NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Cloud Security Controls and Mitigations
※本コースは中止となりました。次回開催をお待ちください。
Cloud Security
English2024年12月2日(月)~2024年12月6日(金)
1日目:9:00-19:30
2日目~4日目:9:30-19:30
5日目:9:30-17:30
オンライン
早期割引価格:1,220,000 円(税込み 1,342,000 円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。
通常価格:1,350,000 円(税込み 1,485,000 円)
※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
SEC510コースのラボには、AWS、Azure、GCPのラボ演習が含まれています。ほとんどのラボは、これらのプロバイダーのいずれかで完了できます。しかし、3つのプロバイダーすべてのラボを修了して、それぞれのサービスがどのように異なるかを学ぶことを強くお勧めします。これらのインタラクティブなラボでこのニュアンスを体験することで、各プラットフォームをよりよく防御し、GPCS認定に備えることができます。
SANSは、これらのプロバイダーのラボを完了するために必要なAWSアカウント、Azureサブスクリプション、およびGoogle Cloudプロジェクトを受講生に提供します。
受講生は、授業開始の24時間前に自動的にAWSアカウント、Azureサブスクリプション、Google Cloudプロジェクトにアクセスできるようになります。
受講生は、授業が始まる前日にSANSアカウントにログインし、My Labsページにアクセスしてクラウド認証情報をダウンロードすることができます。
以下の指示に従って設定したPCを用意してください。
このコースに完全に参加するためには、適切に設定されたシステムが必要です。これらの指示を注意深く読み、それに従わなければ、このコースに不可欠な実地演習に参加できないため、満足できないままクラスを去ることになるでしょう。従って、コースで指定されたすべての要件を満たすシステムで参加されることを強くお勧めします。
受講生はシステムのネットワーク設定を完全に制御できなければならない。システムは、非標準ポートの HTTPS、SSH、および SOCKS5 トラフィックの組み合わせを使用して、クラウドでホストされるラボ環境と通信する必要があります。VPN、インターセプトプロキシ、またはイグレスファイアウォールフィルタを実行すると、ラボ環境と通信する際に接続の問題が発生する可能性があります。学生はこれらのサービスを設定または無効にすることができなければなりません。
このコースに参加する各生徒には、適切に設定されたシステムが必要です。コースを開始する前に、以下の説明をよく読み、正確に守ってください:
コースを始める前に
SANSは以下のクラウド環境へのアクセスを提供します:AWS、Azure、Google Cloudです。残念ながら、クラウドのセキュリティ管理により、ログイン時にテキストメッセージを受信できる有効な電話番号による認証が必要となる場合があります(バーチャル番号は機能しません)。このような状況が発生した場合、クラウドプロバイダーに電話番号を提供できることをご確認ください。
これらの手順を完了したら、SANSプロバイダのクラウドアカウントにアクセスして、SANSクラウドセキュリティフライトシミュレータに接続します。SEC510フライトシミュレータサーバは、Firefoxブラウザからアクセスできる電子ワークブック、端末、その他のサービスをホストしています。
SANSポータルの「教材ダウンロード」セクションにある「セットアップの手順」にアクセスし、その指示に従ってください。これらの指示に従うには、30分以上かかる場合があります。
あなたのクラスでは、ラボの指示に電子ワークブックを使用しています。この新しい環境では、2台目のモニターおよび/またはタブレット端末が、あなたがコースのラボで作業している間、授業資料を見えるようにしておくのに便利です。
ノートパソコンの仕様に関するその他のご質問は、サポートまでお問い合わせください。
重要なコントロールで実際の攻撃を防ぐ
マルチクラウド環境の保護は困難である。既定のセキュリティ管理では不十分なことが多く、ビッグ3のCSPの1つでは機能する管理も、他のCSPでは機能しないことがある。企業は、コンプライアンスだけに注目するのではなく、攻撃主導のコントロールを優先して、最も重要なクラウド資産を保護する必要があります。
アプリケーションが自社で開発されたものであれ、サードパーティが開発したものであれ、アプリケーションの欠陥が避けられないことを受け入れることが、クラウドセキュリティ対策を成功させるための鍵となる。脆弱なコードを修正できるサイバーセキュリティの専門家はほとんどいませんが、こうしたリスクを軽減するために安全なクラウド設定を適用することは、多くの場合容易です。CSPのデフォルトや文書だけに頼るのは不十分です。SEC510では、CSPの制御が不正確、不完全、または矛盾している事例が多数あることが明らかになっています。さらに、組織が利用するクラウド・サービスにゼロデイ脆弱性が存在する場合、できる限りの管理を行い、その影響に備えなければなりません。
MITRE ATT&CK Cloud Matrix、Center for Internet Security (CIS) Cloud Provider Benchmarks、Cyber Defense Matrixのような標準やフレームワークは有用なツールですが、それでも限界があります。だからこそSEC510では、それらを超えて、組織にとって重要なものを守るために必要なテクニックを伝授します。重要なクラウド・セキュリティ・コントロールによって、よくあるクラウドのミスのリスクを軽減し、設定のミスをなくすことで攻撃対象を減らすことができます。
このコースでは、クラウドでよくあるセキュリティの設定ミスや間違いについて、1週間とは思えないほど多くの情報や詳細が提供された。非常に包括的な内容だが、恐ろしいことに、ほとんど表面しか見ていないように感じられる!コースの著者には驚かされました。
- Petr Sidopulos
クラウド・セキュリティ・コントロールは、クラウド資産の露出を制限するためにクラウド・サービス・プロバイダが提供するオプションである。各クラウド・サービス・プロバイダーは、各顧客のビジネス・ケースとニーズを考慮することなく、多くの場合安全でないデフォルトのコントロールを提供している。真のリスクを防止するセキュアなクラウド構成のためには、様々なCSPのニュアンスを理解した専門家が、ビジネス戦略、目標、要件に基づいてクラウド・セキュリティ・コントロールを実装する必要がある。
Platform as a Service (PaaS)とInfrastructure as a Service (IaaS)のそれぞれの内部構造を理解することで、ビッグ3のクラウドサービスプロバイダーについて十分な情報に基づいた意思決定を行う。
多層防御によるセキュアなアイデンティティ・アクセス管理(IAM)の導入
セグメンテーションとアクセス制御によるマルチクラウドネットワークの構築とセキュリティ確保
各クラウドを通じて、静止時および転送中のデータを暗号化する。
各クラウド・ストレージ・サービスにおけるデータの機密性、完全性、可用性を管理する。
サーバーレスFaaS(Functions as a Service)のような非伝統的なコンピューティング・プラットフォームをサポートする。
長期間の認証情報を使用せずに、各クラウド・プロバイダーを相互に統合する。
クラウドネイティブプラットフォームを使用したセキュリティとコンプライアンスの自動チェック
サードパーティのクラウド・ベンダーにクラウド・リソースへのアクセスを許可することで生じるリスクを最小限に抑えながら、サードパーティのクラウド・ベンダーを迅速に採用する。
TerraformとInfrastructure-as-Code(IaC)を使用したセキュリティ管理の実施において、エンジニアリングチームを指導する。
SEC510:Cloud Security Controls and Mitigationsは、実際のクラウド環境での実習を通して、講義で議論されたすべての概念を強化します。各ラボには、ステップバイステップのガイドだけでなく、サポートなしでスキルを試したい学生のための「ヒントなし」オプションも含まれています。これにより、学生は自分に最適な難易度を選択し、必要に応じてステップバイステップのガイドに戻ることができます。学生は、コース終了後もラボの指示、アプリケーションコード、IaCを使用し続けることができます。これにより、各自のクラウド環境ですべてのラボ演習を何度でも繰り返すことができます。SEC510はまた、学生たちにゲーム化された環境で毎日ボーナス・チャレンジに参加する機会を提供し、同時にビッグ3のCSPや関連する電力会社でより実践的な体験を提供します。あなたはSEC510チャレンジ・コインを獲得できますか?
先月、3大プロバイダーのうちの1社のコースを受講したが、最初の2~3時間はほとんど毎日が売り込みだった。そのコースはまた、コマンドラインやテラフォームを活用するのではなく、コンソールをクリックしまくる方向に向いていた。
- Philip B, US Military
このコースは、この業界に携わる者にとって必修です。クラウドの物事が(潜在的に)悲惨なものであることは理解していましたが、このコースによって、それが本当に悪いものであることに気づかされました。私はすでに5枚のヘルプデスクチケットを提出し、スタッフに修正を依頼しました。
- Anita Simoni, County of Monterey ITD
練習問題は期待以上でした。各セクションで学んだ情報の実践的な実装であり、相互に積み重ねられ、知識を検証し、問題の複雑さを学ぶためのシームレスな方法を提供します。
- David Wayland
SANSは、あなたの職務に応じて、SEC510を補完する優れたコースをいくつか提供しています:
セキュリティ・エンジニア
セキュリティ・アナリスト
職務に応じたトレーニングジャーニーについては、こちらをご覧ください。GIACパブリッククラウドセキュリティ(GPCS)認定資格は、パブリッククラウドとマルチクラウドの両方の環境でクラウドを保護する実務者の能力を検証します。GPCS認定のプロフェッショナルは、AWS、Azure、GCPのニュアンスに精通しており、これらの各プラットフォームを防御するために必要なスキルを持っています。
SEC510では、Terraform Infrastructure-as-Codeを使用して、ラボの各クラウドにサービスをデプロイし設定しますが、学生はTerraformの深い知識や使用されている構文を理解する必要はありません。しかし、学生はこのコードが何を達成するのかについて高いレベルで紹介されます。
以下は、SEC510の前提条件となるコースまたは同等の経験である:
注意:このコースはアプリケーションセキュリティのコースではなく、脆弱なアプリケーションコードを修正する方法を教えるものでもありません。その代わりに、AppSec インシデントが侵害になるのを防ぐために使用できる、実践的なコントロールと緩和策を学びます。コードの書き方を知っていることは役に立ちますが、このコースでは必須ではありません。
複数のパブリッククラウドプロバイダーを利用することは、セキュリティとコンプライアンスの専門家にとって新たな課題と機会をもたらす。サービス提供の状況は常に進化しているため、すべてのクラウドで有効でないセキュリティ・ソリューションを処方するのはあまりにも簡単です。マルチクラウドの動きを否定したり、企業レベルでブロックしたりすることは魅力的ですが、これは問題をコントロールすることを難しくするだけです。
そもそもなぜチームは複数のクラウドプロバイダーを採用するのだろうか?自分たちの仕事をより簡単に、あるいはより楽しくするためだ。開発者は、中央のセキュリティ・チームのためではなく、組織の目標を達成するための製品を作っている。あるサービスによって、製品をより早く市場に投入できることを発見したチームは、それを利用することができるし、利用すべきである。セキュリティは、マルチクラウドの必然性を受け入れ、組織が迅速かつ安全に移行できるように、ガードレールを実装する大変な仕事を引き受けるべきである。
マルチクラウドの嵐は、好むと好まざるとにかかわらず、ここに来ている。あなたの組織が雨に溺れるのを防ごう。
- Brandon Evans and Eric Johnson
単に傑出している!すべてにおいて。非常によくできている。
- Ryan Stillions, IBM X-Force IR
SEC510では、まずクラウド侵害の傾向を簡単に概観し、なぜ侵害の大半がクラウドで起きているのかを探ります。マルチクラウドがどのようにセキュリティを難しくしているのか、なぜ企業はマルチクラウド化を進めているのか、標準化とクラウド不可知論の両方だけでは問題を解決できないのかを探ります。また、攻撃主導のコントロールとミティゲーションを実装するために、コースを通して使用する3つのフレームワーク、MITRE ATT&CK Cloud Matrix、Center for Internet Security (CIS) Cloud Foundational Benchmarks、Cyber Defense Matrixを紹介します。その後、学生はラボ環境を初期化し、最新のウェブアプリケーションをビッグ3の各プロバイダーにデプロイします。
これは、クラウド・セキュリティにおける最も基本的で誤解されている概念の1つを分析することにつながる:アイデンティティとアクセス管理(IAM)です。このモジュールでは、すべての受講生がIAMの基礎知識を身につけ、その上に残りのセクションが構築されるようにします。アクセスを適切にプロビジョニングすることで達成される目標、各クラウドの IAM サービス(AWS IAM、Microsoft Entra ID、Google Cloud Identity)、各サービスが提供するさまざまなタイプのアクセス制御について説明します。
次のモジュールでは、人間のIDからマシンのIDへと議論をシフトします。AWS Elastic Compute Cloud (EC2)、Azure Virtual Machines (VM)、Google Cloud Compute Engine (GCE)上で実行されるワークロードに、一時的なIAM認証情報がどのように付与されるかを学びます。その後、インスタンス・メタデータ・サービス(IMDS)を使用してクラウド仮想マシンから実際のIAM認証情報を漏洩させ、攻撃者がそれを悪用して機密性の高いクラウドデータにアクセスし、クラウドリソースを消費する方法を実際に検証します。
この基礎の上に立って、学生は不適切なパーミッションの付与によって引き起こされる主な脆弱性について議論する:ブロークン・アクセス・コントロール(BAC)。様々なツールを使って、不適切なアクセスを検出し、より良いパーミッションを実装する方法を学びます。この目的のために設計されたクラウドネイティブツール、AWS IAM Access Analyzer、Microsoft Entra ID Permissions Management、Google Cloud IAM Policy Intelligenceについて学びます。また、大規模言語モデル(LLM)とジェネレーティブAI(GenAI)がこの分析をどのように補強できるかを探ります。これらの戦略は、些細な脆弱性が一面的なニュースになるのを防ぐために非常に重要です。
このセクションの最後に、攻撃者が不適切なパーミッションを取得する重要な方法について説明する:特権の昇格である。各クラウド・プロバイダーでデフォルトで利用可能な多くの権限昇格経路を検証する。ポリシーのガードレールを実装することで、特権昇格が有効である可能性を大幅に最小化することができる。
IAMの基礎
仮想マシンのクレデンシャル公開
壊れたアクセス制御とポリシー分析
IAM特権のエスカレーション
ボーナスチャレンジ(第1節)
セクション2では、仮想プライベート・ネットワーク制御を使ってインフラとデータをロックダウンする方法について説明する。パブリック・クラウドのIPアドレス・ブロックはよく知られており、デフォルトのネットワーク・セキュリティは緩いことが多いため、何百万もの機密資産が不必要にパブリック・インターネットにアクセス可能になっている。このセクションでは、これらの資産のどれもが組織のものではないことを確認する。
各プロバイダー内で、どのように出入国トラフィックを制限できるかを示すことから始める。受講生は、機密情報を含む公開データベースへのアクセスなどを例に、これらの制御を行わないとどのような損害が発生するかを分析する。その後、セキュアなクラウド設定によって不要なイングレス・トラフィックを排除します。
次のモジュールでは、IaaS(Infrastructure as a Service)クラウドプラットフォームで稼働する仮想マシンの保護について深く掘り下げます。まず、AWS Systems Manager (SSM) Session Manager、Azure Bastion、Google Cloud OS Login、Google Cloud Identity-Aware Proxy (IAP)を介したセキュアな管理を可能にしながら、パブリックIPアドレス、管理ポート、シリアルコンソールサービスを削除する方法を示します。これらの技術により、組織は内部システムをパブリック・インターネットから守りながら、効果的に作業することができる。そして、HTTP(S)サーバーを公開しなければならないVMを、クラウド・アプリケーション・ロード・バランサー(ALB)とビルトインWebアプリケーション・ファイアウォール(WAF)サービスで保護する方法について説明します。
インフラをロックダウンした後は、プライベート・エンドポイントを使用して、信頼できないネットワークからPlatform as a Service(PaaS)プラットフォームへのアクセスを防ぐことに焦点を絞ります。内部ネットワークへのデータ・アクセスを制限するために、防御者がどのようにこれらのエンドポイントを使用できるかを実演します。組織の最も機密性の高いデータは、IaaSではなくPaaSに保存されていることが多いため、このトピックは非常に重要です。
プライベートエンドポイントは強力な保護を可能にする一方で、悪用される可能性もあります。具体的には、エンドポイントポリシーが不適切に設定された AWS プライベートエンドポイントを使用して、インターネットに接続されていない孤立したネットワークからリモートコード実行(RCE)を実行し、データを流出させることができます。学生は悪意のあるペイロードを使用して、ターゲットのAWSアカウントから攻撃者のAWSアカウントにデータを流出させます。その後、この攻撃ベクトルを防ぐためにエンドポイントポリシーを修正します。
このセクションでは、ブロックできないネットワーク・チャネル上の悪意のあるトラフィックに対処するために、クラウドベースのネットワーク分析機能を有効にする方法について説明します。受講者は、クラウドのフロー・ログを分析し、侵害の指標を検索します。このモジュールでは、Google Cloud Firewall Rules logging、AWS Traffic Mirroring、Google Cloud Packet Mirroring の 3 つのクラウドすべてにおけるフロー・ロギング・ソリューションを取り上げます。これらのトピックの多くには、関連するボーナス課題があります。
クラウドにおけるデータ・セキュリティは、オンプレミスと同様、いやそれ以上に重要である。適切なコントロールがあれば防げたはずのクラウド上のデータ漏えいは数え切れないほどある。このセクションでは、データの暗号化、セキュアなストレージ、ランサムウェア対策、アクセス制御、データ損失の検出、ポリシーの実施などを可能にするクラウド・サービスについて検証する。
セクション3の前半では、クラウドにおける暗号化について知っておくべきことをすべて学びます。各プロバイダーの暗号鍵管理ソリューションと、それを使用して静止時に複数のレイヤーの暗号化を適用する方法について学びます。また、クライアント、ロードバランサー、アプリケーション、データベース・サーバー間の暗号化など、クラウド全体でトランジット中の暗号化がどのように実行されるかを学びます。これらのテクニックは、組織のセキュリティを向上させると同時に、法的およびコンプライアンス上のニーズを満たすものです。
セクション3の後半は、主にクラウドストレージサービスに焦点を当てている。最も基本的なストレージ・セキュリティの手法であるパブリック・アクセスのオフについて簡単に説明した後、組織全体のアクセス制御、ランサムウェアの緩和、ファイルのバージョニング、データの保持など、より高度な制御について説明する。最後に、さらなるデータ流出経路と、機密データの保存を自動的に検出する方法について説明します。
このセクションでは、クラウドベースのアプリケーションを駆動するインフラストラクチャを保護する方法と、それらのアプリケーションのユーザーを保護する方法を学びます。まず、業界を席巻しているコンピューティング・パラダイムであるサーバーレスFaaS(Functions as a Service)について説明します。本書では、サーバーレスがもたらす課題と、製品開発やセキュリティ運用の安全性を確保する上でサーバーレスがもたらす利点について、バランスよく論じている。Serverless Prey(本コースの著者が開発したオープンソースツール)を使用してサーバーレスの実行環境を調査した後、実際の環境で実用的なサーバーレス機能を調査し、強化します。
次のモジュールは、CIAM(Customer Identity and Access Management)が組織のアプリケーションのユーザを追跡し、認証するのにどのように役立つかをカバーします。このモジュールは、AWS の CIAM ソリューションである Amazon Cognito を深く掘り下げ、そのデフォルト構成がどのようにユーザ列挙攻撃とアカウント乗っ取り攻撃を実行するために悪用されるかを説明します。また、Cognito Identity Poolsを使用して、Cognito User Poolsのユーザーがどのように危険なAWS IAM権限を取得できるかを示します。最も重要なことは、これらの攻撃をどのように防ぐことができるかを示すことです。
このセクションでは、Google CloudのCIAMソリューション、Google Cloud Identity for Customers and Partners(CICP)も取り上げる。Google CloudはFirebaseという会社の買収によってこのサービスを手に入れた。このセクションは、このCIAMとFirebaseの主力製品であるRealtime DatabaseとCloud Firestoreとの相互作用の詳細な内訳で締めくくられている。これらのサービスは非常に人気があるが、ほとんどレビューされていないサーバーレスデータベースであり、Google Cloudプロジェクトにとって多くのアクセス制御の考慮事項やセキュリティへの影響がある。
コースの最後には、複数のクラウドプロバイダーにまたがって組織を運用する方法についての実践的なガイダンスがある。このコースで取り上げるトピックの多くは、組織のクラウドプロバイダーが互いに統合されている場合に、より複雑になる。まず、マルチクラウドの統合がアイデンティティとアクセス管理(IAM)にどのような影響を与えるかについて説明する。多くの組織では、マルチクラウド統合をサポートするために長期間の認証情報を使用している。このような認証情報は、攻撃者にとって短命の認証情報よりもはるかに価値があります。受講者は長寿命のクレデンシャルのベストプラクティスを学びますが、これはリスクを軽減するだけであり、排除するものではありません。このモジュールでは、ワークロード ID フェデレーションを使用して、短命のクラウド認証情報を使用してあるクラウドプロバイダーから別のクラウドプロバイダーに認証する新しい方法を示すことで、さらに一歩進めます。
次のモジュールでは、クラウドネイティブの CSPM(Cloud Security Posture Management)サービスを取り上げます。受講者は、これらのサービスを使用して、コース全体を通じてカバーされる CIS ベンチマ ークのセキュリティ・チェックを自動化する。これらの機能により、組織はSEC510で学んだ教訓を大規模に適用することができます。
最後のモジュールは、これら2つのトピックを結びつける。ほとんどの組織は、単一のプラットフォームを使用してすべてのクラウドをセキュアにすることを望んでいる。そのためには、ベンダーが組織のクラウドアカウントにアクセスできる必要がある。組織は、社内のシステムやユーザーと同等かそれ以上に、外部のサービスを信用しないようにしなければならない。このモジュールでは、このようなベンダーの信頼レベルを最小化し、この信頼が悪用されるリスクを低減するための主な要件を提供します。受講者は、マルチクラウドのCSPMサービスを例に、このトピックを探求します。具体的には、Microsoft Defender for Cloudのクロス・クラウドCSPM機能について学びます。このコースの著者によって発見された Microsoft Defender for Cloud の致命的な脆弱性をケーススタディとして分析し、組織のリンクされた AWS アカウントの機密データにアクセスするために使用される可能性があることを学びます。最後に、サードパーティのクラウドベンダーを経由して同様のタイプのエクスプロイトが実行されるのを防ぐための緩和策を実装します。