円(税込み 187,000 円)
  • OnDemand  170,000 円(税込み 187,000 円)
  • NetWars Continuous  290,000 円(税込み 319,000 円)

※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

ICS410 PC設定詳細

重要:以下の手順に従って設定されたPCを各自用意してください。

このコースに参加するには、適切に設定されたPCが必要です。以下の支持を注意深く確認し、ご用意いただかないと、このコースに不可欠な実践的な演習に参加することができません。したがって、コースに指定されたすべての要件を満たすシステムをご用意ください。

授業の前にシステムをバックアップしておくこと。より良い方法は、機密データやクリティカルなデータのないシステムを使用することです。SANSはあなたのシステムやデータについて責任を負いません。

ノートパソコンのハードウェア要件

  • CPU 64ビットIntel i5/i7(第8世代以降)、またはAMD同等品。このクラスでは、64ビット、2.0GHz以上のプロセッサーが必須。
  • 重要: Appleシリコンを搭載したデバイスは必要な仮想化を行うことができないため、このコースでは一切使用できません。
  • 「Intel-VTx」や「AMD-V」拡張機能など、仮想化技術を有効にするためのBIOS設定が必要です。
    変更が必要な場合に備えて、BIOSがパスワードで保護されている場合は、絶対にアクセスできるようにしてください。
  • 8GB以上のRAMが必要です。
  • 70GB以上のストレージ空き容量が必要です。
  • 利用可能なUSB 3.0 Type-Aポートが1つ以上あること。新しいノートパソコンには、Type-CからType-Aへのアダプタが必要な場合があります。エンドポイント保護ソフトウェアの中にはUSBデバイスの使用を禁止しているものもありますので、授業前にUSBドライブでシステムをテストしてください。
  • ワイヤレスネットワーク(802.11規格)が必要です。教室では有線のインターネット接続はできません。

ノートパソコンのホストOS要件とソフトウェア要件

  • ホストOSは、Windows 10、Windows 11、またはmacOS 10.15.x以降の最新バージョンである必要があります。
  • 授業前にホストOSを完全にアップデートし、正しいドライバとパッチがインストールされていることを確認してください。
  • Linuxホストはバリエーションが多いため、教室ではサポートしていません。Linuxをホストとして使用する場合、コース教材および/またはVMと連動するように設定する責任は各自にあります。
  • ローカル管理者アクセスが必要です。(これは絶対に必要です。ITチームにそうでないと言わせないでください)。
    受講期間中、会社がこのアクセスを許可しない場合は、別のノートパソコンを持参するよう手配してください。
  • ウイルス対策ソフトやエンドポイント保護ソフトが無効になっていること、完全に削除されていること、またはそのための管理者権限を持っていることを確認してください。
    私たちのコースの多くは、オペレーティングシステムへの完全な管理者アクセスを必要とし、これらの製品はラボの達成を妨げる可能性があります。
  • アウトバウンドトラフィックのフィルタリングは、あなたのコースのラボの達成を妨げる可能性があります。ファイアウォールは無効にするか、無効にするための管理者権限を持ってください。
  • VMware Workstation Pro 16.2.X+またはVMware Player 16.2.X+(Windows 10ホスト用)、VMware Workstation Pro 17.0.0+またはVMware Player 17.0.0+(Windows 11ホスト用)、VMWare Fusion Pro 12.2+またはVMware Fusion Player 11.5+(macOSホスト用)を授業開始前にダウンロードし、インストールしてください。VMware Workstation ProまたはVMware Fusion Proのライセンスをお持ちでない方は、VMwareから30日間の無料トライアル版をダウンロードできます。VMwareのウェブサイトからトライアルに登録すると、期間限定のシリアル番号が送られてきます。また、VMware Workstation PlayerはVMware Workstation Proよりも機能が少ないことに注意してください。Windowsホスト・システムを使用している場合は、よりシームレスな学生体験のためにWorkstation Proをお勧めします。
  • Windowsホストでは、VMware製品はHyper-Vハイパーバイザーと共存できない場合があります。VMwareが仮想マシンを起動できることを確認してください。そのためには、Hyper-Vを無効にする必要があります。Hyper-V、Device Guard、およびCredential Guardを無効にする方法は、コース教材に付属のセットアップ・ドキュメントに記載されています。
  • 7-Zip (Windows ホスト用) または Keka (macOS ホスト用) をダウンロードしてインストールします。これらのツールもダウンロードしたコース教材に含まれています。

LiveOnlineでのコースメディアの事前準備、テキストについて

コースのメディアがダウンロード版で配信されるようになりました。授業で使用するメディアファイルは大容量で、多くは40〜50GBで、中には100GBを超えるものもあります。
ダウンロードに必要な時間は様々な要因に左右されるため、所要時間を見積もることはできませんが、非常に時間がかかってしまう場合もあります。メールよりダウンロードリンクを取得したら、コースメディアのダウンロードを開始してください。コースメディアは授業初日すぐに必要になります。開始前夜などにダウンロードを開始すると、失敗する可能性が高くなりますので、時間に余裕をもってご準備ください。

コース教材には「セットアップ手順」という文書が含まれています。この文書には、ライブ・クラスのイベントに参加する前、またはオンライン・クラスを開始する前に行わなければならない重要な手順の詳細が記載されています。これらの手順を完了するには、30分以上かかる場合があります。

SANSでは、PDF形式のテキストの提供を開始しました。さらに、一部のクラスではPDFに加えて電子ブックを使用しています。電子ブックを使用するクラスは今後増えていく予定です。セカンドモニターやタブレット端末を使って、授業の資料を見られるようにしておくと便利です。

ノートパソコンの仕様についてご不明な点がございましたら、laptop_prep@sans.org までお問い合わせください。

ICS410 コース概要

SANSは、国の重要インフラを守るために必要なサイバーセキュリティのスキルを、セキュリティプロフェッショナルと制御システムエンジニアに習得してもらうため、産業界のリーダーたちと協力して活動を行っています。本コースは、産業分野におけるサイバーセキュリティ専門家向けの標準的な基礎知識とスキルを身につけていただくコースです。産業用制御システムの保守に関わっている方が、運用している環境を安全かつセキュアに、そして既知の脅威や新しいサイバー攻撃に対抗できるように訓練することに焦点をあててカリキュラムが組み立てられています。

本コースでは次のことを身につけていただきます。

  • 産業用制御システムのコンポーネント、目的、デプロイメント、重要なドライバー、制約条件の理解
  • ラボセッションによる制御システムへの攻撃対象領域への理解や、攻撃手法、攻撃ツールの体験
  • 制御システム分野におけるシステムとネットワーク防御のアーキテクチャ、アプローチ方法
  • 制御システム環境におけるインシデントレスポンス能力
  • 産業用制御システムのサイバーセキュリティ専門家に向けたガバナンスモデルとリソース

本コースを検討するにあたり、重要インフラ分野における最も高いリスクとニーズを調査しました。日々、制御システムをサポートする上で必要とされる幅広い業務の中で、真に必要となるセキュリティの原則を注意深く検討しました。たとえば、システムに対するペネトレーションテスト、脆弱性分析、マルウェア解析、フォレンジック、セキュアコーディング、レッドチームトレーニングなどを学習するコースがあります。これらの大半のコースが、実際に重要インフラの制御システムを運用する方や管理、設計、実装、監視そして統合する方向けに作られていません。

産業用制御システムに携わるエンジニアの特徴として、多くのエンジニアが大量の機器の機能とリスクを完全に理解しているわけではないことが挙げられます。また、通信とネットワークセキュリティを担当するITサポート部門は、システムで使用しているドライバーとその制約条件を常に把握しているわけではありません。本コースは、従来のIT担当者が、制御システムの設計思想と制御システムに対してどのように可用性と完全性を維持・運用すればよいかを、十分に理解できるように作られています。また、制御システムエンジニアと運用担当者の方々がサイバーセキュリティにおいて担う重要な役割を理解してもらえるようなコースを設計しています。制御システムの設計と構築についてサイバーセキュリティの考え方を取り入れることで、システムのライフサイクル全体に渡って、システムの信頼性と同じレベルでサイバーセキュリティを維持する方法を学びます。

このように異なるグループの専門家がこのコースを修了すると、サイバーセキュリティに関する重要性を理解した上で評価を行えるようになり、産業用制御システムをセキュアにするような共通言語を使うことができるようになるでしょう。本コースは、サイバーセキュリティ・アウェアネス(気づき)を与える訓練でもあり、制御システムのインフォメーション・テクノロジーとオペレーショナル・テクノロジー(IT/OT)サポートを行っているプロフェッショナルの方々が、サイバーセキュリティから引き起こされる物理的影響を理解する意味でも有用なコースです。

本コースで出来るようになること

  • さまざまな産業用制御システムとその目的、アプリケーション、機能、およびネットワークIPと産業用通信への依存関係をよりよく理解する。
  • 制御ネットワーク・インフラストラクチャ設計(トポロジ、プロトコル、コンポーネントを含むネットワーク・アーキテクチャの概念)、および IEC 62443 とパデュー・モデルとの関連性
  • Windowsコマンドラインツールを実行し、システムを分析し、リスクの高い項目を探す。
  • Linuxのコマンドラインツール(ps、ls、netstat、etc)の実行と、基本的なスクリプト作成によるプログラムの実行の自動化により、各種ツールの継続的な監視を行う。
  • オペレーティングシステムを扱う(Unix/Linuxおよび/またはWindowsオペレーティングシステムのシステム管理概念)
  • システムのセキュリティライフサイクルを理解する。
  • 情報保証の原理と原則(機密性、完全性、可用性、認証、否認防止)を理解する
  • コンピュータネットワーク防御のスキルを活用する(侵入検知技術によるホストおよびネットワークベースの侵入の検知)
  • インシデントレスポンスと対処方法の実装
  • さまざまな ICS 技術、攻撃、防御を、NIST サイバーセキュリティフレームワーク、ISA/IEC 62443、ISO/IEC 27001、NIST SP 800-53、Center for Internet Security Critical Security Controls、
  • COBIT 5 などのさまざまなサイバーセキュリティ標準にマッピングする

本コース受講の前提知識

コース参加者は、ネットワークとシステム管理の基礎について理解している必要があります。具体的にはTCP/IP、ネットワークの設計・アーキテクチャ、脆弱性評価、リスク分析に関する方法論です。本コースでは情報セキュリティの多くのコアとなる分野をカバーしています。この分野に関してまったく触れたことがない、背景となる知識がないという方にはSEC301:Intro to Information Securityというコースがありますので、ここから始めることをお勧めします。SEC301の受講は必要な前提条件ではありませんが、本コースでの学習効果を最大限に高める入門知識を提供するコースになっています。

受講対象者

本コースは産業システム業界で働いている方や産業システム業界の方と対話をされる方、もしくは産業用制御システムに関与する可能性のある方向けに作られたコースです。対象者には、アセットオーナー、ベンダー、インテグレーター、その他サードパーティの方も含まれます。主な対象者は次の4つのドメインに関係する方になります。
  • IT(オペレーショナル・テクノロジー・サポート含む)
  • ITセキュリティ(オペレーショナル・テクノロジー・セキュリティ含む)
  • エンジニアリング
  • 企業、業界、専門家のスタンダード

※ICS410は、GIAC(GICSP)認定試験対象コースです。

グローバル・インダストリアルサイバーセキュリティプロフェッショナル(GICSP)認定は、ベンダーニュートラルで実務者に焦点を当てた認定であり、IT、エンジニアリング、サイバーセキュリティの架け橋となり、産業用制御システムのライフサイクル全体を通じてセキュリティを実現します。GICSP は、制御システムを設計またはサポートするプロフェッショナルへ、これらの環境へのセキュリティに対する責任を共有する基本的な知識と理解を必要とします。

  • 産業用制御システムの構成要素、目的、配置、重要な推進要因、および制約条件。
  • 制御システムの攻撃面、方法、およびツール
  • システムおよびネットワーク防御アーキテクチャと技術に対する制御システムのアプローチ
  • 制御システム環境におけるインシデント対応スキル
  • 産業用サイバーセキュリティ専門家のためのガバナンスモデルとリソース

受講内容

コース開発者より

本コースでは、産業用制御システムの環境において、サイバーセキュリティの業務を行うために不可欠なものを学習します。産業システム業界で数年間働いた後に、エンジニアがサイバーセキュリティのスキルを取得するのと、サイバーセキュリティのエキスパートが産業システム業界の原則を身につけるのとでは、スキルセットにはギャップがあると考えるに到りました。また、産業用制御システムにおけるIT/OTの線引きは、今日では非常にあいまいになってきています。そのため、システムをサポートしている方や実際に使用している方など、さまざまなグループ間で共通の理解をする必要性が高まってきています。学習者の方々には本コースで、広範囲に渡る産業分野とアプリケーションに関する産業用制御セキュリティの専門用語、基本となる理論、基本的なツールを学んでいただきます。 
- Justin Searle

ICS/SCADAにおける安全性の概念化は、Justinによる数多くの例によって理解しやすくなりました。どこで問題が発生するかを視覚的に示してくれる彼の能力は、私たちのSCADAネットワークを修復するためのテクニックを与えてくれました。
- Attilio Pramarini, RTD

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5
  • DAY6

ICS Overview

1日目は、産業用制御システムをサイバーフィジカルに運用するために重要となる考慮事項や共通言語を理解します。各受講生には、プログラマブルロジックコントローラ(PLC)のハードウェアが配付され、クラスで物理的なインプットとアウトプットをプログラムし、オペレータインタフェースやHMIにマッピングします。このハードウェアを使用することにより、ICSの運用に必要な特定の安全保護や通信ニーズ、システム管理アプローチ、サイバーセキュリティの実装を推進または制限する要因を理解し、サイバーとフィジカルの知識を得ることができます。また、さまざまな役割を担う受講生のために、基本的な用語やアーキテクチャ、方法論、デバイスはすべて共通の言語を使用します。

トピック

1日目:ICSの概要
  • Global Industrial Cybersecurity Professional (GICSP) 概要
  • ICSの概要
    • プロセスと役割
    • 業界
    • 演習:ピアから学ぶ
  • パデューレベル0と1
    • コントローラとフィールドデバイス
    • プログラミングコントローラ
    • 演習:PLCのプログラミング
  • パデューレベル2と3
    • HMI、ヒストリアン、アラームサーバ
    • 特殊なアプリケーションとマスターサーバ
    • コントロールルームとプラント
    • SCADA
    • 演習:HMIのプログラミング
  • ITとICSの違い
    • ICSのライフサイクルの課題
  • 物理セキュリティ

Architectures and Processes

ICS環境を攻撃するアプローチを知っている場合、環境を守るための準備をした方がよいでしょう。ICS環境内には多くの攻撃経路が存在し、これまでのITシステムに類似するものもあれば、ICS固有のものもあります。2日目は、特定の攻撃ベクトルがどこに存在するのか、OT/ICSのより防御可能なアーキテクチャについての理解を深めます。IT ネットワークとは異なるレベルである パデュー レベル 0 および 1 で使用されるさまざまな技術と通信を確認します。そして、1日目にプログラムしたPLCからフィールドバストラフィックをキャプチャし、業界で使用されている他のフィールドバスプロトコルを確認します。

トピック

2日目:フィールドデバイスとコントローラ
  • ICSの攻撃対象領域
    • 脅威アクターと攻撃の理由
    • 攻撃対象領域と入力
    • 脆弱性
    • 脅威/攻撃モデル
    • 情報漏洩
    • 演習:外部攻撃対象領域の特定
  • セキュアなICSネットワークアーキテクチャ
    • ICS410 リファレンスモデル
    • より大きなICSサイト
    • リモートアクセス
    • 局地的なSCADA
    • 演習:安全なICSサイトの設計
  • パデューレベル0と1
    • パデューレベル0と1の攻撃
    • Control Things Platform
    • 演習:EEPROM Dumpsのパスワード
    • パデューのレベル0と1の技術
    • フィールドバスプロトコルファミリー
    • 演習:フィールドバスプロトコルを探る
    • パデューのレベル0と1の防御
    • 安全計装システム(SIS)

Communications and Protocols

3日目は、制御ネットワーク全体でよく見られる通信プロトコルを学習します。イーサネットのみのネットワークやTCP/IPネットワークを流れるネットワークキャプチャを分析したり、シミュレートされたコントローラをセットアップし、制御プロトコルを介して対話を行います。また、制御ネットワークから、トラフィックの流れをセグメント化して制御するためのさまざまな方法について学びます。暗号の概念と、通信プロトコルや機密データが保存された端末でどのように適用されているのかを学びます。制御ネットワークでワイヤレス通信を使用することのリスク、一般的に使用されているワイヤレス技術や防御策についても学習します。

トピック

3日目:スーパーバイザリーシステム
  • イーサネットとTCP/IP
    • イーサネットの概念
    • TCP/IPの概念
    • 演習:ネットワークキャプチャ分析
    • TCP/IP上のICSプロトコル
    • Wireshark と ICS プロトコル
    • ネットワークへの攻撃
    • 演習:Modbus TCPの列挙
  • 施行区装置
    • ファイアウォールと次世代ファイアウォール
    • 現代のデータダイオード
    • NIDS/NIPSとNetflow
    • USBスキャンとハニーポット
  • 暗号の基本を理解する
    • 暗号鍵
    • 暗号化、ハッシュ化、署名
    • 演習:マニュアル暗号
  • ワイヤレス技術
    • 衛星と携帯電話
    • メッシュネットワークとマイクロ波
    • BluetoothとWi-Fi
  • ワイヤレス攻撃と防御
    • ワイヤレスの恒久的な3つのリスク
    • スニッフィング、DoS、マスカレード、不正なAP

Supervisory Systems

4日目はICSに関連したサーバーとワークステーションのオペレーティングシステムの機能、実装アプローチ、システム管理の実践を学びます。フィッシングキャンペーンからHMI侵害まで攻撃者を追跡するネットワーク・フォレンジック演習をハンズオンで行った後、HMI webテクノロジーとパスワード・ブルートフォース攻撃を実施しながらHMI、ヒストリアン、および制御ネットワークの中間レベルから上位レベル、すなわちパデューレベル23で使用されるユーザー・インターフェース・テクノロジーを確認していきます。午後は、ベースラインを作成し、Windowsベースのワークステーションやサーバーをセキュアにする方法について学習します。

トピック

4日目:ワークステーションとサーバ
  • スーパーバイザリーサーバー
    • スーパーバイザリー攻撃
    • ヒストリアンとデータベース
    • 演習:SQLインジェクションによる認証のバイパス
  • ユーザーインターフェース
    • HMIとUIの攻撃
    • ウェブベースの攻撃
    • パスワードの防御
    • 演習:パスワードのファジング
  • Microsoft Windowsを守る
    • Windowsのサービス
    • Windows セキュリティポリシーと GPO
    • ホスト型ファイアウォール
    • 演習:PowerShellを使ったベースライン作成
  • ICSシステムへのパッチ適用
    • パッチ決定ツリー
    • ベンダー、CERTS、セキュリティ速報

ICS Security Governance

5日目は、さらにベースラインとハードニングを探求しますが、Linuxベースのワークステーションとサーバが対象です。システムのハードニング、ログ管理、監視、アラート、監査アプローチなどの ICS システムに有益な概念を確認し、複数の業界の ICS 環境で使用されている一般的なアプリケーションやデータベースをいくつか見ていきます。最後に、重要な ICS システムを保護するために何をしなければならないかを管理するために使用される様々なモデル、方法論、および業界特有の規制について学びます。主要なビジネスプロセスのリスク評価、災害復旧、ビジネスインパクト分析、コンティンジェンシープランニングをICS環境の観点から検討します。

トピック

5日目:ICSセキュリティガバナンス
  • Unix と Linux の防御
    • Windowsとの違い
    • Daemon、SystemV、SystemD
    • LynisとBastille
    • 演習:Linux ハードニング
  • エンドポイントプロテクションとSIEM
    • アプリケーションランタイムと実行制御
    • 構成の完全性とコンテナ
    • WindowsとLinuxのログ
    • 演習:Windowsのイベントログ
  • ICSサイバーセキュリティプログラムの構築
    • プロセスの開始
    • フレームワーク:ISA/IEC 62443、ISO/IEC 27001、NIST CSF
    • NIST CSFの使用
  • ICSサイバーセキュリティポリシーの作成
    • 方針・基準・指導・手順
    • 文化と執行
    • 事例や情報源
    • 演習:ICSセキュリティポリシーのレビュー
  • サイバーセキュリティリスクの測定
    • リスクアプローチとリスク測定
    • DRとBCプランニング
  • インシデント対応
    • 6つのプロセスステップ
    • 机上演習
  • まとめと次のステップに向けて

Capstone CTF

インシデント対応演習に基づくCTFに取り組みます。1週間を通して得た知識を使って、侵害指標(IoC)を特定し、更なる攻撃を制限するために取るべきアクションを決定し、攻撃者がOT/OCS ネットワークに深く入り込むにつれて変化させる戦術、技術、および手順(TTP)に対応していきます。1週間を通して、複数の業界のための様々なリソースを学び、ICSに焦点を当てた重要な専門資格であるGICSPの取得に向けて十分な準備ができるようになります。

ハンズオントレーニング

  • PLCのプログラミング
  • HMIのプログラミング
  • 安全なDCSの構築
  • 組み込みデバイスのパスワード検索
  • フィールドバスプロトコルの探求
  • ネットワークキャプチャ分析
  • Modbus TCPの列挙
  • 攻撃のネットワーク・フォレンジック
  • SQLインジェクションによる認証回避
  • パスワード・ファジング
  • PowerShellによるベースライン化
  • ホストベース・ファイアウォールの設定
  • Windowsイベントログ
  • リモート・アクセスの発見
  • インシデント・レスポンス卓上演習

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。