ニュースレター登録
資料ダウンロード
お問い合わせ

LEADERSHIP 551

Building and Leading Security Operations Centers

※本コースは中止となりました。次回開催をお待ちください。

Security Management, Legal, and Audit

English
日程

2025年1月27日(月)~2025年1月31日(金)

期間
5日間
講義時間

1日目:9:00-17:30
2~5日目:9:30-17:30

受講スタイル
Live Online
会場

オンライン

GIAC認定資格
GSOM
講師
Mark Orlando|マーク オーランド
SANS認定インストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
30 point
受講料

早期割引価格:1,250,000 円(税込み 1,375,000 円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格:1,360,000 円(税込み 1,496,000 円)

申込締切日
早期割引価格:2024年12月20日(金)
通常価格:2025年1月17日(金)
オプション
  • GIAC試験 170,000 円(税込み 187,000 円)
  • OnDemand  170,000 円(税込み 187,000 円)
  • NetWars Continuous  290,000 円(税込み 319,000 円)

※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

重要:以下の説明に従って設定したシステムを持参してください!

注意:アップルシリコンデバイスは必要な仮想化を行うことができないため、このコースでは使用できません。

このコースに完全に参加するためには、適切に設定されたシステムが必要です。この説明をよく読み、それに従わなければ、コースの実習に十分に参加することができません。従って、指定された要件をすべて満たすシステムでご出席ください。

授業の前にシステムをバックアップしておくこと。より良い方法は、機密データやクリティカルなデータのないシステムを使用することです。SANSはあなたのシステムやデータについて責任を負いません。

ハードウェア要件

  • CPU:64ビットIntel i5/i7(第8世代以降)、またはAMD同等品。このクラスでは、64ビット、2.0GHz以上のプロセッサーが必須。
  • 「Intel-VTx」や 「AMD-V 」拡張などの仮想化技術を有効にするには、BIOS設定が必要です。変更が必要な場合に備えて、BIOSがパスワードで保護されている場合は、絶対にアクセスできるようにしてください。
  • 8GB以上のRAMが必要
  • 80GB以上の空き容量が必要
  • 利用可能なUSB 3.0 Type-Aポートが1つ以上あること。最新のノートパソコンにはType-CからType-Aへの変換アダプタが必要な場合があります。エンドポイント保護ソフトウェアの中にはUSBデバイスの使用を禁止しているものもありますので、授業前にUSBドライブでシステムをテストしてください。
  • ワイヤレスネットワーク(802.11規格)が必要です。教室での有線インターネットアクセスはありません。

ソフトウェア要件

  • ホストOSは、Windows 10、Windows 11、またはmacOS 10.15.x以降の最新バージョンである必要があります。
  • 受講前までにホストOSをアップデートし、正しいドライバとパッチがインストールされていることを確認してください。
  • Linux のホストはバリエーションが多いため、サポートしていません。LinuxをホストOSとして使用する場合、コース教材および/またはVMと連動するように設定する責任はすべてあなたにあります。
  • ローカル管理者アクセスが必要です。(はい、これは絶対に必要です。ITチームにそうでないと言わせないでください)。もしあなたの会社がコース期間中このアクセスを許可しない場合は、別のノートパソコンを持参するよう手配してください。
  • ウイルス対策ソフトやエンドポイント保護ソフトが無効になっているか、完全に削除されているか、管理者権限を持っていることを確認してください。私たちのコースの多くは、オペレーティングシステムへの完全な管理者権限を必要とし、これらの製品はラボの達成を妨げる可能性があります。
  • アウトバウンドトラフィックのフィルタリングは、コースのラボの達成を妨げるかもしれません。ファイアウォールは無効にするか、無効にするための管理者権限が必要です。
  • VMware Workstation Pro 16.2.X+またはVMware Player 16.2.X+(Windows10ホスト用)、VMware Workstation Pro 17.0.0+またはVMware Player 17.0.0+(Windows11ホスト用)、VMWare Fusion Pro 12.2+またはVMware Fusion Player 11.5+(macOSホスト用)をクラス開始前にダウンロードし、インストールしてください。VMware Workstation ProまたはVMware Fusion Proのライセンスをお持ちでない方は、VMwareから30日間の無料トライアル版をダウンロードできます。VMwareのウェブサイトからトライアルに登録すると、期間限定のシリアル番号が送られてきます。また、VMware Workstation PlayerはVMware Workstation Proよりも機能が少ないことに注意してください。Windowsホスト・システムを使用している場合は、よりシームレスな学生体験のためにWorkstation Proをお勧めします。
  • Windowsホストでは、VMware製品がHyper-Vハイパーバイザーと共存できない場合があります。最良のエクスペリエンスを得るためには、VMwareが仮想マシンをブートできることを確認してください。そのためには、Hyper-Vを無効にする必要があります。Hyper-V、Device Guard、および Credential Guard を無効にする方法は、コース教材に付属のセットアップ・ドキュメントに記載されています。
  • 7-Zip(Windowsホスト用)またはKeka(macOSホスト用)をダウンロードしてインストールしてください。これらのツールはダウンロードしたコース教材にも含まれています。

コースのメディアはダウンロードで配信されます。授業で使用するメディアファイルの容量は大きくなります。多くは40~50GBの範囲で、中には100GBを超えるものもあります。ダウンロードが完了するまでに十分な時間を確保する必要があります。インターネット接続と速度は大きく異なり、さまざまな要因に左右されます。そのため、教材のダウンロードにかかる時間の見積もりはできません。リンクを入手したら、すぐにコース・メディアのダウンロードを開始してください。授業初日にはすぐに教材が必要になります。授業の前夜にダウンロードを開始すると間に合わない可能性があります。

コース教材には「セットアップ手順」という文書が含まれています。この文書には、ライブ・クラス・イベントに参加する前、またはオンライン・クラスを開始する前に行わなければならない重要な手順の詳細が記載されています。これらの手順を完了するには、30分以上かかる場合があります。

あなたのクラスでは、ラボの指示に電子ワークブックを使用しています。2台目のモニターおよび/またはタブレット端末は、あなたがコースのラボで作業している間、授業資料を見えるようにしておくのに便利です。

ノートパソコンの仕様に関するその他のご質問は、サポートまでお問い合わせください。

コース概要

予防-検知-対応|人材-プロセス-テクノロジー

情報技術は現代のビジネスに密接に織り込まれているため、サイバーリスクはビジネスリスクになっています。脅威の定量化が難しく、セキュリティ・チームに対する利害関係者の要件が曖昧で翻訳が困難な場合が多いため、SOC の管理者は組織と連携し、真の価値を示さなければなりません。SOCはどのようにその価値を伝え、組織を活性化させる業務に注力すればよいのでしょうか。LDR551では、セキュリティ業務を、測定・改善可能な明確かつ原子的な機能に分解します。そして、これらの中核的なSOC活動を高レベルの組織目標に結び付け、SOCの構成員と容易にコミュニケーションできるようにします。SOC管理者が直面する一般的な質問

  • 組織が直面する固有の脅威に対して、セキュリティチームが連携していることをどのように確認すればよいのだろうか。
  • ビジネスへの影響を最小限に抑えるために、どのようにして一貫した結果を出し、時間内に脅威を特定し対応できることを証明するのか。
  • アナリストが目の前のミッションに集中しながら問題を解決する権限を与えられ、継続的に改善されるSOCチームを構築するにはどうすればよいのでしょうか?

LDR551は、新しいSOCを構築する場合でも、現在のチームを次のレベルに引き上げる場合でも、人材、ツール、プロセスを強化します。LDR551の各セクションには、SOCの主要な機能を実証する実習が満載で、各日の最後には「Cyber42」SOCリーダーシップ・シミュレーション演習が行われます。受講者は、測定可能な結果を促進し、あらゆるインフラや組織の要件をカバーする方法で、SOCスタッフ、プロセス、テクノロジーを組み合わせる方法を学びます。攻撃者は常に進化しているため、SOCが手をこまねいていては遅れをとってしまいます。LDR551は、SOCチームを継続的に成長、進化、改善させるためのプロセスを構築することで、現代の攻撃者を防御するためのチーム、プロセス、ワークフロー、メトリクスを構築するために必要なツールと考え方をSOCマネージャーとリーダーに提供します。

「車輪の再発明を試みているような組織が非常に多い。彼らがすべきことは、このコースに投資して、SOCを設立し、スタッフを配置し、指導するための確かな道筋をつけることができる、現実的で実用的な情報を得ることだ。」- Brandi Loveday-Chelsey

SOCマネージャーとは?

SOCマネージャーは、サイバーセキュリティインシデントの影響を最小限に抑えるサイバー防御戦略を策定し、その実施を指導することで、組織のサイバーセキュリティオペレーションチームをリードします。SOCのリーダーは、技術的な感覚とビジネス的な感覚を融合させ、パフォーマンスを監視し、要件を伝え、指揮系統の上下に結果を示すスキルを必要とする複雑な役割です。

ビジネス上の利点

  • サイバー防衛を組織の目標に合致させるための戦略を実施する。
  • セキュリティ検証ツールと技術の向上によるリスクプロファイルの低減
  • 優秀なサイバーディフェンダーを採用、雇用、訓練、維持するための方法論を適用する。
  • 効果的なチーム間の調整とコラボレーションを合理化する
  • 現在の資産を活用し、セキュリティの最適化を即座に実施する
  • スムーズなサイバーセキュリティ運用による財務支出の削減

習得スキル

  • 明確な使命、綱領、組織目標に基づき、強固なSOC基盤を構築する。
  • 最も重要なログとネットワークデータを収集
  • 多様性のあるチームを作り、訓練し、力を与える
  • プレイブックを作成し、検出ユースケースを管理する
  • 脅威インテリジェンスを活用し、真の優先事項に焦点を当てた検知活動を行う。
  • スレットハンティングプロセスとアクティブディフェンス戦略の適用
  • 効率的なアラート・トリアージと調査ワークフローの導入
  • 効果的なインシデントレスポンスの計画と実行
  • SOCを改善するための指標と長期戦略を選択する。
  • チームメンバーの育成、維持、燃え尽き防止に努める
  • キャパシティ・プランニング、パープル・チーム・テスト、敵のエミュレーションを通じたSOCアセスメントの実施

ハンズオンSOCマネージャー・トレーニング

LDR551はマネジメントとリーダーシップに焦点を当てていますが、決して非技術的なプロセスや理論に限定されたものではありません。このコースでは、インタラクティブなリーダーシップ・シミュレーション・ゲーム「Cyber42」を使用し、受講生を実社会のシナリオに当てはめることで、職場で遭遇する状況についてのディスカッションや批判的思考を促します。5日間の授業を通して、受講生はプレイブックの実装からユースケースデータベースの作成、攻撃・検知能力の優先順位付けと可視化、紫色のチームプランニング、脅威ハンティング、レポーティングに至るまで、17の実践的な演習に取り組みます。受講者は、SOC管理者がどこに力を注ぐべきか、防御能力をどのように追跡・整理するか、SOCの改善をどのように推進・検証・伝達するかを理解するためのフレームワークを身につけることができます。

ハンズオン・ラボは以下の通り:

  • セクション1:SOCの使命と憲章の作成、重要資産のマッピング、SOCの役割の定義、優先すべき情報要件
  • セクション2:脅威アクターの評価、サイバー攻撃脅威モデリングとデータソースの評価、攻撃者テクニックの優先順位付けのためのATT&CKナビゲーター、SOCキャパシティプランニング
  • セクション3:検知ルールの管理、測定、可視化、ユースケースの構造化、文書化、整理、脅威ハンティングの計画
  • セクション4:インシデントレスポンスの目標とチームワーク、SOCプレイブックの作成と実施、調査の品質レビュー
  • セクション5:メトリクスの作成、分類、伝達、パープルチームアセスメントの計画、実行と追跡、SOCプロセス改善

「研究室は実践的な活動を通して指導してくれる。」- Sean Mitchell, Babcock International

「素晴らしいラボだ。」- Andrew Head, dentsu

「サイバー42のゲームアクティビティーは、その日に学んだコンセプトを強化するもので、とても気に入りました。」- Ilyas Khan, Ericsson

「ほとんどの演習は技術的なものではありませんでしたが、SOCを構築するためのあらゆる側面が整っていることを確認するための思考プロセスを引き起こしました。」- Wee Hian Peck, INTfinity Consulting PL

シラバス概要

  • セクション1:セキュリティ・オペレーション・センターの構築に必要な重要要素
  • セクション2:脅威モデル、防御理論、メンタルモデルの構築
  • セクション3:脅威の検出と脅威のモデル化
  • セクション4:オペレーション・マネージャーのための完全なインシデント対応サイクル
  • セクション5:セキュリティ業務の測定と改善

その他の無料の参考資料

提供教材

  • 無償のオープンソースSOCツールを含むLinux仮想マシンのカスタム・ディストリビューション
  • 全コース講義のMP3オーディオファイル
  • 印刷教材と電子教材
  • 上記を含むデジタル・ダウンロード・パッケージ
  • Cyber42ウェブアプリケーションへのアクセス

次のステップ

GIAC Security Operations Manager

※LDR551は、GIAC(GSOM)認定試験対象コースです。

GIAC Security Operations Manager(GSOM)認定資格は、技術チームを効果的に管理し、組織のビジネス目標とセキュリティ要件に合わせてセキュリティ・オペレーション・センター(SOC)を戦略的に運営する能力を認定するものです。

  • 効果的なSOCプログラムの設計、計画、管理
  • ログの優先順位付けと収集、アラートユースケースの開発、レスポンスプレイブックの作成
  • SOCの運用を評価し、継続的に改善するための指標、分析、長期戦略の選択

詳細はこちら

前提条件

このコースには特に前提条件はありませんが、受講生には、運用セキュリティの職務経験があることが推奨されます。「SEC450:Blue Team Fundamentals: Security Operations and Analysis」や「MGT512:Security Leadership Essentials for Managers」といったSANSのコースを受講することで、このコースで取り上げる概念について、基礎レベルの理解を深めることができます。

コース開発者のコメント

「LDR551は、私の最初のSOCコース(SEC450: Blue Team Fundamentals)を補完するために書かれたもので、私が大手製薬会社のSOCアナリストおよびSOCマネージャーとしてのキャリアを通じて発見した、より高度なフレームワークと組織戦術を紹介することで、セキュリティ運用の全体像を完成させています。最先端のオープンソースツールやセキュリティ運用手法の実践的な活用を盛り込むことで、LDR551はSOCリーダーのための完全なパッケージを提供します。このコースは、長年の知識と実体験に数ヶ月の追加調査を加えて凝縮したもので、セキュリティチームを効果的かつ効率的に成功に導くための最も重要な情報を提供します。」- John Hubbard

「理想的とは言えないプロセス、ツール、チーム構成の犠牲者となってきた者として、このコースの目標は、規模やリソースに関係なく、すべての組織のブルーチームが最高の効率と能力を発揮できるようにすること、そして、業界内でよくある失敗を繰り返して苦しむ人が出ないようにすることです。このコースは、セキュリティ運用をサポートし、構築し、指導してきた20年間の集大成であり、SANSコミュニティにこのコースを提供できることを非常にうれしく思っています。」- Mark Orlando

「このコースは、私の同僚にも勧めたいと思います。私は長年セキュリティのセールスエンジニアをしてきましたが、顧客の痛みや顧客側の知識が不足していました。このコースは、今のところ的確です。」- Moises Acevedo, Recorded Future

講義内容

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5

SOCの設計と運用計画

概要

LDR551では、セキュリティオペレーションセンターを構築するために必要な重要な要素である、敵を理解すること、要件を計画すること、物理的なスペースを確保すること、チームを構築することから始めます。このコースでは、まず最も重要なユーザーとデータに焦点を当て、組織に影響を与える可能性が最も高い脅威に合わせて防御計画を調整しながら、SOCが運用できる強固な基盤を構築する方法を学びます。ワークフローの最適化、情報整理、データ収集を通じて、SOCの特権ユーザとデータを保護しながら、セキュリティ運用を可能な限り効率的に開始する方法を学びます。

演習

  • SOCの使命と憲章の作成
  • 重要資産マッピング
  • SOCの役割の定義
  • 優先されるインテリジェンス要件

トピックス

  • サイバー防衛産業の現状 - 傾向、問題点、優先課題
  • SOCプランニング - チャーター、ミッション、チームプランニング、組織図など
  • SOC機能のマッピング - 収集、検出、トリアージ、調査、およびインシデント対応
  • チーム作り、採用、トレーニング - 職務仕様の構築、面接、採用、トレーニングなど
  • SOCのためのサイバー脅威インテリジェンス - 最も重要な情報源の特定、収集、処理
  • SOCの構築 - 物理的にも仮想的にも

SOCテレメトリーと分析

概要

LDR551のセクション2では、攻撃者の戦術、技術、手順についての理解を深め、私たちの環境においてそれらをどのように特定するかに焦点を当てる。この日は、アセスメントとプランニングの努力、データ収集とモニタリングの優先順位、サイバー脅威インテリジェンス収集の指針となる防御理論とメンタルモデルについて議論します。このコースの焦点は、チームが業務を遂行するために必要な可視性とデータソースを確保し、長期にわたって障害なく業務を継続できるようにすることです。

演習

  • スレット・アクターの評価
  • サイバー攻撃の脅威モデリングとデータソースの評価
  • 攻撃手法の優先順位付けのためのATT&CK Navigator
  • SOCキャパシティ・プランニング

トピックス

  • サイバー防衛理論とメンタルモデル
  • 重要なSOCツールとテクノロジー
  • SOCデータ収集
  • MITRE ATT&CKを使用した収集の計画と優先順位付け
  • SOCアナリスト キャパシティ・プランニング
  • SOCのデータと能力を妨害から守る

攻撃の検出、ハンティング、トリアージ

概要

LDR551のセクション3は、脅威検知能力の構築と向上がテーマです。効果的なアラートのトリアージと分析を可能にするツールの選択とセットアップに始まり、分析設計に至るまで、このセクションでは、攻撃を未然に防ぐことに焦点を当てます。検出エンジニアリングをSOCの中核的な規律として計画、追跡、測定することに焦点を当て、検出ユースケースの実装および管理方法を示し、脅威ハントの計画および実行方法を示します。その結果、検知能力の測定可能な改善につながる構造化されたアプローチが得られます。最後に、アクティブ・ディフェンスのコンセプトと、成熟したセキュリティ運用能力におけるその役割について見ていきます。LDR551 の第 3 章で取り上げたツール、プロセス、およびコンセプトを SOC に持ち帰ることで、お客様の環境において(仮想的な)石を無駄にすることがなくなります。

エクササイズ

  • 検出ルールの管理、測定、可視化
  • ユースケースの構造化、文書化、整理
  • 脅威ハンティングの計画

トピックス

  • 分析フレームワークとツール
  • 脅威の検出と分析設計
  • 効率的なアラート・トリアージへの鍵
  • 検出エンジニアリングのプロセスとライフサイクル
  • SOC支援ユースケース
  • 脅威ハンティングのプロセスと追跡
  • アクティブ・ディフェンスの戦術とテクニック

インシデント対応

概要

ツールセットから実績のあるフレームワーク、数え切れないほどの実世界のシナリオで学んだヒントやコツに至るまで、第4章では、運用管理者のために、準備から特定、封じ込め、根絶、回復に至るまで、完全な対応サイクルをカバーしています。LDR551 の第 4 章では、インシデントを迅速に特定し、修復するために、人材、プロセス、IT インフラ、およびフォレンジック・ツールセットを準備することから始めます。このセクションでは、クラウドインシデント対応のベストプラクティス、フォレンジック分析、プレイブックの開発、およびチーム間のコラボレーションについて検討します。セクション4のラボ演習では、インシデント対応のプレイブックの設計と実装、調査のレビューと品質管理、インシデント対応の目標設定、およびチーム間のコラボレーションを行います。

演習

  • インシデントレスポンスの目標とチームワーク
  • SOCプレイブックの開発と導入
  • 調査品質レビュー

演習

  • 事故対応の計画と準備
  • インシデントの識別と分類
  • 事故発見時の調整
  • インシデント対応ツール
  • 封じ込めと撲滅ステージの活動
  • クラウドにおけるインシデントレスポンス
  • 調査
  • 復興、事故後の活動、そして実践

メトリクス、自動化、継続的改善

概要

LDR551 の最後となる第 5 章は、セキュリティ運用の測定と改善についてです。従業員のモチベーションを高め、燃え尽きを最小限に抑えること、SOCのパフォーマンスを測定すること、敵のエミュレーションやSOCの能力・成熟度モデルを通じたSOCの継続的な評価を行うことです。また、ダイナミックでプレッシャーのかかる環境における人材管理のより困難な要素である、適切な企業文化の構築、有害な行動への対処、日常業務にありがちな落とし穴への対処についても取り上げます。チームを重視し、明確な戦略目標に向かって継続的に品質を向上させることで、長期的な成長と成功を確実にすることができるのです。セクション5では、そのためのツール、テクニック、洞察を学びます。実践的な演習では、SOCの測定基準の設計、継続的な評価と検証、リーンマネジメントの概念と手法を用いたSOCの品質改善などを行います。

演習

  • メトリクスの作成、分類、伝達
  • パープル・チーム・アセスメントの計画、実行、追跡
  • SOCプロセス改善

トピックス

  • スタッフの定着と燃え尽き症候群の緩和
  • SOC文化の構築
  • 指標、目標、効果的な実行
  • 測定と優先順位付けの問題
  • セキュリティ・オペレーションにおける自動化
  • 分析テストと敵のエミュレーション
  • SOC能力評価
  • リーンSOC

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。