SECURITY 401 | ||||||||||||||||||||||||||||||||||||
Security Essentials Bootcamp Style |
||||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||||
レンタルPCをご希望の場合は、開催期間中を通じて25,000円(税抜)でご利用いただけます(持帰りはできません)。下記PC環境を設定した状態でお渡しできます。ご利用希望の方は、お申込みの後、開催3週間前までに事務局までご連絡ください。
受講に必要なPC環境
演習で使用するノートPCをご持参下さい。受講に必要なPC環境についてご確認ください。
SEC 401 PC設定詳細
Security 401:Security Essentials Bootcamp Styleは、コースを通じてレクチャーと実習のセッションで構成されています。これらは、効果的なセキュリティを実装するために、必要なツールを使用してクラスでカバーされているスキルを強化し、経験を積むことができるように意図したもので、毎日実践的なラボをご用意しています。ラボセッションは、コースを通してインストラクターから得られた知識を生徒が確認できるように環境設計されているので、学習したツールやテクニックをインストール、設定、活用する機会を得ることができます。クラスでは、2台の仮想マシンを搭載したUSBドライブが提供されますが、設定する前に適切に設定されたシステムを使用することが重要です。
重要:Windows、Mac OSX、またはLinuxの64ビット版をコアオペレーティングシステムとして使用し、仮想化製品であるVMwareをインストールして実行しますが、VMを正常に動作させるためには、最低8GB以上のRAMが必要です。 VMware製品は、事前にインストールしておく必要があります。また、 BIOS設定において、仮想化テクノロジーが有効になっていることも確認しておいてください。
ホストOSは、VMware仮想化ソフトウェアを正常にインストールすることができるWindows、Mac OSX、Linuxのいずれかの64bit環境をご用意ください。
使用するゲストOSは64bit版のため、利用するノートPCのホストOSおよび搭載されているCPUが64bit版OSの動作をサポートしていることを確認してください。サポート外の環境では演習が一切行えません。VMwareはWindows、Linux用に、ご利用になるノートPCが64bit版のゲストOSを動作させることができるかどうか確認するフリーツールを提供しています。また、こちらのページで、CPUとOSが64bitをサポートしているか確認する方法が説明されていますので参考にしてください。Macユーザーの方は、サポートページをご確認ください。
また、BIOSにおいて仮想化技術の利用が有効になっていることを確認してください。
事前にVMware製品をダウンロードしてインストールをしていただく必要もあります。VMware Workstation 11、VMware Fusion 7、VMware Player 7以降でお好きなソフトウエアとバージョンを選択してインストールをしておいてください。
なお、演習関連などの教材はUSBメモリにて全員に配布します。USBメモリからコピーしていただきますので、空きUSBスロットがあることをご確認ください。(2.0以上を推奨、Read機能のみ使用します。)
セミナーへの参加前の確認事項(上記のまとめ)
- RAM:8GB以上
- USB:2.0以上
- HDD/SSD:50GB以上の空き容量
- OS:64ビット版OSが動作していること(Windows環境を推奨)
BIOSにおいて仮想化技術の利用が有効になっていること
※設定が不明な場合は、BIOSメニューへの入り方を最低限確認しておいてください。 - その他:ホストOSのローカルアドミニストレーター権限
- その他:ウィルス対策製品の停止、解除ができること
- その他:ファイアウォールの停止、設定変更ができること
- その他:業務パソコンなどで使用するマシンを持ち込まれる場合は、インベントリ管理ソフトウエアなどのセキュリティ関連ソフトウエアを停止、解除できることを繰り返しご確認ください。
留意事項
※ノートパソコンの設定については、米国SANSサイトの該当ページにも詳細が掲載されています。
ノートパソコンの設定要件は、OSやVMwareのリリースやバージョンアップの状況に応じて随時更新されます。本ページと米国SANSページの設定要件が異なる場合は、「米国ページ」の方を優先してください。(リンク先ページの”Laptop Required”タブよりご確認ください。)
コース概要
攻撃を防ぎ、敵を検出するために最も効果的であり、かつ仕事場でもすぐに実践できる手法を学びましょう。専門家にコツやテクニックを学ぶことで、あなたの環境に害を与える多くの攻撃者との戦いに勝つことができます。
SEC401(Security Essentials Bootcamp Style)はあなたが受講すべきコースですか?
一度立ち止まり、次のことを自問してください。
- 一部の組織は侵入され危険に晒されているものの、他の組織はそうではない理由を十分に理解していますか?
- あなたのネットワーク上のシステムが侵入された場合、そのシステムを見つけることができると確信していますか?
- 各セキュリティデバイスの有効性を知り、それらが全て正しく構成されていることを確認していますか?
- 適切なセキュリティ基準が設定され、セキュリティ上の決定を行う経営幹部は認識していますか?
これらの質問への答えが分からない場合、SEC401のコースでは、あなたに必要なハンズオン形式のラボで強化されたブートキャンプ形式の情報セキュリティトレーニングを提供します。
あなたは次のことを学ぶことができます:
- 監査人が検証し、経営幹部が理解できるITを実装することに焦点を当てた効果的なセキュリティ基準を展開する。
- 適切なセキュリティ分野に焦点を当てたセキュリティロードマップの作成を促進するために、環境をリスク分析し評価する。
- 組織内の優先順位の高いセキュリティに関する問題に焦点を当て、効果的なセキュリティソリューションを選定するコツとテクニックを実践する。
- セキュリティ上の理由により勝敗が決しているが、最も重要なのは勝つ側にいることである。
- セキュリティの中核となる領域や防止、検知、応答を定着させたセキュリティプログラムを作成する方法。
現在及び将来に亘り、拡張できるセキュリティロードマップを構築する方法を学びます。
SEC401(Security Essentials Bootcamp Style)では、組織の重要な情報資産やシステムを保護するために必要不可欠な情報セキュリティスキルと技術を教えることに焦点を当てています。このコースでは、ウォールストリートジャーナルのヘッドラインニュースに掲載されるような組織のセキュリティ上の問題が発生することを防ぐ方法を紹介します!
「予防は理想的ですが、検出は必須です」
高度で継続的な脅威が増えるにつれ、組織が標的になることを回避することはほぼできません。攻撃者が組織のネットワークに侵入したかどうかは、組織が行う防御の有効性によって決まります。攻撃に対する防御は継続的な課題であり、次世代の脅威といった新たな脅威は常に出現しています。組織はサイバーセキュリティにより本当にできることを理解する必要があります。何が上手くいって、いつも機能するのかといった、サイバーディフェンスのリスクベースアプローチを採用している。組織がIT予算に経費を支払い、サイバーセキュリティという名において、何かにリソースや時間を割り当てる前に、次の3つの質問に答えてください。
- リスクは何か?
- それが最も優先するリスクか?
- リスクを削減する最も費用対効果の高い方法は何か?
セキュリティとは、正しく防衛する分野に集中することです。SEC401では、コンピュータと情報セキュリティに関する言語と基礎理論を学びます。あなたがシステムや組織を保護する責任がある場合には、必要とされる基本的で効果的なセキュリティ知識を身に付けることができます。SANSは次の2点を受講生の皆さんにお約束します。
- 職場ですぐに実践できる最新の知識を習得していただくこと。
- 業界最高のセキュリティインストラクターによるトレーニングを提供すること。
自分の知識をチェックしてみたい方は、SANSの Security Essentials Assessment Test に挑戦してみてください(英語・無料:アカウント登録が必要です)。
コース内容注記:
SEC401とMGT512の教材は重複する場合がありますのでご注意ください。より技術的なコースに興味のある方はSEC401を、管理的指向に興味がある方はMGT512をお勧めします。
SEC 501 :: Advanced Security Essentials - Enterprise Defender
セキュリティについてより詳しく学習したい方はSANS Reading Roomへどうぞ。現役で活躍する専門家達の手による1600以上の資料が無料でご覧いただけます。
受講対象者
- 情報セキュリティに関する知識を整理したいと考えている、セキュリティ担当者
- 情報セキュリティに関する専門用語や概念について、さらに理解を深めたいと考えているマネージャクラスの方
- セキュリティを効果的に理解する必要のある運用担当者
- 攻撃に対する防御的なネットワーク構築に関連する知識が必要な、ITエンジニア、スーパーバイザ
- 攻撃者にさらされやすいシステムの構築や保守を担う管理者
- セキュリティ基盤として必要な、フォレンジックアナリスト、ペネトレーションテスト担当者、監査者
GSEC資格の取得は、キャリアアップや報酬に寄与する結果が期待できるほか、他の国際的な情報セキュリティ資格の取得にも活かせる内容です。
講義内容の一例
- リスク評価と監査
- ホストおよびネットワークベースの侵入検知
- ハニーポット、ファイアウォールおよび境界防御
- セキュリティポリシー
- パスワード管理
- セキュリティインシデントハンドリングの6段階のプロセス
- 情報戦争
- Webセキュリティ
- ネットワークの基礎およびIPの概念と動作
- Ciscoルータフィルタ
- 境界防御における4大脅威
- PGP、ステガノグラフィ
- アンチウィルスツール
- Windowsのセキュリティ管理および監査
- IISセキュリティ
- Unixセキュリティの基礎
私は、SEC401受講生から「長年セキュリティに従事してきましたが、このコースを受講すると、いかに自分の知らないことが多かったか実感しました」という言葉を貰うと、非常に嬉しく思います。SEC401の最新バージョンでは、キーポイントを理解できるように、実例を通じてセキュリティの重要項目をしっかり押さえます。受講後は、かねてから抱えていた問題の解決が可能になるばかりか、今までその存在にすら気づかなかった問題をも解決できるようになるに違いありません。
- Eric Cole
ネットワークセキュリティの基礎
アタッカーが企業のリソースにアクセスする際の主な侵入経路は、インターネットに接続されたネットワークです。企業側はできるだけ多くのアタックを阻止しようとしますが、失敗してしまった場合には、時宜にかなった方法で防御しなければなりません。そこで、ネットワークトラフィックを分析し、悪意のあるトラフィックを特定できるよう、ネットワークやTCP/IPのような関連しているプロトコルの動きについて理解することが重要なのです。ルータやファイアウォールのようなデバイスを利用して、こうしたアタックからの防御を図る方法を知ることも同じく大切です。この日のカリキュラムは、翌日以降のトレーニングを学習する上での基盤となります。
1日目を終了すると、ネットワークアーキテクチャーを理解したことにより防御可能な領域となるだけではなく、仮想化やクラウド環境のセキュリティについてもラボを通じて理解できるでしょう。他にも、ネットワークやプロトコルについて理解を深める演習(tcpdump)や無線の演習(Aircrack-ng)、通信のセキュリティ演習(Wireshark)など豊富にご用意しています。どのような組織でも、データの過少によらず同じレベルでの処理を行ってはいません。大半のデータは日常的に発生するものですが、一部の保護しなければならないデータは、適切に保護しなければならず、その損失は組織に決定的なダメージを及ぼすおそれがあります。 そのため、これらのデータに対して攻撃者が仕掛けてくる攻撃を理解し、攻撃を受ける脆弱性を見定め、情報に対する保護の優先順位付けやシステム保護の手順を確立することが不可欠になります。一般的に、攻撃はWebアプリケーションや認証を行っている際の通信から発生します。だからこそ、システムに対する攻撃を監視、停止あるいは実行を阻止するために、使用されるプロトコルや通信技術に精通しておくことが不可欠なのです。
トピック
モジュールの概要
- 防御可能なネットワークアーキテクチャー
- 仮想化とクラウドセキュリティ
- Lab 仮想マシンのセットアップ
- ネットワークデバイスセキュリティ
- ネットワークとプロトコル
- Lab tcpdump
- 無線ネットワークの保護
- Lab Aircrack-ng
- Webコミュニケーション
- Lab Wireshark
モジュール1:防御ネットワークアーキテクチャ
ネットワークアーキテクチャ、ネットワークデバイスに対する攻撃、ネットワークトポロジ、ネットワーク設計など、ネットワークアーキテクチャの基礎を取り上げます。
- ネットワークアーキテクチャ:防御ネットワークアーキテクチャを構築するという目標を理解と識別
- システムのアーキテクチャの理解
- コンセプチュアルデザイン
- 論理設計
- 物理設計
- コミュニケーションフローの理解
- 重要データの識別
- ネットワークデバイスに対する攻撃:ネットワークに対する一般的な攻撃の種類と特定
- 攻撃を受けているネットワーク
- 脅威の列挙
- 脅威エージェント
- ルータに対する攻撃
- スイッチに対する攻撃
- ネットワークトポロジ:さまざまなタイプのトポロジとそれらに起因する固有のセキュリティリスクの理解
- 物理トポロジと論理トポロジ
- イーサネット
- ネットワーク設計
- ネットワーク設計へのアプローチ
- ネットワーク設計:予防と検出の両方を組み込んだ安全なネットワークの設計方法の理解と認識
- ネットワーク設計へのアプローチ
- ネットワークアーキテクチャの設計
- ネットワーク設計の目的
- ネットワークセクション
モジュール2:仮想化とクラウドセキュリティ
仮想化の概要とその動作、一般的な仮想化の形態、および仮想マシンと複数のオペレーティングシステムとの相互作用への理解を通じて、関連するセキュリティトピックを学習します。
- 仮想化
- 仮想化のセットアップ
- 仮想化セキュリティ
- 仮想化アーキテクチャ
- クラウドの概要
- クラウドセキュリティ
- Lab1.1:仮想マシンのセットアップ:このラボの目的は、ラボベースとなるWindows仮想マシンとLinux仮想マシンをセットアップして環境構築を行ない、オペレーティングシステムの基本と基礎的なコマンドを実行する方法を理解することです。ラボを完了すると、次のことが達成できます。:
- SANSが提供するWindows 10仮想マシンとKali Linux仮想マシンをハードドライブにコピーして展開する
- VMware Workstation、またはPlayer、Macの場合はFusionで仮想マシンを起動する
- Windows 10の構成を実施しライセンスを設定する
- 2つの仮想マシン間のネットワーク接続を確認する
モジュール3:ネットワークとデバイスのセキュリティ
ネットワークに展開されているさまざまなデバイスとその機能について説明します。
- ネットワークデバイス
- ルーティング
- ルーティングのしくみ
- デバイスのセキュリティ
モジュール4:ネットワークとプロトコル
ネットワークプロトコル、ネットワークプロトコルスタックの特性と機能の理解
- ネットワークプロトコル
- レイヤ3
- インターネットプロトコル(IP)
- インターネット制御メッセージプロトコル(ICMP)
- レイヤ4
- 伝送制御プロトコル(TCP)
- ユーザーデータグラムプロトコル(UDP)
- tcpdump
- Lab1.2:tcpdump:このラボの目的は、Kaliを使用してスニファを実行し、パケットを解読する方法を理解することです。
- tcpdumpの概要と基本コマンド
- tcpdumpの実行とネットワークトラフィックのスニッフィング
- 16進数とASCIIデータの分析
- 非リスニングTCPポートへの接続
モジュール5:ワイヤレスネットワークの保護
ワイヤレスネットワークの展開と利用を取り上げ、ワイヤレステクノロジーを理解します。
- ワイヤレスの概要
- BluetoothとZigBee
- 802.11
- ワイヤレスセキュリティ
- Lab1.3:Aircrack-ng:ラボでは、aircrack-ngツールスイートを使用して、Wired Equivalent Privacy(WEP)セキュリティアルゴリズムとWi-Fi Protected Access(WPA)プロトコルの両方のセキュリティを評価します。 具体的には以下のようなことを達成できます。:
- aircrack-ngスイートの紹介
- WEPキーのクラッキング
- WPA2パスフレーズのクラッキング
モジュール6:Web通信のセキュリティ保護
Webアプリケーションの仕組みを理解します。 具体的には、安全なWebアプリケーションを作成するためのベストプラクティス、およびWebアプリケーションの脆弱性を特定して修正する方法を学びます。
- Webアプリケーションの仕組み
- 安全なコーディングの基礎
- Webアプリケーションの脆弱性
- Lab 1.4:WireShark:このラボでは、Wiresharkの使い方を学び、パケットを分析する方法を理解します。
- WiresharkとGUIの紹介
- FTP接続の基本的なキャプチャ
- TFTPセッションの分析
縦深防御と攻撃
企業のネットワークを安全にするためには、ネットワークセキュリティの一般原理を理解していなければなりません。2日目は、ネットワークセキュリティにおける主要6分野を学習します。まずは、情報保証の基礎からスタートです。現在と過去のコンピュータセキュリティに対する脅威について取り上げ、そうした脅威が機密性、完全性、可用性に与える影響について見ていきます。この日の前半では、適切なセキュリティポリシーの策定およびパスワード管理を行う上での注意点についても学び、UnixおよびWindows用のパスワード強化ツールにも触れます。後半では、情報戦争の脅威とインシデントハンドリングの6段階のプロセスの理解に努め、最後に攻撃戦略と攻撃の仕組みについて学習します。
ネットワークを適切に保護し、防御することを理解するためには、アーキテクチャの論理および物理コンポーネントの両方を理解しておく必要があります。セキュリティーや設計に於いて、セキュリティーアーキテクトはシステム全体に注意を払わず特定の対応や問題に集中してしまうと、大きな間違いが生じます。ネットワークと同じくらい複合的なセキュリティを分析すること自体が複雑なプロセスであることを認識しておくことが重要です。
トピック
モジュールの概要
- 縦深防御(Defense in Depth)
- アクセス制御とパスワード管理
- ラボ - John the Ripper
- セキュリティポリシー
- Lab - Cain&Abel
- クリティカルコントロール
- 悪意のあるコードと緩和
- Lab - 悪意のあるソフトウェア
- APT: Advanced Persistent Threat
モジュール7:縦深防御(Defense in Depth)
縦深防御のコンセプトを理解し、セキュリティの主要分野の概要を理解する。
- 防御の概要
- リスク=脅威 × 脆弱性
- CIA トライアド
- 防衛戦略
- コアセキュリティ戦略
モジュール8:アクセス制御とパスワード管理:アクセス制御の理論を理解する
- アクセス制御
- データ分類
- アクセスの管理
- 職務分掌
- パスワード管理
- パスワード管理技術
- パスワード評価の仕組み
- Lab2.1 - John the Ripper:このラボでは、幅広く使用されているパスワードクラッキングツールであるJohn the Ripperを使用してラボを実行します。ラボを完了すると、次のことが達成できます。
- John the Ripperとそのさまざまなコンポーネントの紹介
- John the Ripperによるパスワードのクラッキング
モジュール9:セキュリティとプライバシー
ベースラインとなるフレームワークを確立し、ミッションステートメントを確立することによって、定義したポリシーを評価する方法を理解します。
- セキュリティポリシー
- ポリシーの必要性
- ポリシーフレームワーク
- ポリシーの実行
- Lab 2.2 - Cain&Abel:このラボは、Cain&Abelのような多目的ツールの使い方を学び、パスワードの強さを監査する基本を理解します。このラボでは、次のことが達成できるでしょう。
- ain &Abelの紹介
- Windows 10 SAMデータベースからのパスワード抽出とクラッキング
- Ciscoルータからのパスワードクラッキング
モジュール10:クリティカルセキュリティコントロール
クリティカルセキュリティコントロールの目的と背景を理解します。
- クリティカルセキュリティコントロールの概要
- クリティカルセキュリティコントロール
- クリティカルセキュリティコントロールのサンプル
モジュール11:悪質なコードと緩和
Mitnick-Shimomura攻撃の詳細と、これらの脅威からネットワークを適切に保護するためにこの攻撃から学ぶことができることを理解します。
- ミトニックと下村の戦い
- 防衛戦略
- 一般的な種類の攻撃
- Lab2.3 - 悪意のあるソフトウェア:このラボでは、悪意のあるソフトウェアの挙動について理解し、これらの実行を防ぐ方法を学びます。
- 悪意あるソフトウエアの分析
- トロイの木馬プログラムの分析と、特権アクセスの取得
- ・バッファオーバーフローのチェック
モジュール12:APT: Advanced Persistence Threat
サイバースペースに存在する新しい脅威であるAPTの概要と、これらの脅威に対処するための効果的な方法を学びます。また、APTを活用した攻撃者の行動原理も理解できるでしょう。
- APTとは何か?なぜAPTを管理するのが難しいのか?
- APTに対する防御
- 修復アプローチ
- 攻撃的な活動
脅威管理
特定のシステムを標的にする場合でも、インターネット上で単に簡単な標的を探し出す場合でも、アタッカーは新しいシステムやネットワークの調査、悪用できる脆弱性の探索を自動化するツールを使用します。この攻撃のフェーズを偵察と呼びます。アタッカーは脆弱性を悪用してシステムとネットワークへアクセスする前に、このフェーズに多くの時間を費やします。事実、偵察活動の痕跡は、近い将来に攻撃が差し迫っていることを示す手かがりとなることがあります。
システムおよびネットワークのセキュリティ責任者がこれらの脆弱性を発見し、解消する手腕は、アタッカーがそれを発見し、悪用する能力を下回ることは許されません。戦略の1つは、自身への攻撃に使用されているツールを最大限かつ定期的に使用することです。セキュリティでは、適切な可視性が重要です。脆弱性について理解していなかったり、その存在もを知らなかったりすると、通常、アタッカーは先回りしてこれらの欠陥を悪用する気づいていることから、防御側にとって不利になります。自身の環境について学ぶほど、十分に保護できるようになります。
3日目は、情報収集、ネットワークマッピング、脆弱性のスキャンに使用されるツールと技術、マッピングアプリケーションの管理、スキャニング技術について学習します。まず初めに、そのようなプログラムに管理者が期待する効果について学習します。次に、組織のシステムに対する脅威のベクトルと共通する偵察の情報源について学習します。その後、いくつかの調査ツールとその影響について確認しながら、ツールを使用して脆弱性を発見する方法を学習します。最後に、組織におけるセキュリティを検証するために、ペネトレーションテストの方法について学習します。
トピック
モジュール概要
- 脆弱性スキャンと侵入テスト
- Lab - nmap
- ネットワークセキュリティデバイス
- Lab - Snort
- エンドポイントセキュリティ
- ラボ
- SIEM /ログ管理
- アクティブディフェンス
- ラボ - コマンドインジェクション
モジュール13:脆弱性スキャンと侵入テスト
攻撃者の偵察活動に対するリソース保護や関連するリスク、脅威、脆弱性といった概念との関連性を理解します。
- 脆弱性管理の概要
- ネットワークスキャン
- 侵入テスト
- Lab3.1 - Nmap:このラボの目的は、ポートスキャンソフトウェアの動作を理解し、システムで開いているポートを特定できるようにすることです。ラボを完了すると、次のことが達成できます。
- Nmapの概要とその機能
- Nmapによるポートスキャン
- OSスキャン、アプリケーションのバージョンスキャン
- Nmapスクリプトエンジン(NSE)
モジュール14:ネットワークセキュリティデバイス
ファイアウォール、NIDS、NIPSの3つの主要なネットワークセキュリティデバイスを検討します。これらはともに、予防と検出の機能を補完しあうものです。
- ファイアウォール
- 概要
- ファイアウォールの種類
- 構成と展開
- NIDS
- NIDSの種類
- NIDSとしてのSnort
- NIPS
- 配置方法
- Lab3.2:Snort:このラボでは、Snortの実行や設定方法、IDSを利用して攻撃を検出する方法を学習します。
- Snortの特徴
- Snort実行によるアラート
- Snortログとシグネチャの検証
モジュール15:エンドポイントのセキュリティ
エンドポイントセキュリティの重要性と概念を理解します。また、エンドポイントセキュリティを実装するための主要なコンポーネント、戦略、およびソリューションのいくつかについて学習します。
- エンドポイントセキュリティの概要
- エンドポイントセキュリティ製品
- HIDSの概要
- HIPSの概要
- Lab3.3 - hping 3:このラボは、パケット生成ソフトウェアを使用します。主な内容は以下のとおりです。
- hping 3の特徴
- hping 3によるパケット生成
- hping 3でのIPアドレスのなりすまし
モジュール16:SIEM /ログ管理
ログの重要性について、セキュリティ対策に必要な知識を深く理解します。
- ロギングの概要
- ロギングの設定と構成
- ログ解析の基礎
- キーロギングアクティビティ
モジュール17:アクティブディフェンス
新しいセキュリティアプローチであるアクティブディフェンスとその活用方法について説明します。アクティブディフェンスを活用すると、防御的なソリューションをより活発にできることが理解できるでしょう。
- アクティブディフェンスの定義
- アクティブディフェンスのテクニック
- アクティブディフェンスのツール
- ハニーポット&アクティブディフェンス
- Lab3.4 - コマンドインジェクション:このラボでは、コマンドインジェクション攻撃を実行し、攻撃の仕組みなどを理解できるでしょう。
- ツールの通常操作
- 制限がかかった環境でのコマンドインジェクション
暗号、リスク管理と各種対応
セキュリティ対策に特効薬はありません。しかし、多くのセキュリティ問題の解決に役立つと思われながらほとんどの会社で実装されていない技術があります。その技術とは、暗号化です。暗号化はメッセージの意味を隠してしまうことで、権限のない者による機密情報の読み取りを阻止できます。4日目は、暗号化のさまざまな側面と企業の資産を保護するための暗号の使用法について見ていきます。関連分野として、ステガノグラフィや情報の隠ぺいについても押さえます。
科学による秘密の言葉―暗号は、アタッカーに情報の意味を明らかにすることなくコミュニケーションをとるのに役立ちます。また、潜在的に誰とコミュニケーションをとっているのかも認証します。インターネットベースの商業や銀行取引などの非常に機密性の高い情報から、友人宛ての手紙など他の誰にも知られたくない害のないメッセージまで、あらゆる種類のデータを暗号によって保護することが可能です。暗号(cryptoとして略される)は、情報の機密性と完全性確認を十分なものにしてくれる可能性があります。しかしながら、特効薬ではありませんので、適切に使用されて正確に実行されている場合を除いて、はなはだしく誤った機密性につながる場合もあります。暗号は、幾層ものセキュリティの1つを提供しているのにすぎません。暗号は常に大型の多層防御戦略の一部であるべきです。
トピック
モジュール概要
- 暗号
- ラボ - Stego
- 暗号アルゴリズムと実装
- 暗号の利用
- ラボ - GPG
- インシデント対応
- ラボ - ハッシング
- 緊急時対応計画 - BCP / DRP
- ITリスク管理
モジュール18:暗号
暗号の概念理解に努めます、基本について事前に理解をしていると望ましいモジュールです。
- 暗号の概要
- プレーンテキスト(平文)、暗号文、鍵
- 対称鍵暗号のタイプ
- 対称鍵暗号
- 非対称鍵暗号
- ハッシュ
- Lab4.1 - ステガノグラフィ:このラボでは、データ隠蔽プログラムの操作を理解し、ステガノグラフィを利用する方法を学習します。
- ステガノグラフィの活用
モジュール19:暗号アルゴリズムと実装
近代暗号で使用される高等数学を事前に理解していると望ましいモジュールです。
- 暗号の概念
- 対称鍵暗号と非対称鍵暗号
- 暗号に対する攻撃
モジュール20:暗号技術の活用
VPNがどのように動作しているかについて深く学習します。また、GPG暗号の機能と動作方法についても学習します。
- 伝送のデータ
- 仮想プライベートネットワーク(VPN)
- その他のデータ
- データ暗号化
- フルディスク暗号化
- GNUプライバシーガード(GPG)
- 鍵管理
- 公開鍵インフラストラクチャ(PKI)
- デジタル証明書
- 認証局(CA)
- Lab 4.2 - GNU Privacy Guard(GPG):このラボでは、GPGによる暗号アルゴリズム利用方法について学習します。
- 暗号化
- 復号
- メッセージ署名
- 署名の検証
モジュール21:インシデントハンドリング環境
6つのステップによるインシデント対応プロセスの概念を学習します。また、インシデント対応に関連する重要な法律についても理解し、証拠の取り扱いの注意点なども学習します。
- インシデントハンドリングの基本
- インシデントハンドリングプロセスの6ステップ
- 事故処理の法的側面
- Lab4.3 - ハッシング:このラボでは、暗号アルゴリズムの一つであるハッシュを利用する方法と、基本的な操作を学習します。ラボを完了すると、次のことが達成できます。
- ハッシュとファイル完全性検証の概要
- ファイルの整合性チェックの自動化
モジュール22:緊急時対応計画 - BCP / DRP
ビジネス継続計画(BCP)と災害時復旧計画(DRP)を使用して、緊急時対応計画のポイントを学習します。
- 緊急時計画
- 事業継続計画(BCP)
- 災害時復旧計画(DRP)
モジュール23:リスク管理
サイバーセキュリティリスク管理の用語と基本的なアプローチの理解。
- リスク管理の概要
- リスク管理のベストプラクティスアプローチ
- 脅威評価、分析、および管理へのレポート
Windowsセキュリティ
Windowsがシンプルだった頃を覚えているでしょうか。Windows XPが小さなワークグループを占めていた以前のことはどうでしょうか。あれから、多くの技術的革新があり、今日ではWindowsTabletやAzure、Active Directory、PowerShell、Office365、Hyper-V、仮想デスクトップインフラ(VDI)などが私たちの周りに普及していますが、マイクロソフトはGoogleやApple、アマゾンをはじめとしたクラウドサービスの巨人たちを相手に覇権争いを繰り広げています。
Windowsは、世界中で最も広く使われ、かつターゲットにされているているオペレーティングシステムです。同時に、Active Directory、PKI、BitLocker、AppLocker、およびユーザーアカウント制御の複雑さは、課題でもあり有益にも成り得ます。ここでは、Windowsセキュリティの世界をいち早くマスターするとともに、作業を簡素化および自動化するためのツールについて学習します。自動化と監査およびフォレンジックを通して、Windowsセキュリティの堅固な基礎を築くことができます。
そして、Windowsセキュリティをサポートするインフラストラクチャについても説明します。これはWindowsセキュリティモデルの全体像の概要であり、関連するすべての事柄を理解するのに必要な背景知識を学習します。全体像から入り、1日を通して多くのことを詳細に学習します。
トピック
モジュールの概要
- Windowsセキュリティインフラストラクチャ
- Lab - Process Hacker
- サービスパック、ホットフィックス、およびバックアップ
- Windowsのアクセス制御
- Lab - Microsoft Baseline Security Analyzer(MBSA)
- セキュリティポリシーの実装
- Lab - Secedit
- Windowsネットワークサービスのセキュリティ保護
- 処理の自動化、監査、フォレンジック
- Lab - PowerShell
モジュール24:Windowsセキュリティインフラ
さまざまなタイプのWindowsオペレーティングシステムと機能の違いについて学習することで、さまざまなタイプのWindowsオペレーティングシステムを識別できるようになります。
- オペレーティングシステムの3つのクラス
- クライアント
- サーバ
- エンベッデッド(組み込み)
- Lab5.1 - Process Hacker:このラボでは、Process Hackerのようなツールを利用し、Windowsの動作について理解します。
- Process Hackerのインストールと実行
- モジュールやメモリ領域など、プロセスの詳細確認
- DLLのプロセスインジェクションとプロセスの終了
モジュール25:サービスパック、修正プログラム、およびバックアップ
WindowsネットワークのService PackとHotfixの管理方法を学習します。
- サービスパック
- 電子メールのセキュリティ情報
- パッチのインストール
- 自動更新
- Windowsサーバーの更新サービス
- Windowsのバックアップ
- システムの復元
- デバイスドライバのロールバック
モジュール26:Windowsアクセスコントロール
Windows NTファイルシステム(NTFS)、共有フォルダ、プリンタ、レジストリキー、およびActive Directory環境下において権限がどのように適用されるかを理解する。
- NTFSアクセス許可
- 共有フォルダのアクセス許可
- レジストリキーのアクセス許可
- Active Directoryのアクセス許可
- 特権
- BitLockerドライブの暗号化
- Lab 5.2 - Microsoft Baseline Security Analyzer:Microsoft Baseline Security Analyzerを使用し、オペレーティングシステムを適切に保護する方法を学習します。
- Microsoft Baseline Security Analyzer(MBSA)のインストール
- ローカルコンピュータの脆弱性スキャン
- MBSAの脆弱性レポート検証
- NET.EXEユーティリティを使用した脆弱性の修正
- ローカルシステムの再スキャンと修復確認
モジュール27:セキュリティポリシーの実装
グループポリシーの機能を深く理解し、セキュリティテンプレートの適用について学習します。
- セキュリティテンプレートの適用
- セキュリティ構成と分析スナップイン
- ローカルグループポリシーオブジェクト
- ドメイングループポリシーオブジェクト
- 管理ユーザー
- AppLocker
- ユーザーアカウント制御
- 推奨されるGPO設定の検証
- パスワードポリシー
- アカウントロックアウトポリシー
- セキュリティオプション
- Internet Explorerのセキュリティ
- その他の管理用テンプレート
- その他の設定
- Lab 5.3 - Secedit:このラボでは、Seceditのようなツールを利用して、セキュリティテンプレートの操作やシステムの分析方法を学習します。
- PowerShell ISEの実行
- セキュリティテンプレートとシステムの現在の状態の比較
- セキュリティテンプレートのローカルコンピュータへの適用と再構成
- 変更確認と再調査
モジュール28:Windowsネットワークサービスの保護
Windowsネットワークサービスを保護するための基本的な措置について学習します。
- セキュアなサービスを確保するためのベストプラクティス
- パケットフィルタリング
- IPsec認証と暗号化
- インターネットインフォメーションサービス(IIS)
- リモートデスクトップサービス
- Windowsファイアウォール
モジュール29:処理の自動化、監査、フォレンジック
Windowsを監査するために使用される技術について学習します。
- ポリシー準拠状況の検証
- 脆弱性スキャンとレポート
- ベースラインシステムのスナップショット作成
- 継続的な運用データの収集
- 変更検出と分析の採用
- Lab5.4 - PowerShell:このラボでは、PowerShellスクリプトを使用して、スクリプト作成と自動化について学習します。
- グラフィカルなPowerShell ISEエディタ(ISE = Integrated Scripting Environment)の実行
- プロセスとサービスの一覧表示
- ファイルシステムの操作(ファイルのソートやハッシュなど)
- HTMLやCSV形式によるデータのエクスポート
- Windows Management Instrumentation(WMI)サービス
- ローカル、リモートのWindowsイベントログメッセージの確認
Unix/Linuxセキュリティ
多くの組織では、それほど多くのUnix/Linuxシステムは所有していませんが、最も保護すべき重要なシステムの一部です。
最終日の内容は、業界の合意基準をベースに、あらゆるLinuxシステムのセキュリティを向上させるガイダンスを提供します。Linux初心者のための背景情報を含む実践的な手引きから、あらゆるレベルの専門家向けのセキュリティアドバイスや「ベスト・プラクティス」までを包含する内容になっています。
ここでは、基本的なLinuxを幅広くご紹介しながら、Linuxシステムの設定と保護方法を理解するために必要な基本的な項目について学習します。また、モバイル市場におけるオペレーティングシステムの概要についても学習します。最終的にはLinuxをベースにしたオペレーティングシステムについても学習します。
トピック
モジュールの概要
- Linuxセキュリティ:構造、パーミッション、アクセス
- Linuxサービスの強化
- 攻撃の検出と監視
- セキュリティユーティリティ
モジュール30:Linuxセキュリティ:システム構造、パーミッション、アクセス
ここでは、基本的なLinuxをご紹介しながら、Linuxシステムの設定と保護方法を理解するために必要な基本的な項目について学習します。また、オペレーティングシステムとモバイル市場の概要についても学習します。
- オペレーティングシステムの比較
- Linuxのセキュリティ
- Mac OSのセキュリティ
- モバイルセキュリティ
- Linuxシェル
- Linuxカーネル
- アクセス許可
- ユーザーアカウント
モジュール31:Linuxサービスの強化とセキュリティ
Linuxサービスを強化しセキュリティを確保するための方法、ヒントについてご紹介します。王道は常に覚えておくべきです:サービスを確保する最良の方法は、サービスをオフにすることです。
- 起動時のサービス開始
- パッケージコントロール
- カーネルのセキュリティ
- ポート制御
モジュール32:攻撃の検出と監視
ログの設定と監視、syslogなどに代表されるログのほか、grep、sed、awkによるログの解析とフィルタリング、uditdによる監視とアカウンティングなどが含まれます。
- ログ集計とSIEM
- ログファイル
- ログ解析
モジュール33:セキュリティユーティリティ
いくつかのセキュリティ強化ユーティリティ、機能、および関連するパッチ管理アプリケーション
- 組み込みコマンドとセキュリティ機能の使用
- 整合性チェッカー
- ホストベースのファイアウォール統合とセキュリティ
- 強化スクリプトの利用
- パッケージ管理戦略の展開
- セキュリティを強化するためのツール