Industrial Control Systems 410

ICS/SCADA Security Essentials
 

日程 2019年2月18日(月)~22日(金) 5日間
講義時間 9:30 ~17:30
会場 秋葉原UDX 6階 MAP
講師 Paul A. Henry(SANS認定インストラクター)>> 講師プロフィール
定員 40名 英語教材・同時通訳
CPEポイント 30 point
受講料 早期割引価格 670,000円(税抜) 通常価格:710,000円(税抜)
オプション GIAC試験 90,000円(税抜)
OnDemand 90,000円(税抜)
NetWars Continuous 145,000円(税抜)
2019年2月21日(木)~22日(金)開催 DFIR NetWars Tournament 無料
お申し込み

受講に必要なPC環境

演習で使用するノートPCをご持参下さい。受講に必要なPC環境についてご確認ください。

ICS410 PC設定詳細
本コースは、講義と演習を行います。ラボセッションでは、インストラクターが提示する環境を使って、コース全体を通して習得した知識を駆使して実践的に学んでいただきます。受講生ご自身にツールをインストールして設定を行っていただき、実際に使用することで、今まで学んできた技術を演習によって確認することができます。

注意:実習のためのツール類をインストールすることによって、一部システムの動作に支障をきたす可能性があります。SANSではデータの破損や読み書きに関して責任をとることはできませんので、重要なデータが格納されてsいるノートPCでの実習はお控えください。

注意:受講生は、OSおよびすべてのインストールされているセキュリティソフトウェアへアクセスするための管理者権限が必要になります。ラボでの演習を行うために、パーソナルファイアウォールとその他のホスト型のセキュリティソフトウェアの設定を変更する必要があります。

ノートパソコンのハードウェア要件
  • 64ビットをサポートするCPU/OS
  • BIOSでの64ビット仮想化の有効化
  • 少なくとも8GB以上のRAM
  • 少なくとも50GB以上のハードドライブの空き容量
  • 少なくとも1つのUSBポート

ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)。

ノートパソコンのソフトウェア要件
  • VMware Player 12以上、VMware Workstation 12以上またはVWware Fusion 8以上のバージョンのインストール
  • ノートパソコン上の全てのセキュリティソフトウェア(ウイルス対策ソフト、ファイアウォールなど)を無効にできる管理者権限
  • Linuxを利用する場合はExFATファイルシステムのドライバ

SANS Secure Japan 2019

2月18日(月)~23日(土)

2月18日(月)~22日(金)

2月25日(月)~3月2日(土)

2月21日(木)~22日(金)

 

コース概要

SANSは、国の重要インフラを守るために必要なサイバーセキュリティのスキルを、セキュリティプロフェッショナルと制御システムエンジニアに習得してもらうため、産業界のリーダーたちと協力して活動を行っています。本コースは、産業分野におけるサイバーセキュリティ専門家向けの標準的な基礎知識とスキルを身につけていただくコースです。産業用制御システムの保守に関わっている方が、運用している環境を安全かつセキュアに、そして既知の脅威や新しいサイバー攻撃に対抗できるように訓練することに焦点をあててカリキュラムが組み立てられています。

本コースでは次のことを身につけていただきます。

  1. 産業用制御システムのコンポーネント、目的、デプロイメント、重要なドライバー、制約条件の理解
  2. ラボセッションによる制御システムへの攻撃対象領域への理解や、攻撃手法、攻撃ツールの体験
  3. 制御システム分野におけるシステムとネットワーク防御のアーキテクチャ、アプローチ方法
  4. 制御システム環境におけるインシデントレスポンス能力
  5. 産業用制御システムのサイバーセキュリティ専門家に向けたガバナンスモデルとリソース

本コースを検討するにあたり、重要インフラ分野における最も高いリスクとニーズを調査しました。日々、制御システムをサポートする上で必要とされる幅広い業務の中で、真に必要となるセキュリティの原則を注意深く検討しました。SANSで実施する他のコースは、特定のスキルを身につけることが求められている高度なレベルにあるセキュリティ専門家に向けたものです。たとえば、システムに対するペネトレーションテスト、脆弱性分析、マルウェア解析、フォレンジック、セキュアコーディング、レッドチームトレーニングなどを学習するコースがあります。これらの大半のコースが、実際に重要インフラの制御システムを運用する方や管理、設計、実装、監視そして統合する方向けに作られていません。

産業用制御システムに携わるエンジニアの特徴として、多くのエンジニアが大量の機器の機能とリスクを完全に理解しているわけではないことが挙げられます。また、通信とネットワークセキュリティを担当するITサポート部門は、システムで使用しているドライバーとその制約条件を常に把握しているわけではありません。本コースは、従来のIT担当者が、制御システムの設計思想と制御システムに対してどのように可用性と完全性を維持・運用すればよいかを、十分に理解できるように作られています。また、制御システムエンジニアと運用担当者の方々がサイバーセキュリティにおいて担う重要な役割を理解してもらえるようなコースを設計しています。制御システムの設計と構築についてサイバーセキュリティの考え方を取り入れることで、システムのライフサイクル全体に渡って、システムの信頼性と同じレベルでサイバーセキュリティを維持する方法を学びます。

このように異なるグループの専門家がこのコースを修了すると、サイバーセキュリティに関する重要性を理解した上で評価を行えるようになり、産業用制御システムをセキュアにするような共通言語を使うことができるようになるでしょう。本コースは、サイバーセキュリティ・アウェアネス(気づき)を与える訓練でもあり、制御システムのインフォメーション・テクノロジーとオペレーショナル・テクノロジー(IT/OT)サポートを行っているプロフェッショナルの方々が、サイバーセキュリティから引き起こされる物理的影響を理解する意味でも有用なコースです。

コースコンテンツの重複に関する注意事項

ICS410とSEC401の教材は重複する部分がありますので、ICS/SCADA環境のセキュリティに関心がある方はICS410を、一般的な情報セキュリティに関心がある方はSEC401を受講されることをお勧めします。

本講座受講にあたっての前提

コース参加者は、ネットワークとシステム管理の基礎について理解している必要があります。具体的にはTCP/IP、ネットワークの設計・アーキテクチャ、脆弱性評価、リスク分析に関する方法論です。本コースでは情報セキュリティの多くのコアとなる分野をカバーしています。この分野に関してまったく触れたことがない、背景となる知識がないという方にはSEC301:Intro to Information Securityというコースがありますので、ここから始めることをお勧めします。SEC301の受講は必要な前提条件ではありませんが、本コースでの学習効果を最大限に高める入門知識を提供するコースになっています。

受講対象者

本コースは産業システム業界で働いている方や産業システム業界の方と対話をされる方、もしくは産業用制御システムに関与する可能性のある方向けに作られたコースです。対象者には、アセットオーナー、ベンダー、インテグレーター、その他サードパーティの方も含まれます。主な対象者は次の4つのドメインに関係する方になります。

  • IT(オペレーショナル・テクノロジー・サポート含む)
  • ITセキュリティ(オペレーショナル・テクノロジー・セキュリティ含む)
  • エンジニアリング
  • 企業、業界、専門家のスタンダード

受講内容

  • ICSの歴史
  • ICSの概要
  • ICSアプリケーション概要
  • 産業モデル
  • HMIへの攻撃
  • 制御サーバーへの攻撃
  • ネットワーク通信への攻撃
  • 遠隔装置への攻撃
  • ICSサーバーとICSワークステーションのテクノロジー
  • ICSサーバーOS
  • ICSシステムのハードニング   など
コース開発者より

本コースでは、産業用制御システムの環境において、サイバーセキュリティの業務を行うために不可欠なものを学習します。産業システム業界で数年間働いた後に、エンジニアがサイバーセキュリティのスキルを取得するのと、サイバーセキュリティのエキスパートが産業システム業界の原則を身につけるのとでは、スキルセットにはギャップがあると考えるに到りました。また、産業用制御システムにおけるIT/OTの線引きは、今日では非常にあいまいになってきています。そのため、システムをサポートしている方や実際に使用している方など、さまざまなグループ間で共通の理解をする必要性が高まってきています。学習者の方々には本コースで、広範囲に渡る産業分野とアプリケーションに関する産業用制御セキュリティの専門用語、基本となる理論、基本的なツールを学んでいただきます。 - Eric Cole, Eric Cornelius, and Justin Searle

  • Day 1
  • Day 2
  • Day 3
  • Day 4
  • Day 5
Day 1

ICS Overview

1日目は、産業用制御システムをサイバーフィジカルに運用するために重要となる考慮事項や共通言語を理解します。各受講生には、プログラマブルロジックコントローラ(PLC)のハードウェアが配付され、クラスで物理的なインプットとアウトプットをプラグラムし、オペレータインタフェースやHMIにマッピングします。このハードウェアを使用することにより、ICSの運用に必要な特定の安全保護や通信ニーズ、システム管理アプローチ、サイバーセキュリティの実装を推進または制限する要因を理解し、サイバーとフィジカルの知識を得ることができます。また、さまざまな役割を担う受講生のために、基本的な用語やアーキテクチャ、方法論、デバイスはすべて共通の言語を使用します。

トピック

Global Industrial Cybersecurity Professional (GICSP)の概要
ICSの概要
  • プロセスと役割
  • 産業
フィールドコンポーネント
  • リアルタイムオペレーティングシステム
プログラミングコントローラー
  • 演習:PLCのプログラミング
スーパーバイザリーコンポーネント
  • 特殊なアプリケーション
  • マスターサーバ
  • 演習: HMIのプログラミング
ICSシステムの種類
  • DCSとSCADA
ITとICSの違い
  • ICSのライフサイクルの課題
物理セキュリティ
ICSネットワークアーキテクチャ
  • ネットワークモデル
  • 設計の例
  • 演習:安全なDCSの設計
Day 2

ICS Attack Surface

ICS環境を攻撃するアプローチを知っている場合、環境を守るための準備をした方がよいでしょう。ICS環境内には多くの攻撃経路が存在し、これまでのITシステムに類似するものもあれば、ICS固有のものもあります。2日目は防御側として、特定の攻撃経路が存在する場所や脆弱性を発見し悪用するために使用されるツールを理解します。また、各受講生は、脆弱なターゲット仮想マシンを使用し、多くのICSデバイスにおいて管理目的で使用されるWebサーバーを対象とした攻撃を理解します。演習では、認証されていないICSプロトコルに対して攻撃を行い、さまざまなデータサンプルを使用して、リモートデバイス上の攻撃経路を調べます。

トピック

ICSの攻撃対象領域
  • 演習:情報漏えい
HMIとUIへの攻撃
  • SamuraiSTFUの紹介
  • 演習:パスワードのファジング
  • Web攻撃
  • 演習:SQLインジェクションによる認証のバイパス
コントロールサーバへの攻撃
ネットワーク通信への攻撃
  • 演習:Modbusのスプーフィング
リモートデバイスへの攻撃
  • 演習: ファームウェアの分析
  • ファームウェアの攻撃
Day 3

Defending ICS Servers and Workstations

3日目は、ICS関連のサーバやワークステーションオペレーティングシステムの機能、実装アプローチ、システム管理手法を学びます。これらのホストへの攻撃を監視し、強化する方法を理解するために、WindowsとLinuxベースの仮想マシンの両方を使用します。また、システムのハードニングやログ管理、監視、アラート、監査などのICSシステムに役立つ概念を確認し、複数の業界のICS環境で使用される共通のアプリケーションやデータベースの一部を見ていきます。

トピック

WindowsのICS
Linux/UnixのICS
アップデートとパッチ適用
プロセスとサービス
ハードニング構成
  • 演習: Bastille Linux
エンドポイント保護
  • 演習:ファイアウォール
自動化と監査
  • 演習:Powershell
ログ管理
  • 演習: Windowsログ
データベースとヒストリアン
Day 4

Defending ICS Networks and Devices

4日目は、ICSの環境や存在する攻撃経路及びサーバやワークステーション、アプリケーションで使用できる防御側の機能を理解した上で、ネットワーク特有の防御手法を学びます。最初に、ICS環境で使用される共通のITプロトコルとネットワークコンポーネントを確認し、ICS特有のプロトコルとデバイスについて理解します。ICSネットワークを守る際に使用する技術は、実装アプローチとともにレビューします。受講生はICSトラフィックを分析する技術を学び、次に演習環境で行われる一連の段階的な敵対行動を調査するためにいくつかのツールを使用します。

トピック

ネットワークの基礎
イーサネット
TCP/IPプロトコルスイート
ICSプロトコル over TCP/IP
  • 演習:ネットワークキャプチャ分析
デバイスの禁止区域
  • ファイアウォール
  • 一方向ゲートウェイ
ハニーポット
無線制御システム
  • サテライトプロトコル
  • メッシュプロトコル
  • BluetoothとWiFi
  • 防御
演習:ネットワークキャプチャフォレンジック
フィールドとプラントエリアの設備
暗号基礎
Day 5

ICS Governance and Resources

5日目は、重要なICSシステムを保護するにあたり、何をすべきか管理する際に使用される様々なモデル、方法論、および業界特有の規制について学びます。リスクアセスメント、災害復旧、ビジネスインパクト分析、コンティンジェンシープランを考慮する重要なビジネスプロセスをICS環境の観点から検討します。最終日、受講生は攻撃を受けているICS環境のインシデント対応訓練に参加します。この訓練では、コースを通して学んだ主要な事項を結びつけ、受講生同士で再検討するシナリオを提供します。具体的なインシデントレスポンスの役割と責任を考え、インシデントレスポンスのサイクルを通じて防御側の行動を検討します。これにより、受講生は複数の業界に有用なさまざまな力を付けることとなり、重要なICSに焦点を当てたプロフェッショナル認定資格であるGICSPへの準備が整います。

トピック

情報保証の基礎
  • データ分類
  • 多層防御
セキュリティポリシー
  • ポリシー階層
  • ポリシーガバナンス
緊急時対応計画と事業継続計画
リスク評価とリスク監査
  • リスクガバナンス
  • リスクの計算
演習: アタックツリー分析
パスワード管理
インシデントハンドリング
  • 6つのステップ
  • 机上訓練
演習:インシデントレスポンス
リソース

本サイトに記載されている、各会社名、各製品名は、各社の商標または登録商標です。