| SECURITY 501 | |||
Advanced Security Essentials - Enterprise Defender |
|||
| 日 程 | 6日間 | CPE ポイント |
36 point |
| 定 員 | 50名 | 講師 | Eric Cole(SANS認定インストラクター) >> 講師プロフィール |
| 講義時間 | 9:30 ~ 17:30(9:00開場) | ||
受講に必要なPC環境
SEC 501 PC設定詳細
SANSトレーニングを有意義に受講していただくには、以下の環境のノートPCが必要です。 事前に、下記の必要なソフトウェアをインストールしてください。 ノートパソコンのハードウェア要件
システム分離用のVMware
演習を行うに当たって、VMwareを使用してWindowsやLinuxのOSを同時に運用します。受講前に、VMware Workstation 5.0もしくはそれ以降のバージョンをシステムにインストールしておいてください。VMwareをお持ちでない場合は、www.vmware.comから30日間トライアル版を無料でダウンロードしてください。コース終了日までにトライアル期限が来ないよう、くれぐれもご注意ください。 また、事前にVMwareで利用するWindows XP バーチャルマシンも忘れずにご用意ください。 演習では悪意のあるコードも実行します。VMwareによって適切に分離されているとは言え、プロダクションシステムを演習機として使用するのはお奨めしません。 配布ツール
演習用のツールを当日お配りします。上記のハードウェア要件はWindowsバーチャルマシン(受講前に設定しておいてください)を同時に実行するのに十分なメモリおよびディスクスペースを表しています。 最終確認
ご持参いただくノートPCがコースで使用するのに相応しい状態になっているか、以下のチェックリストに沿って確認してください。
|
|||
| 開催予定のないコースは、オンサイト(特設開催)により実施可能です。ご相談ください。 | |||
サイバーセキュリティは組織にとって無視できないテーマであり、攻撃の巧妙さ、組織に与える財務上の影響、信用喪失によるダメージの大きさが増すにつれ、重要度が高まる一方です。Security Essentials(SEC401)コースはセキュリティ実務において必要不可欠な基礎知識が身につく内容ですが、6日間という期間の中に収めた関係で、限られた内容となっている側面もあります。SEC501は、SEC401を発展させたコースです。SEC401と内容が重複すること無く、組織の防御に必要な技術について、より深く掘り下げます。コースの主要テーマは以下の通りです。
キーとなるテーマは、「防御は理想だが、検知は必須」です。出来る限り多くの攻撃を阻止できるよう、自社のセキュリティを改善し続けられる体制づくりが必要であり、防御/保護は、外側と内側のそれぞれで実施されます。組織にとってコンピュータアタックは、データ持ち運びの利便性が高まる中で、ネットワークは穴だらけという状態が続くため、脅威であり続けるでしょう。そこで、重要な情報が堅牢なネットワーク上や携帯デバイス内のいずれかに存在していても、セキュアに保てるようなデータ保護に注力する必要があるのです。
組織が攻撃の阻止に最善を尽くして重要なデータを保護してもなお、全ての攻撃から逃れることはできません。そのため、時宜にかなった方法で攻撃を防御する必要があります。それは、ネットワークトラフィックの流れを理解し、攻撃の兆候を検知することによって初めて可能になります。また、侵害が発生する前にすでに抱えている課題を認識できるよう、自社に対するペネトレーションテストや脆弱性分析も欠かせません。
ひとたび攻撃が検知されたらタイミングを逃さず対応し、フォレンジックを実行します。アタッカーの侵入方法を理解することによって、より効果的で堅牢な防御と検知の方法を自社環境に反映させることができるのです。
SEC401の講義を終え、闘志に燃えて教室を後にする受講生を目にすると、いつも感動を覚えます。最初はセキュリティを勉強することに意義を見出せない様子で困惑気味に教室に入ってきた彼らが、コースを終える頃には所属組織をセキュアにするためになすべきことを理解できた状態になっているのです。しかしながら、その後に受ける質問はいつも決まって、「次にどのコースを受講したらよいか」「どのようなロードマップに沿って進めばよいか」というものです。さて、それはご自身が目指す方向によって異なります。より詳しく追及したい分野は何ですか。境界防御、IDS、OSセキュリティ、それともそれ以外でしょうか。問題は、多くの受講生がひとつの分野に注力すれば許されるという立場にないことです。たいてい、セキュリティに関するあらゆる重要分野のスキルがあることが求められているのです。受講生から、さらに上のレベルの技術的知識を網羅したSEC401の続編を期待する声が多くあがって来ました。SEC501はまさに受講生の声を反映して開発され、その出来には私も非常に満足しています。コアな基礎分野を定着させるのに相応しいと高い評価をいただいているSEC401を踏まえ、その内容は重複させないまま、ネットワーク実務に携わるにあたって必要な確固たるセキュリティ基礎知識を習得できるのがSEC501なのです。
最近のクラスで、ある受講生が駆け寄ってきて私を強くハグし(彼は元フットボール選手だったので、私に抵抗の余地はありませんでした)、こう言いました。「SANSはすごい。私はこの1年間ずっと、自分の仕事にストレスを感じており、組織をセキュアにして成果を出すという当初の夢を失っていた。そんな時、ダメ元でSEC401に参加した。ところがコースが終わると、今までにない希望の光を感じた。まるで自分が子供の頃に戻ったようで、会社に帰って教わった技術を試すのが待ちきれなくなった。でも私の上司は、受講後1週間の間に8回も彼を呼び出し、自分が学んできたすばらしい情報と実践知識を余すところなく伝えまくった私に、怯えてしまったようだ」
私は、何千人もの受講生を教えてきました。このコースを受講すれば、あなたにも同様の成果と興奮が待っていると信じています。ただし、ハグは任意です。念のため。 - Eric Cole
攻撃からネットワークを守るには、強固なネットワークインフラにするための設計、構築、実装からスタートします。Defense In-Depth(多層防御)の実装には多くの要素があるのですが、企業は機能性にばかり気をとられ、見落としがちです。事業推進と情報保護のバランスをとるのは非常に困難な上、組織としては、発生し得るいかなる攻撃からも回復力のあるネットワークを構築しなくてはなりません
コース初日は、攻撃を阻止し、侵害を受けた後に回復可能なネットワークを設計および構築する方法ばかりでなく、既存のネットワークが要件通りの防御レベルに到達するよう改良する方法についても学習します。ただ単にネットワークを構築するだけなら簡単ですが、様々な攻撃に対応して組織のミッションを達成すべく全てのコンポーネントを結合させるには、特別なスキルが必要です。機能性に富んだ安全なネットワークを設計および実装する方法に加え、脅威の動向に従って維持と更新を行う方法についても学習します。
サイバーセキュリティは、マネージやコントロール、および重要な資産に対するリスクを最小限に留めることに尽きます。ほとんど全ての組織において、重要な資産はデータの形で保持されています。顧客リスト、リサーチ計画、知的財産、機密情報、マーケティングプランのいずれであろうと、データは組織のライフラインであり、確実に保護されていなければなりません。境界防御は確かに重要ですが、要塞を築くことばかりにとらわれるのでなく、データそのものの保護にも注力すべきです。なぜなら、ネットワークにはセキュリティホールが増える一方、データは携帯デバイスなどによって持ち運ばれることが多くなってきている、という現状を無視できないからです。
情報は、もはやサーバ上だけにあるのではありません。サーバならば、アクセスを制限すべくアクセスコントロールリストを設定することができ、情報が保護されていますが、強固な防壁の後ろで守られているこうした知的財産は、ノートPCに簡単にコピーできてしまいます(例:ポータブルサーバ)。そして、ファイアウォールもセキュリティデバイスもない、危険なネットワークに接続される可能性もあるのです(例:ホテル、空港、喫茶店)。機密情報への侵害が企業に与える影響ははかりしれないのですから、データがどこにあろうと保護できなければなりません。
堅牢な境界防御を構築することが第一ステップなのは言うまでもありませんが、重要なデータを失わないよう、保護およびコントロールすることも、強固な防御手法構築におけるもう1つの重要なステップです。先を見越したセキュリティ対策によって、重要な情報を確実に保護し、その露出も最小限にとどめることができるのです。
「防御は理想だが、検知は必須」。これは、セキュリティのプロにとって重要なモットーです。組織は常にできるだけ多くの攻撃を阻止することを目指していますが、それでもなおネットワークに忍び込む者がいます。攻撃が防御できなかった場合、セキュリティのプロは攻撃の兆候を察知して警告を発し、攻撃による深刻な被害が発生する前にその所在を突き止めます。パケット分析と侵入検知はタイミング良く攻撃を検知するための核となるテクニックです。攻撃を検知するだけでなく、今後、こうした攻撃を確実に阻止できるような対応をする必要があります。
攻撃全体が変化している影響で、その検知はますます困難になっています。最近の攻撃はステルス型が増え、発見しづらくなっているのが特徴です。スキルのあるアナリストとして通常のトラフィックと攻撃されたそれを見分けられるようになるには、トラフィック分析の中核となる原則を理解するしかありません。それでも新種の攻撃は常に生まれます。セキュリティのプロは、進化したゼロデイ攻撃を検知できるような規則を策定し、ネットワークが侵害される前に対処できるようにしなければなりません。
セキュリティは、組織の重要な資産に対するリスクについて、理解し、緩和し、コントロールすることに尽きます。そこで、組織としては脅威の全体像の推移を理解し、自社のネットワークが侵害される糸口となりそうな脆弱性と比較しなければなりません。しかしこの作業は決して容易ではないどころか、困難になる一方です。脅威はおそるべきスピードで進化を続けているし、組織は非常に複雑化しているからです。コースの4日目は、組織に対して実行可能な様々なテストについて学習し、効果的なペネトレーションテストを実際に行います。
基本的な脆弱性を見つけるのは簡単ですが、アタッカーによるシステム侵入の用に供するものでない場合は、あまり効果がありません。高度なペネトレーションテストにあたっては、ネットワーク上の様々なシステムやアプリケーションについて知り、どのようにアタッカーが侵害してくる可能性があるか、理解している必要があります。外部および内部ペネトレーションテスト、およびブラックボックステスト、グレイボックステスト、ホワイトボックステストの手法について学習します。
ペネトレーションテストは、組織が外部にさらしているものを識別できる重要なテストですが、組織全体のセキュリティを向上させるために、こうした脆弱性に対処する優先順位を決めるスキルも重要になります。
インターネットに接続している組織はみな、攻撃を受ける可能性があります。堅牢なネットワーク設計、適切な予防策、ペネトレーションテストによる脆弱性の発見といったことにどんなに心血を注いでいても、攻撃されることはあります。こうした事態に陥った場合に備えて、識別、分析、レスポンスこそが重要なのです。
セキュリティのプロは、インシデントレスポンス、事象の分析、早急な復旧作業について理解している必要があります。5日目は、インシデントレスポンスについて実績のある6段階のプロセス – 準備、識別、封じ込め、根絶、回復、教訓による手順を習得します。サイバーインシデントは火事のようなものです。インシデントの検知が早ければ早いほど対処が楽な上、被る損害も少なくて済みます。よって、迅速なレスポンスは侵入分析に次ぐキーポイントなのです。
インシデントレスポンスのもう1つのキーポイントは、フォレンジック分析および検知です。実習で、実際にフォレンジック調査を行い、攻撃の兆候を見つけます。ここで得られた情報はインシデントレスポンスのプロセスに吸収され、同じ攻撃が今後発生しても確実に阻止できるようになるでしょう。
セキュリティのプロが先を見越したセキュリティ手法をどんどん構築し続けるため、アタッカーの手法もそれに従って発展し続けています。アタッカーができるだけ多くのシステムを狙い、コントロールし、侵入するにあたって採用するのはマルウェアです。そこで、目下入手可能なマルウェアの種類やシステム悪用の手法について、これからのトレンドを理解することが重要です。こうした知識をもとにシステム上のマルウェアを分析、防御、検知する方法を習得し、組織への影響を最小限に留めることができるのです。
Copyright (C) 2005-2010 SANS JAPAN Project All Rights Reserved.