ニュースレター登録
資料ダウンロード
お問い合わせ

LEADERSHIP 516

Building and Leading Vulnerability Management Programs

※本コースは中止となりました。次回開催をお待ちください。

Security Management, Legal, and Audit

English
日程

2025年1月27日(月)~2025年1月31日(金)

期間
5日間
講義時間

1日目:9:00-17:30
2~5日目:9:30-17:30

受講スタイル
Live Online
会場

オンライン

GIAC認定資格
-
講師
David Hazar|デビット アザール
SANS認定インストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
30 point
受講料

早期割引価格:1,250,000 円(税込み 1,375,000 円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格:1,360,000 円(税込み 1,496,000 円)

申込締切日
早期割引価格:2024年12月20日(金)
通常価格:2025年1月17日(金)
オプション
  • OnDemand  170,000 円(税込み 187,000 円)
  • NetWars Continuous  290,000 円(税込み 319,000 円)

※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

LDR516 PC設定詳細

重要:以下の説明に従って設定したシステムを持参してください。

このコースに完全に参加するためには、適切に設定されたシステムが必要です。この説明をよく読み、それに従わなければ、コースの実地練習に十分に参加することができません。従って、指定された要件をすべて満たすシステムでご出席ください。授業の前にシステムをバックアップしておくこと。より良い方法は、機密データやクリティカルなデータのないシステムを使用することです。SANSはあなたのシステムやデータについて責任を負いません。

ハードウェア要件

  • ワイヤレスネットワーク(802.11規格)が必要です。教室での有線インターネットアクセスはありません。

ソフトウェア要件

  • 最新のウェブブラウザ。詳細はranges.io/faqs#supported-web-browsersをご覧ください。
  • Microsoft Office(バージョン問わず)またはOpenOfficeがホストにインストールされていること。なお、Officeの試用版ソフトウェアはオンラインでダウンロードできます(30日間無料)。
ノートパソコンの仕様についてご不明な点がございましたら、laptop_prep@sans.org までお問い合わせください。

コース概要

症状の治療をやめる。病気を治す。

脆弱性管理プログラムが十分に確立されている場合でも、これから始める場合でも、このコースを受講することで、脆弱性管理についてこれまでとは異なる考え方ができるようになります。このコースでは、誇大広告にとらわれず、ブロックされていないセキュリティ脆弱性にうまく優先順位をつけ、さまざまな理由で現在修復できないバックログにある残りの脆弱性に関連するリスクを明確かつ効果的に伝える方法を学びます。また、インフラとアプリケーション、クラウド環境と非クラウド環境の両方におけるセキュリティ脆弱性管理に関連する負担を軽減するために、成熟した組織がどのような取り組みを行っているかを学ぶことができます。LDR516は、PIACT(Prepare、Identify、Analyze、Communicate、Treat)モデルに基づいています。

LDR516は、企業セキュリティのプログラムを成熟させるために脆弱性管理について戦略的に考えることを支援するだけでなく、一般的な課題を克服するための戦術的なガイダンスも提供します。従来の運用環境とクラウドの運用環境の両方において多くの組織が直面する典型的な問題を理解し、その解決策を議論することで、今日と明日の課題に対応する準備が整います。また、多くの組織が従来の運用環境を管理し続けるだけでなく、クラウドサービスを導入していることを踏まえ、コース全体を通してさまざまなクラウドサービスの種類と、それらがプログラムに与えるプラスとマイナスの影響についても見ていきます。また、それぞれの環境で活用できるツールやプロセスを紹介し、新しいトレンドも紹介します。

「このコースは、確立された脆弱性管理チームにとっても、発展途上の脆弱性管理チームにとっても不可欠である。」- Robert Adams, CBC
「このコースは、VMPを作成し、実施する人々にとって素晴らしいものです。このコースは詳細で徹底しており、プログラムを成功させるための明確な期待値を設定しています。」- Rachel Parkhurst

脆弱性管理とは何か?

脆弱性管理とは、定義された測定可能な方法で、組織全体のシステムやソフトウエアに潜在するセキュリティに影響を与える欠陥や不具合を特定、分析、伝達、処置するためのプログラムと関連プロセスのことである。

ビジネス上の利点

このコースは、あなたの組織に役立ちます:

  • 現代の脆弱性プログラムにおいて、何が有効で何が有効でないかを理解する。
  • クラウド運用環境に関連する影響を予測し、計画する。
  • コンテキストが重要な理由と、コンテキストデータの収集、保存、維持、効果的な活用方法を理解する。
  • 主要な利害関係者に、脆弱性データとそれに関連するリスクを効果的かつ効率的に伝える。
  • 現在の障害や欠陥を特定するために、脆弱性を有意義にグループ化する方法を決定する。
  • どのメトリクスが組織内での採用と変革を促進するかを知る。
  • 技術チームが脆弱性を解決し、プロアクティブに対応するために、どのような修復機能が利用できるかを理解する。

習得スキル

  • 脆弱性管理プログラムを作成、実装、または成熟させ、利害関係者の賛同を得るためのステップ
  • 企業やクラウドにおけるIT資産の正確で有用なインベントリーを構築し、維持するためのテクニック
  • インフラストラクチャとアプリケーションの両方において、どのような識別プロセスとテクノロジーが効果的で、どのようにそれらを適切に構成するか。
  • 識別ツールで注意すべき一般的な偽陽性または偽陰性は?
  • さまざまな手法に基づいて、ブロックされていない脆弱性に優先順位をつけて治療する方法
  • 組織内の脆弱性データを効果的に報告・伝達する
  • ブロックされ、現在のところ改善の優先順位が付けられない脆弱性に関連するリスクを特定し、報告する能力。
  • 最新の治療能力をよりよく理解し、治療チームとよりよく関わる方法
  • 関係者全員にとって脆弱性管理をより楽しく魅力的なものにする才能
  • アプリケーション層の脆弱性とインフラ層の脆弱性の対処方法の違い
  • クラウドへの移行、プライベートクラウドの導入、組織内でのDevOpsの展開に伴い、戦略や手法がどのように変化するかを理解する。

実践的脆弱性管理トレーニング

LDR516は、Cyber42のリーダーシップ・シミュレーション・ゲーム、概略シナリオに基づいたクリティカル・シンキング・ラボ、およびデモンストレーションを使用して、VMの戦いを巧みに戦うために必要な情報を提供します。Cyber42は、受講生がコースを通して内容を吸収し、応用できるように支援します。このウェブベースの継続的な卓上演習では、受講生は架空の組織である「Everything Corporation」または「E Corp」において、セキュリティ文化の改善、予算とスケジュールの管理、特定の脆弱性管理能力の向上を目指します。この演習では、実際のシナリオを想定し、特定の事象に対応して組織の成熟度を向上させるためのさまざまな選択肢を考え抜くことが求められます。

以下は、セクションごとに異なるゲームコンポーネントとその他のラボの簡単な説明です:

  • セクション 1:エブリシング・コーポレーション会社概要、ラウンド 1 イニシアチブ選択、実践イベント:イベント1~3:監査アクションアイテム - VMポリシーと標準、シャドウクラウドの使用、資産インベントリ、ポリシーと標準のレビュー、クラウドへの移行、資産管理 - 重要な属性、資産コンテキストの活用 Domo、Azure Data Explorer、Axoniusのデモンストレーション。
  • セクション2:ラウンド2イニシアティブの選択、イベント4-6:カバレッジのギャップ、スペース・レース、ブロブ・ストレージの設定ミス、スキャン技術、スキャンの検証、パイプラインの統合
  • セクション 3:イベント 7-9: ヘルスケア脅威インテリジェンスの共有、エラー - 計算されない、不正確なレポート、ラウンド 3 イニシアチブ選択、コンテキスト優先順位付け、ソリューショングループとタイプの追加 ServiceNow デモンストレーション
  • セクション4:イベント10-12:パッチが当てられない、当てない、エイジングの問題、サードパーティ製アプリのダウンロード、ラウンド4イニシアティブの選択、文化の変化、ゴールドイメージパイプラインのデモ、修復の効果
  • セクション5:出来事13-17プログラムへの支援、Eコマースの失敗、レガシー・システム、コード・カバレッジへの挑戦、宇宙開発競争 第2部-理事会、脆弱性管理への賛同

「素晴らしいラボ。脆弱性管理は想像以上に楽しい。」- Page Jeffery, Newmont

「このようなラボでのディスカッションや、他のユーザーから似たような意見を聞くのは本当に楽しい。このラボの形式は楽しいと思います。」- Isaac Philbrook, Premera

「Cyber42での素晴らしい経験!」- Yann Esclanguin, Caterpillar

シラバス概要

  • セクション1:コースの概要、ポリシーと標準、クラウド設計の考慮事項、サイバー資産の攻撃対象領域管理
  • セクション2:インフラとアプリケーションの両方にわたる課題、プロセス、技術の特定
  • セクション3:効果的に行動に影響を与えるための分析、測定基準、コミュニケーション技術
  • セクション4:一般的な処理または浄化プロセスと技術
  • セクション5:賛同を得てプログラムを進める

その他の無料の参考資料

提供教材

  • コースの全内容、ラボの紹介と報告を含む学生用マニュアル
  • 授業ウェブサイト上のラボ教材や特典コンテンツ、ビデオへのアクセス
  • Cyber42セキュリティ・リーダーシップ・シミュレーション・ゲームへのアクセス
  • 全講座のMP3音声ファイル

次のステップ

前提条件

このコースでは、脆弱性、パッチ、およびコンフィギュレーション管理の概念についての基本的な理解を推奨します。

コース開発者のコメント

「利用可能な脆弱性管理情報の量に圧倒されるのは簡単だ。脆弱性は、私たちが使用するあらゆるデバイスやソフトウェアに存在し、毎日新しいレポートが発表されています。このダイナミックな状況を管理することは、組織にとっての課題です。私たちの目標は、膨大な量の脆弱性を管理し、脆弱性管理プログラムを構築または改善するためのフレームワークを学生に提供することです。これにより、受講生は環境内の主要な問題を特定し、それらの問題に対する潜在的な解決策を評価し、脆弱性管理の有効性についてチーム内および組織内に伝えることができるようになる。」- Jonathan Risto

「ジョナサンが今日、個人的な事例を話してくれたことに感謝している。実世界でのチャレンジは素晴らしく、内容をより身近なものにしてくれました。ありがとうございました。」- Bridget Aman

「私は10年以上にわたって、組織がインフラやアプリケーションの脆弱性管理能力やプログラムを改善するのを支援してきた。多くの組織が同じような問題に頭を悩ませていることに驚かされます。また、従来の運用環境で脆弱性の管理に苦労しているにもかかわらず、クラウドでどのように脆弱性管理を成功させるつもりなのか、組織から話を聞くと心配になります。このコースでは、現在のプログラムを改善し、そのプログラムをクラウドに拡張するために何ができるのかについて、受講者に理解を深めてもらいたい。受講生が直面する一般的な障害について理解し、これらの課題に対する解決策を提供したいと考えています。脆弱性管理に万能の解決策はないが、成熟した組織には間違いなく共通のテーマがある。このコースは、あなたが直面しているかもしれない同じ問題のいくつかを解決するために、同業者がそれぞれの組織で行っていることから学ぶ絶好の機会でもある。」- David Hazar

「デイビッドは、脆弱性管理において、数多くの異なるタイプの組織との豊富な経験を持っている。クラス中、これは現実世界の課題を持ち込んで議論するのに不可欠でした。」- Vikas Bangia, Bessemer Trust

講義内容

  • Day1
  • Day2
  • Day3
  • Day4
  • Day5

脆弱性管理の設計と計画

概要

本セクションでは、なぜ脆弱性管理が重要なのかを考察し、本コースを紹介する。次に、クラウドの概要を説明し、クラウドサービスの種類やアーキテクチャの違いが脆弱性管理にどのような影響を与えるかを説明します。最後に、効果的な脆弱性管理の基礎となる資産管理が非常に重要である理由と、追加的なコンテキストを得ることで成功に役立つさまざまな方法について掘り下げます。

演習

  • クラウドへの移行クラウドへの移行が組織の脆弱性管理プログラムに与える影響に関するシナリオベースのラボ
  • 重要な属性脆弱性の優先順位付けと管理をより効果的に行うために、資産管理データベース内に存在する必要がある、または他の方法で追跡する必要がある重要なコンテキスト属性を特定する方法について、シナリオベースのラボを実施する。
  • アセットコンテキストの活用
    • 脆弱性と資産データの両方を含むスプレッドシートを活用し、データの脆弱性と資産データの品質に関する質問に答えるハンズオン・ラボ。
    • SaaSビジネスインテリジェンスプラットフォームであるDomo、Azure Data Explorer、Axoniusで実行される脆弱性データの分析に役立つ、アセットの詳細とコンテキストの使用方法のデモンストレーション
  • サイバー42ゲーム
    • ゲーム紹介
    • 第1ラウンドのイニシアティブ選択
    • ラウンド1イベント3本

トピックス

  • コース概要
  • クラウドとクラウド脆弱性管理
  • 資産管理
    • 概要
    • コンテクストの重要性
    • 属性とインライン・コンテキスト
    • クラウド・ネイティブな資産管理

脆弱性の特定

概要

脆弱性の特定は、組織にとっての現在のリスクに関する洞察を得ることができるため、当社のセキュリティ・プログラムの主要な焦点であり続けている。また、脆弱性の特定は、分析のためのデータ、及び、プログラムの指針と成熟度の追跡に使用する対策と測定基準のためのデータも提供する。このセクションでは、一般的な識別の落とし穴に着目し、インフラストラクチャとアプリケー ションの両方にわたる識別アーキテクチャと設計について説明する。また、識別を実行するために許可を必要とする可能性のある場所と、当社のシステムとアプリケーションをテストする許可を第三者に安全に与え、発見された事項を責任を持って開示する方法についても見ていきます。

演習

  • スキャニング様々な資産タイプに最も効果的なスキャニングの種類をよりよく理解し、特定するためのシナリオベースのラボ。
  • スキャンの検証シナリオベースのラボで、無効または不適切に見えるにもかかわらず、特定の脆弱性がインフラスキャンに表示される理由をよりよく理解し、特定する。
  • パイプライン・インテグレーション・デモ
    • GitHub Actionsを活用してSASTとSCAを自動パイプラインに統合する方法のデモ
  • サイバー42ゲーム
    • ラウンド1イベント
    • 第2ラウンドのイニシアティブ選択
    • ラウンド2イベント

トピックス

識別

  • 課題
  • ツール、アーキテクチャ、デザイン
  • クラウドの識別
  • 許可
  • スキャナの設定
  • スキャン結果の検証
  • アプリケーションの脆弱性
  • プロアクティブ・アイデンティフィケーション
  • バグ報奨金プログラム

脆弱性分析、指標、コミュニケーション

概要

脆弱性をスキャンして、その結果をチームに送り、是正を求めればよいという時代は終わりました。私たちは、出力を分析して不正確さを減らし、是正を妨げている根本原因の問題を特定することで、負担を減らす手助けをする必要がある。解決できない問題を特定したら、残りの問題に優先順位をつけて、最大の効果が得られるようにし、システムやプラットフォームのオーナーに的を絞ったレポートやダッシュボードを提供する必要がある。このセクションでは、特定プロセスのアウトプットによく見られる不正確さについて見て、優先順位付けについて議論し、次に、プログラムと関連する運用能力を測定するために一般的に使用されているメトリクスについて見ていきます。また、有意義なレポートを作成する方法、コミュニケーション戦略、コラボレーションと参加を高めるために開催すべきさまざまなタイプの会議についても説明します。

エクササイズ

  • コンテキストの優先順位付け:脆弱性データセットの優先順位付けに役立つ、さまざまなコンテキスト属性をどのように活用するかをめぐるクリティカル・シンキング・ラボ
  • ソリューショングループとタイプ:ソリューショングループまたは修復アクションを脆弱性データセットに適用し、ServiceNowで実行される分析およびレポート作成にグループ化を活用するデモ。
  • サイバー42ゲーム
    • ラウンド2イベント
    • 第3ラウンドのイニシアティブ選択
    • ラウンド3イベント

トピックス

  • 分析する
    • シンプルな脅威のコンテキスト情報
    • 資産ベースのコンテキスト情報
    • 高度な脅威のコンテキスト情報
    • ソリューション・グループ
    • 除外グループとリスク
  • コミュニケーション
    • 指標
    • 報告
    • コミュニケーション戦略
    • 脆弱性管理会議

修復と自動化の推進

概要

脆弱性を治療し、リスクを低減することは、脆弱性管理において我々が行うすべてのことの最終目標である。参加者全員にとって重要なのは、存在する典型的なプロセスと技術を理解し、組織内のポジティブな変化を増大させるためにそれらを活用する方法を理解することである。ほとんどの組織は、何らかの形で変更管理、パッチ管理、構成管理プログラムを実施しているはずです。このコースでは、変更を合理化し、一貫性を高めるために、これらのプロセスとどのようにインタフェースするかについて見ていきます。また、クラウドで直面するユニークな課題、アプリケーションの脆弱性にうまく対処する方法、従来の対処法が利用できない場合の代替策についても検討します。

演習

  • 文化を変える:どのような組織文化が脆弱性管理に最も適しているのか、あるいは最も適していないのか、また、どのようにして文化を変えたり、影響を与えたりするのかについて、ディスカッションや思考に基づいたラボを行う。
  • Gold Image Pipeline:Packer、Ansible、InSpecを使用してAWS EC2インスタンスを更新し、安全に構成するためのGold Image Pipelineのデモ
  • 修復の有効性様々な脆弱性に対して選択された治療オプションの効果を、実施後、長期にわたってどのように測定するかをよりよく理解し、特定するためのシナリオベースのラボ。
  • サイバー42ゲーム
    • ラウンド3イベント
    • 第4ラウンドのイニシアティブ選択

トピックス

処理

  • 変更管理
  • パッチ管理
  • コンフィギュレーション管理
  • クラウド管理
  • アプリケーション管理
  • 代替治療
  • その他の治療法

コラボレーションと継続的改善

概要

脆弱性管理は組織の中で最も簡単な仕事ではない。責任と説明責任の分担から、共有要員への依存まで、この領域で行われる仕事の多くは認識されないままである。このセクションでは、この1週間を通して私たちが学んだこと、議論したことの多くを要約し、プログラムを改善するためにこの情報をどのように活用できるかを見ていく。VMを組織内でより楽しく成功させる方法、様々な利害関係者を特定し、より効果的に協力する方法、そして強固な脆弱性管理プログラムを構築し、成熟させる方法について議論する。

演習

  • 脆弱性管理のバイ・インシナリオベースのラボで、重要な利害関係者を特定し、プログラムへの賛同を得る、あるいは改善する。
  • サイバー42ゲーム
  • ラウンド4イベント
  • 最終採点と総括

トピックス

  • バイイン
  • VMを楽しくする
  • よくある問題
  • ステークホルダーの特定
  • コラボレーション
  • 脆弱性管理プログラムの作成
  • 正しいツールの選択
  • プログラムの推進

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。