ニュースレター登録
資料ダウンロード
お問い合わせ

SECURITY 530

Defensible Security Architecture and Engineering:
Implementing Zero Trust for the Hybrid Enterprise

※本コースは中止となりました。次回開催をお待ちください。

Blue Team Operations

English
日程

2025年1月27日(月)~2025年2月1日(土)

期間
6日間
講義時間

1日目:9:00-17:30
2日目~6日目:9:30-17:30

受講スタイル
Live Online
会場

オンライン

GIAC認定資格
GDSA
講師
Ismael Valenzuela|イズメル ヴァレンズラ
SANSシニアインストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
36 Points
受講料

早期割引価格:1,300,000 円(税込み 1,430,000 円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格:1,420,000円(税込み 1,562,000 円)

申込締切日
早期割引価格:2024年12月20日(金)
通常価格:2025年1月17日(金)
オプション
  • GIAC試験 170,000 円(税込み 187,000 円)
  • OnDemand  170,000 円(税込み 187,000 円)
  • NetWars Continuous  290,000 円(税込み 319,000 円)

※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

SEC530 PC設定詳細

重要!以下の説明をお読みになった上で、ご自身のノートPCをお持ちください。 受講に必要なPC環境についてご確認ください。

このコースに完全に参加するためには、適切に設定されたシステムが必要です。この説明をよく読み、それに従わなければ、コースの実地練習に十分に参加することができません。従って、指定された要件をすべて満たすシステムでご出席ください。
授業の前にシステムをバックアップしておくこと。より良い方法は、機密データやクリティカルなデータのないシステムを使用することです。SANSはあなたのシステムやデータに対して責任を負いません。

ハードウェア要件

  • CPU:64ビットIntel i5/i7(第8世代以降)、またはAMD同等品。このクラスでは、64ビット、2.0GHz以上のプロセッサーが必須。
  • 重要:アップルシリコンデバイスは必要な仮想化を行うことができないため、このコースでは一切使用できません。
  • 「Intel-VTx」や 「AMD-V 」拡張機能などの仮想化技術を有効にするには、BIOS設定が必要です。変更が必要な場合に備えて、BIOSがパスワードで保護されている場合は、絶対にアクセスできるようにしてください。
  • 8GB以上のRAM
  • 60GB以上の空き容量
  • 利用可能なUSB 3.0 Type-Aポートが1つ以上あること。最新のノートパソコンには、Type-CからType-Aへの変換アダプタが必要な場合があります。エンドポイント保護ソフトウェアの中にはUSBデバイスの使用を禁止しているものもありますので、授業の前にUSBドライブでシステムをテストしてください。
  • ワイヤレスネットワーク(802.11規格)が必要です。教室での有線インターネットアクセスはありません。

ソフトウェア要件

  • ホストOSは、Windows 10、Windows 11、またはmacOS 10.15.x以降の最新バージョンである必要があります。
  • クラスの前にホストOSをアップデートし、正しいドライバとパッチがインストールされていることを確認してください。
  • Linux のOSはバリエーションが多いためサポートしていません。LinuxをホストOSとして使用する場合、コース教材およびVMと連動するように設定することは、ご自身の責任となります。
  • アンチウイルスソフト、エンドポイントセキュリティソフト、ホストベースファイアウォールを無効にするための管理者アクセス権(絶対に必要です。必要に応じて社内のIT部門に確認してください)。コース期間中、会社がこのアクセスを許可しない場合は、別のノートパソコンを持参するよう手配してください。
  • 演習によっては、企業 VPN クライアントを一時的に無効にする必要があります。アウトバウンドトラフィックのフィルタリングは、コースのラボの達成を妨げる可能性があります。ファイアウォールは無効にするか、無効にするための管理者権限が必要です。
  • VMware Workstation Pro 16.2.X+またはVMware Player 16.2.X+(Windows10ホスト用)、VMware Workstation Pro 17.0.0+またはVMware Player 17.0.0+(Windows11ホスト用)、VMWare Fusion Pro 12.2+またはVMware Fusion Player 11.5+(macOSホスト用)をクラス開始前にダウンロードし、インストールしてください。VMware Workstation ProまたはVMware Fusion Proのライセンスをお持ちでない方は、VMwareから30日間の無料トライアル版をダウンロードできます。VMwareのウェブサイトからトライアルに登録すると、期間限定のシリアル番号が送られてきます。また、VMware Workstation PlayerはVMware Workstation Proよりも機能が少ないことに注意してください。Windowsホスト・システムを使用している場合は、よりシームレスな学生体験のためにWorkstation Proをお勧めします。
  • Windowsホストでは、VMware製品がHyper-Vハイパーバイザーと共存できない場合があります。最良のエクスペリエンスを得るためには、VMwareが仮想マシンをブートできることを確認してください。そのためには、Hyper-Vを無効にする必要があります。Hyper-V、Device Guard、および Credential Guard を無効にする方法は、コース教材に付属のセットアップ・ドキュメントに記載されています。
  • 7-Zip(Windowsホスト用)またはKeka(macOSホスト用)をダウンロードしてインストールしてください。これらのツールはダウンロードしたコース教材にも含まれています。

コースのメディアはダウンロードで配信されます。授業で使用するメディアファイルの容量は大きくなります。多くは40~50GBの範囲で、中には100GBを超えるものもあります。ダウンロードが完了するまでに十分な時間を確保する必要があります。インターネット接続と速度は大きく異なり、さまざまな要因に左右されます。そのため、教材のダウンロードにかかる時間の見積もりはできません。リンクを入手したら、すぐにコース・メディアのダウンロードを開始してください。授業初日にはすぐに教材が必要になります。授業の前夜にダウンロードを始めた場合間に合わない可能性があります。
コース教材には「セットアップ手順」という文書が含まれています。この文書には、ライブ・クラスに参加する前、またはオンライン・クラスを開始する前に行うべき重要な手順が詳細に記載されています。これらの手順を完了するには、30分以上かかる場合があります。
ノートパソコンの仕様に関するその他のご質問は、カスタマーサービスまでお問い合わせください。

コース概要

セキュア・バイ・デザイン:現代のハイブリッド・ネットワークにおけるゼロ・トラスト

SEC530は実践的なクラスであり、サイバーディフェンスにおいて豊富なキャリアを持つ経験豊富な実務家である著者の経験に基づき、最も一般的な攻撃に対する妨害、早期警告による検知、および対応のためのアーキテクチャーとエンジニアリングを行うための効果的な戦術とツールを教えることに重点を置いています。スイッチ、ルーター、次世代ファイアウォール、IDS、IPS、WAF、SIEM、サンドボックス、暗号化、PKI、プロキシなど、現在のインフラ(および投資)を活用することに重点を置く。受講生は、これらのテクノロジーを評価、再設定、検証する方法を学び、組織の予防、検知、対応能力を大幅に向上させ、可視性を強化し、攻撃対象領域を縮小し、さらには革新的な方法で攻撃を予測します。このコースでは、最新のテクノロジーとその機能、長所、短所についても掘り下げます。ゼロ・トラストに向けた旅に出るにあたり、ハイブリッド環境全体にわたってレイヤーごとに堅牢なセキュリティ・インフラを構築するのに役立つ推奨事項や提案を得ることができます。

これは監視コースではありませんが、継続的なセキュリティ監視とうまく連動し、セキュリティ・アーキテクチャが予防をサポートするだけでなく、セキュリティ・オペレーション・センター(SOC)のUEBAやセキュリティ情報イベント管理(SIEM)のような行動検知・分析システムに供給できる重要なログを提供できるようにします。

毎日実施される複数の実習は、コースの重要なポイントを補強し、学生が職場に戻ってすぐに活用できる実用的なスキルを提供する。

SEC530は、ディフェンダーによるディフェンダーのための真にユニークなコースである:

  • ベンダーに依存しない専門知識:様々な技術やプラットフォームに適用可能なテクニックを習得
  • 実際のアプリケーション既存のインフラを活用し、組織のセキュリティを強化します。
  • 実践的なラボ:24以上のインタラクティブなラボとキャップストーンチャレンジに参加し、スキルを固めましょう。ラボには有効期限がないため、いつでも再開することができます。
  • ゼロ・トラストの実装:堅牢で防御可能なセキュリティアーキテクチャを一から構築する方法を学ぶ。

「SEC530は、環境を守り、安全な仕組みを構築することを教えてくれる。実際のシナリオや事例は、貴重なものでした。現場からの話を聞くことで、本当に応用できると感じました」 - Omar Zaman, United Airlines

ゼロ・トラストとは何か?

ゼロ・トラスト実装の実践は、ネットワークの内外を問わず、いかなるエンティティも本質的に信頼できないとする包括的なサイバーセキュリティ戦略である。その代わりに、リソースにアクセスしようとするすべてのユーザー、デバイス、アプリケーションの継続的な検証と妥当性確認が必要となる。

ビジネス上の利点

このコースは、あなたの組織に役立ちます:

  • セキュリティソリューションの欠陥を特定し、理解する
  • 現在のテクノロジーと投資を活用したゼロ・トラスト戦略の設計と実施
  • 既存技術の再構成により、セキュリティ・アーキテクチャへの既存投資を最大化する
  • 検知の可能性を高めながら、防御時間を長くするレイヤー防御
  • 予防、検知、対応能力の向上
  • アタックサーフェスを減らす
  • 最新の認証の課題に対応
  • Time Based Security(時間ベースのセキュリティ)とThink Red, Act Blue(シンク・レッド、アクト・ブルー)のアプローチを用いて、セキュリティの有効性を測定する。

習得スキル

  • セキュリティ・アーキテクチャに欠陥がないか分析する
  • ハイブリッド環境における敵の予測とセキュリティ回復力の構築方法を学ぶ
  • 現在のテクノロジーと投資を活用したゼロ・トラスト戦略の設計と実施
  • データ、アプリケーション、資産、サービスを発見し、コンプライアンス状態を評価します。
  • 予防、検知、対応能力を強化する技術の導入
  • 既存のセキュリティ・ソリューションの弱点を理解し、そのチューニングと運用方法を理解する。
  • 「すべてを暗号化する」という戦略の影響を理解する
  • アイデンティティ管理とフェデレーションを理解する
  • コースで学んだ原則を適用して、防御可能なセキュ リティアーキテクチャを設計する
  • あらゆる規模の組織における適切なセキュリティ監視のニーズを判断する
  • 既存技術の再構成により、セキュリティ・アーキテクチャへの既存投資を最大化する
  • 主要な重要セキュリティコントロールの継続的な監視をサポートするために必要な機能を決定する
  • セキュリティオペレーションセンターと継続的な監視プログラムをサポートするために、適切なロギングと監視を設定する。
  • セキュアな仮想化環境
  • オールラウンドなディフェンダーになる

上記のリストは、あなたが学ぶ知識やスキルの概略を簡単に説明したものですが、このコースが提供する内容のほんの表面をなぞったにすぎません。

実践的なセキュリティ・アーキテクチャとエンジニアリングの演習

SEC530の実習は、ハイブリッド環境のための防御可能なセキュリティ・アーキテクチャを設計・構築したいと考えている学生を感動させ、満足させることでしょう。すべてのラボは現実的なシナリオに基づいており、最新のエンタープライズセキュリティソリューションを支えるテクノロジーを深く理解できるように設計されています。各ラボには、詳細で視覚的に豊かなステップバイステップの説明や、課題、ヒント、解説ビデオを含む独立学習ガイドなど、複数の完了方法が用意されており、学習体験を最大化し、GIAC Defensible Security Architecture(GDSA)試験に合格できるように設計されています。

ほとんどのラボは、提供されたVMの中で自己完結し、コンテナ化されているため、学生はトラブルシューティングを必要とせず、複雑な環境を立ち上げて作業することができる。その他のラボはクラウドベースで、Terraformのような自動化フレームワークを利用してエンタープライズ環境を複製します。VM、詳細な電子ワークブック、ラボを含め、どの教材にも有効期限はなく、受講者は授業終了後いつでも再確認することができる。

6日間を通して、生徒は以下のような実践的な課題や練習に取り組む:

  • セクション1:MITRE ATT&CKによる実践的脅威モデリング、エッグレス分析、レイヤー2攻撃、フローデータのためのアーキテクチャー
  • セクション2:ルーターセキュリティの監査、ルーターSNMPセキュリティ、IPv6、プロキシパワー
  • セクション3:NSMのためのアーキテクチャー、ネットワーク・セキュリティ・モニタリング、暗号化の考察
  • セクション4:ウェブアプリケーションの保護、機密データの発見、安全な仮想化
  • セクション5:ネットワークの分離と相互認証、SIEM分析と戦術的検知、SIGMA汎用シグネチャ、高度な防御戦略
  • セクション6:キャップストーン設計/探知/防御

さらに、以下のようなボーナス・ラボも用意されている:

  • VirusTotal Enterpriseによるインテリジェンス駆動型アーキテクチャ
  • ウェブ脆弱性の修復
  • クラウド監視と資産追跡(AWS)
  • JA3の運営
  • Azure特権のエスカレーション

「このラボは驚くほどよくできている。非常に少ないステップで、必要なことを正確に示してくれる。可動部分が多いものもありますが、堅牢で、すべて小さなVMフットプリントで実現されています。コースラボの環境がこれほどうまく実行されているのを見たことがありません。」- Michael Curran, Austrade

「コンテナ化されたラボは魔法のようだ。手間のかかる環境を立ち上げて、たった1行でエクササイズができるなんて、素晴らしいことです。」- Ansley Barnes, Cambridge Innovation Center

「コース教材は常に挑戦的で、同じように明確でした。VMのオンライン・ワークブックがとても気に入っています。書式が完璧で、開くまで答えがわからないようになっているのがとても気に入っています。ワークブックのビデオによる指導もユニークで,勉強にとても役立ちます。」- Lawrence Mecca, Mathematica

シラバス概要

  • セクション1:防御可能なシステムとネットワークの設計と構築の原則、セキュリティ・アーキテクチャの基礎、ゼロトラストへの道のり。
  • セクション2:ルーティング・デバイス、ファイアウォール、アプリケーション・プロキシなど、ハイブリッド環境でよく見られる重要なインフラの堅牢化。
  • セクション3:ゼロトラストを念頭に置いたアプリケーション層のセキュリティ・ソリューションを使用して、予防と検出技術の有効性を向上させる。
  • セクション4:ハイブリッド環境におけるコアデータの特定、分類、ラベリング、データ保護戦略など、データ中心のセキュリティ。
  • セクション5:信頼がもはや暗黙の了解ではなく、証明されなければならないアーキテクチャーの実装に焦点を当てることで、信頼ゼロへの旅を締めくくる。
  • セクション6:チーム対抗「旗のデザインと確保」競技。

その他の無料の参考資料

提供教材

  • 印刷教材と電子教材
  • コンテナ化されたラボを起動・停止するためのユーティリティを備えた、オープンソースのLinuxベースのディストリビューションである仮想マシン。
  • 詳細で視覚的なステップバイステップの説明を含む電子ワークブックと、課題、ヒント、指導ビデオを含む自主学習ガイド。
  • 定期的に更新されるボーナスラボ
  • 全講座のMP3オーディオファイル
  • プライベートSlackチャンネルを通じて、コースの著者や講師に継続的にアクセスできる。

次のステップ

現在の職務や将来の計画に応じて、これらのコースのいずれかを受講することは、サイバーセキュリティの旅における次のステップとして最適である:

サプライチェーンの保護とサードパーティリスクの管理

ネットワーク監視とセキュリティ・オペレーション

GIAC Defensible Security Architecture

SEC530は、GIAC(GDSA)認定試験対象コースです。

GIAC Defensible Security Architecture(GDSA)認定は、予防、検知、および対応能力のバランスをとるために、ネットワーク中心およびデータ中心のコントロールを戦略的に組み合わせて設計し、実装する実務者の能力を検証するものです。

  • ネットワーク中心のセキュリティ戦略とデータ中心のセキュリティ戦略を用いて、階層的な防御を構築する。
  • 予防、検知、対応を向上させるための既存の技術導入の評価
  • ゼロ・トラストの原則を理解し、適用する

詳細はこちら

前提条件

  • セキュリティ原則を基礎から理解し、ITで使用される一般的なセキュリティ技術に精通していること。
  • ネットワークの概念と、スイッチ、ルーター、ファイアウォールなどのインフラストラクチャ・コンポーネントの知識。
  • ITセキュリティの実践とコマンドラインからのオペレーティングシステム(LinuxとWindows)の経験。
  • VMwareおよび仮想マシンの使用経験

コース開発者のコメント

「私は、長年にわたって組織のセキュリティ態勢を評価し、インシデントに対応し、セキュリティ運用を強化してきた経験から、セキュリティを念頭に置いて設計されていないアーキテクチャで、現代の敵対者を監視し、防御しようとしても無駄であることを目の当たりにしてきました。同様に、大規模な情報漏えいやビジネスの混乱に見舞われた組織では、情報漏えいの前に、境界の保護や防止メカニズムに重点を置いていたものの、防御可能なセキュリティ・アーキテクチャが欠如していたことがよくあります。
私たちは、このギャップを解決するためにこのコースをデザインしました。ケーススタディ、必勝テクニック、インストラクター主導のデモ、豊富な実習(NetWarsベースのDefend-the-Flagチャレンジを含む)を盛り込んだ6日間で、受講生は真に「防御可能」と呼べるネットワーク、インフラ、アプリケーションを設計、構築、強化する方法を学びます。
実務家として、私たちは理論だけでは十分でないことを知っています。そのため、このクラスでは、ネットワーク中心、データ中心、ゼロトラストのセキュリティアーキテクチャをベストプラクティスと標準に対応させながら、何がうまくいき、何がうまくいかないかについての長年の経験に基づいて、実世界での実装に重点を置いています。そのため、さまざまな組織や役割の現実に適した、適切な内容になっていることがおわかりいただけると思います。」

- Ismael Valenzuela

「私は2000年からSANSのコースを受講していますが、どのコースも素晴らしいものばかりです。イスマエルはその一人です。」

- Darich Runyan - Langley Federal Credit Union

講義内容

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5
  • DAY6

防御可能なセキュリティ・アーキテクチャとエンジニアリング:ゼロトラストへの旅

概要

このコースの最初のセクションでは、防御可能なシステムとネットワークを設計・構築するための原則について説明します。このセクションでは、セキュリティアーキテクチャの基礎とゼロトラストへの道のりを紹介します。米国および国際的なガイドライン、成熟度モデル、設計原則を参照しながら、ベンダーに中立的で現実的なゼロ・トラストのビジョンを提示します。伝統的なセキュリティ・アーキテクチャと防御可能なセキュリティ・アーキテクチャ、セキュリティ・モデルと勝利の技法、防御可能なセキュリティ・アーキテクチャのライフサイクル(DARIOM(Discover、Assess、Re-Design、Implement、Monitor)モデルを取り上げます。

セクション1では、MITRE ATT&CKのようなモデルを使用した実践的な脅威モデリングと、物理的なセキュリティから始まり、VLANやPVLANといった下位レイヤーのネットワークセキュリティ、そしてオンプレムとクラウドのハイブリッド環境におけるNetFlowデータを使用したネットワークアクティビティのベースライン分析による正常な状態の理解といった、ボトムアップからの基礎構築に重点を置いています。また、セクション1では、タイムベースセキュリティの原理と実際の実装方法を紹介します。

セクション1では、従来のネットワークとセキュリティ・アーキテクチャの概要と、それらに共通する弱点について説明する。防御可能なセキュリティの考え方は、「一度構築したら、正しく構築する」である。すべてのシステムは運用機能を効率的に実行しなければならないが、セキュリティはこの目標を補完することができる。セキュリティは、後から後付けするよりも、最初から組み込んでしまう方がはるかに効率的である。このコンセプトを実現するために、このクラスでは、著者らが実際に現場で実践して成功した、最新の攻撃を防止・検知するためのインフラ強化・監視のための実践的なヒントを数多く紹介している。例えば、悪意のあるクライアント間のピボットを効果的に停止させるプライベートVLANの使用や、不正なデバイスを軽減する802.1XとNACが含まれます。重要なネットワーク・デバイスを強化するための具体的な CiscIOS 構文例が提供されています。

演習

  • MITRE ATT&CK を用いた実践的な脅威モデリング:SEC530 の最初の実習では、MITRE ATT&CK を用いた実践的な脅威モデリングを学びます。このフレームワークは週を通して使用されるため、「万能の防衛者」はこのモデルを使用してセキュリティ対策の優先順位を決定し、有効性を高めることができます。このクラスでは、脆弱性に焦点を当てるのではなく、脅威に焦点を当て、最も重要なリスクがどこにあるかを特定することを学びます。
  • Egress分析:DNSトンネリングなどの一般的なテクニックを使って攻撃者がどのようにデータを流出させるかを理解し、検知の可能性を高めながら防御時間を延ばすために防御をどのようにレイヤー化するかに重点を置いています。
  • レイヤー2攻撃の特定ネットワーク セキュリティは向上していますが、レイヤー 2 攻撃は最新の組織でも依然として可能です。この実習ラボでは、関連するレイヤー 2 攻撃の特定に焦点を当てます。
  • フローデータのアーキテクチャーこのラボでは、フローデータのさまざまな形式を理解し、不正または異常なアクティビティを識別するために、さまざまなフローデータソースの適切な位置と使用方法を適切にアーキテクチャーする方法を学ぶ。

トピックス

  • コース概要
    • セキュリティ・アーキテクチャとは何か?
    • 優れたセキュリティ・アーキテクトの条件とは?
    • ケーススタディで学ぶ1日目から6日目まで(タイレル社のケーススタディ)
    • ゼロトラストへの旅
  • 防御可能なセキュリティ・アーキテクチャ
    • マインドセット
      • 妥協の前提
      • ペリメーター解除
      • シンク・レッド、アクト・ブルー
  • 従来のセキュリティ・アーキテクチャの欠陥
    • ケーススタディ:株式会社タイレル - 失敗したマインドセット
  • ディフェンシブル・セキュリティ戦略の勝利
    • リスク・ドリブンとビジネス成果重視のアーキテクチャ
    • サイバー・レジリエンシー
    • 冷酷な優先順位付けと攻撃者のROIの破壊
    • 重要資産の特定と優先順位付け
    • 実践的脅威モデリングパープル・チーミング
    • MITRE ATT&CK マトリックス
    • BlueとRedの非対称性を探す
  • セキュリティ・モデル
    • 時間ベースのセキュリティ
    • サイバー・キルチェーン
    • TBS + キルチェーン + MITRE ATT&CK
    • 可視化と検出のためのアーキテクチャー
    • インシデントレスポンスのためのアーキテクチャー
    • ゼロトラストモデル
    • 米国政府 - ゼロ・トラスト・セキュリティ・モデルの採用
    • DISA - 既存のインフラの利用方法を再考する
    • CISA - ゼロ信頼の柱と成熟度モデル
    • ゼロ・トラスト・アーキテクチャの設計原則
    • ステンドグラスのようなベンダーのマーケティング」で信頼をゼロにする
    • 暗黙の信頼を減らす
    • ゼロトラスト - 時を超えた旅
  • 脅威、脆弱性、データフロー分析
    • 防御可能なセキュリティ・アーキテクチャ・ライフサイクル(DARIOMモデル)
    • 発見と評価
    • ゴール:未知の未知数を特定する
    • 脅威ベクトル分析
      • データ・イングレス・マッピング
    • データ流出分析
      • データ・エグレス・マッピング
    • アタック・サーフェス分析
    • 出口分析
    • 視認性分析
    • 再設計
    • 実施
    • 運営と監視
  • レイヤー1と2から始まる防御可能なセキュリティ・アーキテクチャ
    • レッドチームのシナリオ - レプリカント対タイレル社
    • レイヤー1 - 物理的セキュリティのベストプラクティス
      • Dropboxへの侵入テスト
      • USBキーボード攻撃(ラバー・ダッキー)
    • レイヤー1の緩和
    • レイヤー2 - ネットワーク・セキュリティのベストプラクティス
      • ワイヤレス、Zigbee、RFIDバッジ
      • WIPSの空中封じ込め
      • WPA3 エンタープライズ - WPA2 + PMF + より強力な暗号
      • ステーション・アイソレーション
      • プライベート5Gネットワーク・アーキテクチャ
  • レイヤー2攻撃と防御
  • VLAN
    • ハードニング
    • プライベートVLAN
  • ネットフロー
    • レイヤー2と3のNetFlow
    • NetFlow、Sflow、Jflow、VPC Flow、Suricata、エンドポイントフロー
    • クラウドフロー
    • スリカタフロー
    • フローデザイン

ネットワーク・セキュリティ・アーキテクチャとエンジニアリング

概要

このセクションでは、ハイブリッド環境でよく見られる重要なインフラストラクチャの堅牢化に関する考察を続け、ルーティングデバイス、ファイアウォール、アプリケーションプロキシなどの概念について説明します。ルータを堅牢化するための実行可能な例を、各ステップを実行するための具体的なCiscIOSコマンドとともに提供します。

Googleによると、IPv6は現在インターネット・バックボーン・トラフィックの42%以上を占めていますが、同時にほとんどの組織で使用され、無視されています。IPv6の背景を詳しく説明し、よくある間違い(IPv4の考え方をIPv6に当てはめてしまうなど)について議論し、IPv6を保護するための実用的なソリューションを提供します。このセクションでは、ゼロトラストの重要なトピックである「セグメンテーション」についての議論を続けます。複数の防御レイヤーを実装するセキュアなネットワーク設計は、脅威から防御し、ネットワーク内のリソースを保護するために不可欠です。このセクションには、ファイアウォールやネットワークのセグメンテーションだけでなく、ID やアクセスのセグメンテーションをカバーする原則と防御戦術が含まれています。セクション2は、ウェブ・アプリケーション・プロキシとsmtpプロキシに関する議論で締めくくられる。

演習

  • ルーターのセキュリティの監査この実習ラボでは、ルーターのセキュリティ問題の特定と軽減に重点を置いています。
  • ルーターのSNMPセキュリティこのラボでは、学生はライブのクラウド・ルーターと対話し、SNMPに対する攻撃を実行して、それらを理解し、最終的に脅威を取り除きます。
  • IPv6:IPv6としても知られる次世代インターネットプロトコルは、しばしば無視され、誤解されています。このラボでは、学生がIPv4とIPv6に触れ、その違いのいくつかをよりよく理解できるようにします。
  • プロキシの力プロキシはマルウェアやコマンド&コントロールチャネルに対処する上で計り知れない能力を持っている。このラボでは、プロキシを設定することができるさまざまな方法に基づいて、マルウェアが家に電話をかけるときに何が起こるかを学生に説明します。

トピックス

  • レイヤー3攻撃と防御
    • IPソースルーティング
    • ICMP攻撃
    • 不正なルーティング・アップデート
    • ルーティング・プロトコルの保護
    • 不正トンネリング(ワームホール攻撃)
  • スイッチとルーターのベストプラクティス
    • シスコ・シグマ分析
  • レイヤー2と3のベンチマークと監査ツール
    • ベースライン
      • CISセキュリティ
      • シスコのベストプラクティス
      • シスコオートセキュア
      • DISA STIGs
      • Nipper-ng
  • SNMPの保護
    • SNMPコミュニティ文字列の推測
    • SNMP経由でCiscIOSコンフィグをダウンロードする
    • SNMPの強化
    • SNMPv3
  • NTPの保護
    • NTP認証
    • NTP増幅攻撃
  • ボゴン・フィルタリング、ブラックホール、ダークネット
    • ボゴン・フィルタリング
    • ダークネット・トラフィックの監視
    • IPブラックホール・パケット・バキュームの構築
  • IPv6
    • デュアルスタックシステムと幸せな眼球
    • IPv6拡張ヘッダー
    • IPv6アドレスとアドレス割り当て
  • IPv6の保護
    • IPv6ファイアウォールのサポート
    • IPv6のスキャン
    • ランブル・ネットワーク・ディスカバリーによるIPv6資産のインベントリー
    • IPv6トンネリング
    • IPv6ルーター広告攻撃とその緩和策
  • セグメンテーション
    • ネットワーク・セグメンテーションとアクセス・セグメンテーション
    • セグメンテーションの原則
    • ファイアウォール・アーキテクチャ
    • DMZデザイン
    • DMZを越えて:セグメンテーションは2つのゾーンだけではない
    • セキュリティ運用監視を念頭に置いたアーキテクト
    • ログイン・セグメンテーション
  • アプリケーション・プロキシ
    • リバースプロキシ、ZTNA、SASE
    • ウェブプロキシ
      • 明示と透明
      • ICAP
      • フォワードとリバース
  • SMTPプロキシ
    • フィッシングの保護と検知メカニズムによる補強
    • ベイズ分析
    • SFP、DKIM、DMARC
    • ダンストウィスト
    • オープンソースのインテリジェンスを組み合わせる

ネットワーク中心のアプリケーション・セキュリティ・アーキテクチャ

概要

組織は、次世代ファイアウォールからIDS/IPS、VPNなど、多くのネットワークベースのセキュリティ・テクノロジーを所有しているか、アクセス権を持っている。これらは多くの場合、オンプレミスで導入されているが、クラウドでも導入されている。しかし、これらのテクノロジーの有効性は、その実装に直接影響される。アプリケーション・コントロール、アンチウイルス、侵入防御、データ損失防止、その他の自動的な悪者発見ディープ・パケット・インスペクション・エンジンなどの組み込み機能に頼りすぎると、予防に重点を置いた実装になり、予防と検出の両方で大きなギャップが生じる。このセクションでは、ゼロ・トラストを念頭に置いたアプリケーション層のセキュリティ・ソリューションを使用して、予防と検出の技術の有効性を向上させることに焦点を当てます。既成概念にとらわれず、最新の攻撃に対する防御を設計することで、防御と検知の両方の能力が大幅に向上します。

現代の世界では、クライアントやモバイル・デバイスが組織へのリモート・アクセスを必要としている。これをどのように実現するかは、実装の仕方によって大きく異なり、結果としてセキュリティも大きく異なります。このセクションでは、VPNのような一般的なリモート・アクセスと、ZTNAのような新しいリモート・アクセスについて説明します。これらの技術の中には、今後もしばらく使われ続けるものもあれば、死滅したり、衰退したりするものもあるでしょう。このセクションの最後に、最新の認証攻撃とレガシー認証攻撃、パスワードレス、FIDO2、OAUTH、MFAバイパス攻撃、レイヤー7検査のためにTLS暗号を破ることの是非について議論する。

エクササイズ

  • NSM アーキテクチャとエンジニアリングこのラボでは、適切な可視性とアプリケーション/プロトコルを認識するための NSM テクノロジーの配置と実装方法を学習します。また、Zeek の高度な相関機能を活用して、C2 やトンネルを検出します。
  • ネットワーク・セキュリティ・モニタリング:侵入検知アラートとネットワーク・メタデータは、己を知り、不正な活動を特定するための総合的なアプローチを提供します。このラボでは、NSM(Suricata)を使用してネットワーク上で動作する敵対者を検出することに重点を置いています。
  • 暗号化に関する考察:ネットワークの暗号化は、攻撃者と防御者の両方による観測からデータを保護します。このラボでは、プロキシ、NSM、NGFW、およびその他のソリューションで検査を行うために、防御者が TLS 接続とどのようにやり取りして可視性を取り戻すかに焦点を当てます。

トピックス

  • NGFW
    • アプリケーション・フィルタリング
    • 実施戦略
    • 外部ダイナミックリスト(EDL)
    • DNSフィルタリングとシンクホーリング
    • コードとしてのインフラ(と構成
    • テラフォーム by HashiCorp
    • クラウド上のNGFW
    • スクリプトとAPI
  • ネットワーク・セキュリティ・モニタリング(NSM)
    • アラート駆動型ワークフローとデータ駆動型ワークフローの比較
    • ネットワーク可視化のためのアーキテクチャー
    • ネットワーク・メタデータの力
    • ネットワークを知る
    • SPANポートとTAPの比較
    • センサーの配置
    • ネットワーク・メタデータの力
    • ネットワーク・トラフィック分析アーキテクチャ
    • Zeekの使用例
    • ZeekによるKubernetesの可視化
    • ケーススタディ株式会社タイレル - クラウド
  • NIDS/NIPS
    • IDS/IPSルール作成
    • シグネチャ解析と異常解析とプロトコル解析
    • Snort
    • Suricata
    • Zeek
  • 安全なリモートアクセス
    • TLS VPN
    • SSH VPN
    • 常時接続VPN
    • 圧縮とWAN最適化
    • VPN戦略の再考
    • リモート・アクセス・アプリケーション
    • VPNに代わる最新の方法:ZTNAとSDP
    • Guacamoleを使ったHTML5でのリモートデスクトップ
    • 制御されたネットワーク認証
    • クリーンソース原則(CSP)とAD管理
    • 管理ワークステーション
    • クラウドVPC上のジャンプボックスとBastionホスト
    • アイデンティティ・アクセス管理(IAM)
    • ケーススタディ:タイレル・コーポレーション--ハイブリッド・アーキテクチャ
  • 最新の認証攻撃に対する防御
    • モダン認証とレガシー認証
    • 多要素認証
    • ファスト・アイデンティティ・オンライン(FIDO/FIDO2)
    • パスワードレス
    • 中間者(AiTM)フィッシング
    • MFA疲労攻撃
    • MFAバイパス
    • OAUTH 2.0
    • OAUTH同意フィッシングからの防御
    • 最新の認証、IDフェデレーション、シングルサインオン(SSO)
  • 暗号化
    • 「すべてを暗号化する」というマインドセット
    • 内部と外部
    • 無料SSL/TLS証明書プロバイダー
    • SSL/SSH検査
    • SSL/SSH復号化ダンプ
    • SSL復号化ミラーリング
    • 証明書のピン留め
      • マルウェア・ピンズ
    • HSTSプリロード
    • 証明書の透明性監視
    • 暗号スイート対応
    • SSL/TLSパッシブ復号化
    • TLS 1.2とTLS 1.3の比較
    • TLS傍受のリスクと欠点

データ中心のアプリケーション・セキュリティ・アーキテクチャ

概要

私たちの旅は、ゼロトラスト・アーキテクチャーにとって中心的な戦略である、データ中心のセキュリティについての議論へと続く。組織は、その存在を知らないものを保護することはできない。問題は、重要で機密性の高いデータがあちこちに存在することだ。これをさらに複雑にしているのは、データが多くの場合、オンプレミスまたはクラウドでホストされている複数のサービスを含む完全なアプリケーション・スタックによって管理されていることだ。
このセクションでは、コアデータが存在する場所を特定し、それらのデータをどのように分類し、ラベル付けし、保護するかに焦点を当てます。保護には、データ・ガバナンス・ソリューションの使用や、ウェブ・アプリケーション・ファイアウォールやデータベース・アクティビティ・モニタリングなどのフル・アプリケーション・スタック・セキュリティ対策のほか、WAAPやRASP、Microsoft Purview、MDMソリューション、条件付きアクセスによるEntra IDなどの新しいソリューションに関する議論も含まれます。また、オンプレミスのハイパーバイザー、クラウド・コンピューティング・プラットフォーム、Dockerのようなコンテナ・サービスのようなコア・サービスをホスティングするシステムのセキュリティにも焦点を当てている。
データ中心のセキュリティ・アプローチでは、組織の中核となるものに焦点を当て、それを中心にセキュリティ管理の優先順位を決定する。制御を最適化し、重要なセキュリティ対策に集中することができるのに、すべてのセキュリティ対策に膨大な時間とコストをかける必要はない。現実を直視しましょう。あるシステムは他のシステムよりも重要です。

エクササイズ

  • Web アプリケーションの保護この実習では、Web アプリケーション・ファイアウォールが提供する防御および検出機能を確認し、回避可能な機能を学習します。その後、回避テクニックをブロックおよび検出するための変更を適用します。
  • 機密データの発見機密データの所在を特定することは難しいが、必要なことである。データがどこに存在するかを知らなければ、データを制御することはできません。この実習では、PowerShell スクリプトを記述してファイルシステムをクロールし、機密データを探す方法を順を追って説明します。追加のボーナス・ラボでは、クラウド環境をプログラムで監視する方法、ベースラインを確立する方法、Amazon Web Services(AWS)へのAPIコールを活用して新しくデプロイされたクラウド資産やその他の不正なイベントを見つける方法を学びます。
  • セキュアな仮想化このラボの焦点は、攻撃者がハイパーバイザーやDockerのようなコンテナ・システムへのホスト・アクセスを獲得することの意味を示すこと、そして様々なハードニングとインシデント処理のステップを踏むことにある。
  • ボーナスラボAzure特権のエスカレーション。このボーナスラボでは、SANS がプロビジョニングした Azure アカウントとテラフォームを使用して Microsoft Entra ID リソースを作成し、Microsoft Entra ID リソースのセキュリティレビューを実行します。

トピックス

  • データ中心のセキュリティ
  • アプリケーション(リバース)プロキシ
  • モノリシック・アプリケーションにおけるフルスタックのセキュリティ
    • ウェブサーバー
    • アプリサーバー
    • DBサーバー
  • マイクロサービス
  • ウェブアプリケーションファイアウォール
    • ホワイトリストとブラックリスト
    • WAFバイパス
    • ノーマライゼーション
    • ダイナミック・コンテンツ・ルーティング
    • 従来のWebセキュリティとAPIセキュリティの比較
    • WAAP - ウェブアプリとAPIのセキュリティ
    • オープンアップセックでWeb APIを保護する
    • ランタイム・アプリケーション・セルフプロテクション(RASP)
  • データベースファイアウォール/データベースアクティビティ監視
    • データマスキング
    • 高度なアクセス制御
    • 流出監視
  • データ暗号化
  • ファイル分類
    • データ・ディスカバリー
      • スクリプトとソフトウェア・ソリューションの比較
      • データベースやファイル/フォルダ内の機密データを検索する
      • 光学式文字認識などの高度な検出技術 写真のスキャンと保存されたスキャンファイル
    • 分類の方法
    • パービュー・インフォメーション・プロテクション(旧アジュール・インフォメーション・プロテクション)
    • 分類と保護の例
  • データ損失防止(DLP)
    • ネットワーク・ベース
    • エンドポイントベース
    • クラウドアプリケーションの実装
  • データガバナンス
    • 政策の実施と執行
    • アクセス・コントロールとアプリケーションのエンフォースメントおよび暗号化の比較
    • 監査と制限
    • Entra IDとRBAC - 真実の一次情報源
    • 時間制限
    • クラウド時間制限
  • モバイルデバイス管理(MDM)とモバイルアプリケーション管理(MAM)
    • セキュリティ・ポリシー
    • 施行方法
    • エンドユーザー体験とインパクト
    • Intune MAMとMDMの比較
    • 条件付きアクセス + Intune
  • プライベートクラウドのセキュリティ
    • オンプレミス・ハイパーバイザー(vSphere、Xen、Hyper-V)の保護
    • ネットワークのセグメンテーション(論理的および物理的)
    • ハイパーコンバージド・ストレージ
    • VMエスケープ
    • 表面縮小
    • 視認性の利点
    • その他の脅威緩和ガイダンス
  • コンテナ・セキュリティ
    • オンプレミスまたはクラウドアーキテクチャにおけるコンテナの影響
    • セキュリティへの懸念
    • コンテナからの脱出を防ぐ

ゼロ・トラスト・アーキテクチャすでにネットワークに存在する敵に対処する

概要

「Trust but verify(信頼するが、検証せよ)」は、一般的なセキュリティ・マントラである。しかし、これは破綻した概念である。コンピューターは信頼をその場で計算することができる。したがって、組織は「信頼はするが検証はしない」という考え方ではなく、「検証してから信頼する」という考え方を導入すべきである。そうすることで、アクセスは適切なレベルに制限され、より流動的になる。

このセクションでは、信頼がもはや暗黙の了解ではなく、証明されなければならないアーキテクチャの実装に焦点を当てることで、ゼロ信頼への旅を締めくくる。そうすることで、可変的かつ適応的な信頼のモデルを使用して、アクセス・レベルを動的に変更することができます。これによって、時間の経過とともに維持されるユーザーとデバイスの信頼があれば、必要に応じて、より少ない、あるいは、より多くのセキュリティ制御を実装することができるようになります。

セクション5では、ゼロトラストの原則、モデル、および最新の米国政府の指令(DISA、NSA、NIST)をレビューし、この新しい哲学の実践的な実装に焦点を当てる。クレデンシャル・ローテーション、ウィンドウズ・ネットワーク上のトラフィックの保護、ホスト・ベースのファイアウォール、NAC、セグメンテーション・ゲートウェイ、SIEM、ログ収集、監査ポリシー、検出エンジニアリング、レッド・ヘリング防御など、組織のセキュリティ体制に対する価値と影響を最大化するために、既存のインフラストラクチャを通じてゼロトラストを実践的に適用することに焦点を当てる。また、IDを境界としたセキュリティの開始方法についても説明し、現在のセキュリティ態勢を評価し、改善すべき領域を特定するお手伝いをします。ゼロ・トラストの考え方でアイデンティティ管理とフェデレーション戦略を実施する最も一般的な方法を探ります。

エクササイズ

  • ネットワークの分離と相互認証:攻撃者は見えないもの、対話できないものを攻撃することはできません。このラボでは、許可された資産だけが接続できるように、SPAや相互TLSを実装する方法を紹介します。
  • SIEM分析と戦術的検知:適切なデータと、それらのデータを表示する適切な機能がなければ、ログの記録と検査は困難です。このラボでは、SIEM システムを使用して 10 以上の異なる方法で攻撃者を見つける方法を紹介します。検出機能は重要ですが、その背後にあるロジックも、企業全体で可変的な信頼条件付きアクセスを実装するために重要です。
  • シグマ・ジェネリック・シグネチャこの実習では、コミュニティ主導の新しいプロジェクトであるシグマ・ジェネリック・シグネチャ・ルールの使用方法と実装方法を理解し、ジェネリック・シグネチャを運用で使用するための様々なフォーマットに変換します。学生はこれらのシグネチャを使用して、既存の検出機能を強化し、MITRE ATT&CK Navigatorでカバレッジを決定し、敵の活動を検索します。
  • 高度なディフェンス戦略攻撃者はフェアなプレーをせず、防御者もフェアなプレーをすべきではありません。このラボでは、内部システムは機能し続けるが攻撃ツールは機能しないように、攻撃を識別するサービスを設定します。また、公開サイトのクローンを作成し、スタッフや外部クライアントに対して使用する攻撃者を特定するために、特殊な検出ハニートークンを実装します。

トピックス

  • ゼロ・トラスト・アーキテクチャ
    • 境界警備が不十分な理由
    • ゼロ・トラスト・アーキテクチャーが意味するもの
    • 長期にわたる信頼ゼロ
    • "信頼するが検証する "対 "検証してから信頼する"
    • 変額信託
    • 米国政府 - ゼロトラスト・セキュリティ・モデルの採用
    • DISA - 既存のインフラの利用方法を再考する
    • DISA - ゼロ信頼の柱と能力
    • ゼロトラストのシナリオ例 - 遠隔からの搾取または内部脅威
    • ゼロトラスト - 時を超えた旅
    • NISTZTAリファレンスアーキテクチャ
    • 連邦ゼロ・トラスト戦略
    • 良いこととは
    • ゼロ・トラスト戦略の実施と監査
  • アイデンティティ管理とフェデレーション
    • 境界線としてのアイデンティティ
    • アイデンティティ管理
    • EntraIDとAADが接続
    • アイデンティティ連盟
    • 認証、SaaSアプリケーション、統合SSO
    • saml、oauth、oidc
    • MiTM攻撃とEntraID
    • 教訓と対策
  • クレデンシャル・ローテーション
    • 証明書
    • パスワードとローテーションの影響
    • パスワード監査
    • ラップス
    • gMSA
  • トラフィックの確保
    • エンドポイント・トラフィックの認証と暗号化
    • ドメイン・アイソレーション(エンドポイントを権限のない相手から見えなくする)
    • 相互TLS
    • シングル・パケット認証
    • 802.1x
    • クライアント証明書
    • PKI
  • ホストベース・ファイアウォールとASR
    • エンドユーザー権限の削減
    • 強化されたセキュリティ・センサーとしてのエンドポイントの活用
  • 危殆化した内部資産
    • 旋回する敵
    • インサイダーの脅威
    • NAC
    • Microsoft IntuneとNAC
  • アダプティブ・トラストとセキュリティ・オーケストレーション
    • 電気柵(デジタル自動応答)
    • 検疫
    • デバイス・コンプライアンス
  • セグメンテーション・ゲートウェイ
    • ネットワーク・エージェント
    • 認可の飛行機
    • マイクロ・セグメンテーション、マイクロ・コア&ペリメーター(MCAP)
    • 動的認可
    • 条件付きアクセスとRBACによる動的認可
  • エンドポイントのログ収集/保存/分析の拡張
    • 重要なログを有効にする方法
    • ログ収集戦略
    • ログ収集よりも分析のための設計
    • WindowsとLinuxでのポリシーの監査
    • シスモン
    • 監査
    • クラウド時代のSIEM
  • MITRE ATT&CK コンテンツ・エンジニアリング
    • アノマリーとシグネチャー
    • シグマ・ジェネリック・シグネチャー
    • シグマの仕組み
    • 署名からアラートクエリーへの変換
    • シグマ2アタック
    • 異常検知とリアルタイム・アラート
  • トリップワイヤとレッドヘリングの防御
    • MITRE EngageとATT&CKのマッピング
    • ハニーネット、ハニーポット、ハニートークン
    • シングルアクセス検出技術
    • 攻撃者ツールの行動を変えるプロアクティブな防御策
    • 確実な検知を加えながら、予防能力を高める

セキュアフラッグチャレンジ

概要

コースのクライマックスは、チーム・ベースの「旗のデザイン&セキュリティ」コンペティションです。NetWarsを活用した6日目は、1週間を通して学んだ原則を実践する1日です。あなたのチームは、このコースを通じて推進された最新のサイバー防衛技術を確実に習得できるように設計された複数のレベルとミッションを経て進みます。レプリカントの攻撃からタイレル社を守るため、チームは授業で得たすべての知識、ツール、スキルを活用しながら、さまざまなコンピュータシステムやデバイスを評価、設計、保護します。

エクササイズ

  • キャップストーン - デザイン/ディテクト/ディフェンス

トピックス

  • 防御可能なセキュリティ・アーキテクチャ
  • 提供されるアーキテクチャの評価と弱点の特定
  • ツール/スクリプトを使って初期状態を評価する
  • すべての変更をすばやく/徹底的に検索

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。