| AUDIT 507 | |||
Auditing Networks, Perimeters and Systems |
|||
| 日 程 | 6日間 | CPE ポイント |
36 point |
| 定 員 | 50名 | 講師 | David Hoelzer (SANSフェロー、Enclave Forensics) >> 講師プロフィール |
| 講義時間 | 9:30 ~ 17:30(9:00開場) | ||
受講に必要なPC環境
AUD 507 PC設定詳細
SANSトレーニングを有意義に受講していただくには、以下の環境のノートPCが必要です。 以下の条件を満たさないノートPCでは、全演習メニューを行っていただくことができませんので、ご注意ください。 ノートパソコンのハードウェア要件
|
|||
| 開催予定のないコースは、オンサイト(特設開催)により実施可能です。ご相談ください。 | |||
今、企業のセキュリティ監査をどれほど厳格化すべきかというのは、多くの監査人が直面している深刻な問題の1つです。真に重要なシステムとは何でしょうか?ファイアウォールやルータの設定はどうあるべきでしょうか?セキュリティの観点から、あらゆるシステムにおけるどの部分を検査すべきでしょうか?セキュリティ設定よりも、業務プロセスに焦点を当てることを可能にする監査手順はあるのでしょうか?このコースでは、これらを含む全ての疑問に対する答えを明らかにしていきます。
このコースは、企業のセキュリティ検証プログラムの設計にあたって発生する大量の課題に対処するためのリスク対応方法を、具体的な形で習得できる内容になっています。難易度の高いさまざまな監査問題と総合的な監査の最善策を取り上げ、組織に対して保証できるレベルを示す主要なコントロールの技術的な手法について深く掘り下げます。事例は、自動化されたコンプライアンス検証のためのコントロールやテクニックを繰り返し点検する際のヒントになるでしょう。
IT監査人が直面している困難の1つに、経営支援が挙げられます。テクニカルコントロールと事業に対するリスクとのバランスを把握しなければなりません。このコースでは、このことに関連した脅威と脆弱性について、検証実例を基に解説します。そして、組織の経営陣や従業員の認識を喚起し、コントロールや監査の重要性への理解を促すにはどうしたらよいか、時間をかけて説明します。こうした脅威や脆弱性を踏まえて、現状のコンプライアンス監視システムの構築方法や、監査チェックリストの実装と自動化された防御システムを検証する方法を理解することができるでしょう。
このコースで学習したことは即座に現場で実践可能です。6日間あるコースのうち5日間は、受講生が監査演習用にカスタマイズできる総合的なチェックリストを使用します。講義で触れたツールを実際に用いる演習の時間も設けていますので、各コントロールの検証方法を復習し、監査証拠となり得るものについて理解することができます。演習では、監査問題の見本として講義で提供するチェックリストを仮想環境で適用し、考察を行うという形で徹底的な技術監査を実践します。受講の際は、各自Windows XP Pro以上(Windows Server 2003でも可)のノートPCを持参してください。VMwareが実行できる環境であれば、OS X搭載のMacintoshでも使用可能です。
監査というのは、単にチェックリストに印をつけることではありません。コントロールの根底にあるもの、そして選択すべき最善策とその理由について理解してはじめて優れた監査が可能になるのです。このコースに参加して、理論と演習、そして実践的な知識を習得しましょう。
SANSの上級システム監査コースは、情報保証分野の中でも、監査の実技を含む総合的な内容であるという点で異彩を放っています。このコースのマテリアルは、経験豊富なベテラン監査人の方、監査経験の浅い方、いずれにも有意義なものとして活用されてきました。コースに参加した1人、Institute of Internal Auditors(内部監査人協会)の副会長も、「私は監査システムに長く携わってきたが、誰からも技術監査の公式なプロセスを教わったことはなかった。このコースに感謝している」と述べています。コース参加の前提条件として高度な技術経験の有無は問いませんが、コースで習得した技術を参加者全員が翌日から現場で実践できるよう、激しく切磋琢磨していただきます。受講者の方の「どうやって最終目標に到達できるのか」という疑問を現実に解決するため、短期目標に対するソリューションを重ねながら、識別と報告、そして企業におけるリスクの軽減を図るという最終ゴールに到達しましょう。 - David Hoelzer
初日は、監査の原則について基本知識を補完するだけではなく、大変有用なリスク評価の手法を2つ習得します。システムのセキュリティを測定し、脆弱あるいは不十分なコントロールを認識するのに効果的な方法です。
情報セキュリティの世界ではほとんどの企業が、最善策と言える数々のセキュリティ標準に沿ってコンプライアンスを推進している、または推進を検討している状態です。あなたの組織は取り組んでいますか?壁にぶつかっていませんか?コントロールを実装しているにも関わらず、いまだに深刻なコンプライアンス問題と格闘していませんか?この日学習するリスク評価のセクションは、そんなあなたの悩みを解決します。キーとなる学習トピックの1つに、コントロールの使用または選択に関する効果的なリスクベースの手法があります。このトピックの学習を通じて、現存するコントロールセット、業務プロセス、監査の例外、それからセキュリティインシデント、不十分なコントロールについて分析することができるようになるでしょう。もっと大きな成果はおそらく、将来の問題を除去できるような是正措置を容易に識別できるようになることでしょう。
そして、この日最後の2つのセクションで、監査を指揮し、実際に迅速なコンプライアンスに向けて組織を前進させられるような結果をプレゼンできる筋金入りの手法を習得しましょう。
情報技術インフラにおいて最も慎重に扱うべき重要な項目に焦点を当てます。それはルータとファイアウォールです。ルータやファイアウォールを正しく監査するには、デバイス上の情報フローを明確に理解している必要があります。監査人はこのフロー図によってルータとファイアウォールの目的を認識し、監査されるべきコントロールを実装することができるのです。この日の内容はほぼ、ルータとファイアウォールの監査に必要な全ての要素を習得するためのものです。
3日目は前日の続きで、内部システムの妥当性チェックと脆弱性テストに対するネットワークおよび境界監査へと話を進めます。必要最小限の時間内で監査やアセスメント、そしてネットワークの保護を実現するために、ネットワークセキュリティのプロが知っておくべきツールの使用法やテクニックを理解します。Defense In-Depth(多層防御)のアプローチを採用して、境界デバイスの監査、アクティブホストとサービスマップ作成、およびサービスの脆弱性評価を行う方法を学習します。1日を通して、ツールを使用する演習を行います。
ここ数年企業が直面した脆弱性ランキングで、Webアプリケーションは常にトップ5の中に入っています。しかし、同じく上位に入っている他の脆弱性とは異なり、我々は業務上、このWebアプリの脆弱性におけるリスクにさらされた状態を甘んじて受け入れ続けなければなりません。今や企業にとって効果的なWebの存在は、円滑な業務運用に不可欠だからです。業界を担う一員としての最も重要な教訓に、「アプリケーションファイアウォールのインストールだけでは不十分!」というものがあります。
4日目の前半は、Webテクノロジの基本原則を全て網羅し、こうしたアプリケーションのセキュリティの検証に使用できるツール群を紹介します。後半は、チェックリストを用いた構築と検証を行います。最新のテクニックと高度なテスト手法を通じてWebアプリケーション内で主要な脅威が検知されますが、このチェックリストはそういった脅威を緩和するためのコントロールが採用されているか、または確実に実装されているか、検証するためのものです。
午後の時間をフルに使って、3つの各Webアプリケーションをこの監査プログラムで検査することになるでしょう。まず1つ目は多くの一般的なフローを再生すべく設計されたシステムで、テストの概念について紹介するためのものです。2つ目は一般によく利用されているWebショッピングカートで、「お手製」コードに見られる問題の典型例と言えます。3つ目は「プロ仕様」のWebアプリケーションで、今日のインターネット上でよく見かけるタイプです。これらのサンプルアプリケーションの内少なくとも1つ以上について、セキュリティコントロールの総合的な検証を実践するというのがこの日の課題です。この演習を通じて、最終的には全受講生が高度なチェックリストと詳細な説明書を使いこなせるようになるでしょう。
監査テストプログラムの設計に加えて、プロジェクトマネージャとコーディングチームのためのプロセスの改善についても時間を割きます。
Windows NT系列(NT、2000、XP、2003、Vista)ベースのシステムはITインフラの大部分を占めています。そして、セキュアな状態にコントロールすることが最も難しい環境でもあります。OSには無数のコントロールや設定が内包されているからです。5日目は、Microsoft Windows環境で長期にわたって効果的な監査プログラムを構築するポイント、テクニック、ツールについて取り上げます。
この日は、総合的な監査プログラムを使用し、各自持参したノートPCについて徹底的な監査を終日実施します。スタンドアロンのWindowsシステムにおける主要な監査ポイントを全て網羅するだけでなく、ドメイン内で使用に供するために直接こうした手法を適用するか排除するか、選択することになるでしょう。主な目標の1つに、監査人のレジストリの設定、および設定を自動検証する総合的な管理プロセス作成の支援があります。このタイプのシステムが適切に配備されていれば監査人はそこに時間を割かれずに済むので、はるかに効果的な管理プロセスの監査を開始することができるのです。
この日のもう1つのポイントは、効果的なログ管理について掘り下げるところです。あなたの組織では、ネットワーク内で生成された全てのイベントを収集し、分析するのに苦戦していませんか?今日の企業にとって有用なGPL/FOSSソリューションを紹介します。
最後に、監査人の視点からActive Directoryの重要な局面について時間をかけて議論します。Active Directoryから有効なデータを取り出す方法について取り上げ、実習も行います。この1日を通じて、ドメイン内の全システムを自動的に監査できるような総合的監査シナリオの生地を構築することになります。
昨今、業務システムにUnix環境を採用することは、珍しくなくなりました。そこで、Unix OSの内部的な動きと基礎をより深く理解しましょう。演習ではUnixシステムの悪用、アセスメント、監査の機会を設けます。講義では、アクセスコントロールやセキュリティモデルと、標準的なUnixシステムで使用可能な異なるタイプの監査コントロールも見ていきます。
コース最終日は、1日の大半を使って、あらゆるUnixシステムで仮想的に使用できる包括的な監査スクリプトセットをインストラクターと共に作成します。このスクリプトセットは、システムのセキュリティチェックやコンプライアンスの報告、パッチ適用前および適用後といったシステムベースライン再生成時の検証、およびコントロールプロセス変更時に使用することができるものです。
参加にあたって、Unixの経験もスクリプトの実績も問いません。コーステキストと演習問題はインストラクターの指示に沿って容易に行える内容になっていますので、スクリプティングのみならず、正規表現のようなさらに高度なトピックについても習得することができるでしょう。
Copyright (C) 2005-2010 SANS JAPAN Project All Rights Reserved.