デジタル人材の育成
本講義では、攻撃者の思考・感情・判断基準に関する深い理解を受講者に与えることにより、ベストプラクティスの確立されていない領域においても攻撃者目線で脅威分析を行い、自らセキュリティ対策を立案できる人材の育成を目指します。
【前半(講師:白石)】攻撃者の視点を知る(2時間)
架空の組織に対して行われるサイバー攻撃の一連のプロセスを解説することにより、受講生が攻撃者の視点で物事を評価するスキルを身に着けることを支援します。
セキュリティエンジニアを目指す人にとって、単体のセキュリティ技術あるいはトレンドとなる攻撃技術について学ぶ機会は多くあり、良質なコンテンツに個人が自由にアクセスできる時代になりました。しかし、個々のセキュリティ技術や攻撃手法を理解することと、攻撃者の思考や感情を理解することには大きな違いがあります。ほとんどの人にとって、現実世界に対してサイバー攻撃を実施し、攻撃者の見る世界を肌で感じる機会はごく限られています。
本講義は、講師が従事するサイバー攻撃シミュレーションサービス「レッドチーム演習」での経験に基づいています。業種やIT環境の異なる多様な組織に対するサイバー攻撃シミュレーションの経験を元に、Windows/macOS/クラウド/AV・EDR/マルウェア/MFA/物理侵入/ソーシャルエンジニアリングなど多様な切り口から、組織に対するサイバー攻撃がどのように行われていくのかを解説します。その目的は、研究やリサーチだけでは得られない、実体験に基づくナレッジを可能な限り共有することにより、攻撃者の思考、感情、判断基準、マインドセットを受講者に理解してもらうことです。
本講義を通じて、開発するプロダクトやそこで利用するテクノロジに関わらず、あらゆる環境に適用可能な「攻撃者が何を狙うかを自ら考える力」を体得することにより、広くITに関わるすべての受講者に、セキュリティを意識した業務を行なうための地図を提供することを目指します。
【後半(講師:末澤)】攻撃者の視点を対策に活かす(2時間)
前半で学んだ攻撃者の考え方をどのように対策として活かせるかを、実際に脅威分析や対策(防御・監視)を行う立場から解説します。
セキュリティ業界では、様々な対策方法・ベストプラクティス・フレームワークが提唱されていますが、攻撃者の視点から見ることで足りないポイントを見つけることが出来ますし、そもそも未成熟な領域も多く残っています。
講師は、この10年で普及してきた"ゼロトラスト"、"CI/CD"、 "クラウド"などを用いる、成熟したベストプラクティスの確立していないようなIT環境・プロダクション環境で働いてきました。
本講義では、そういった未成熟な環境における開発プロセスに対して攻撃者の視点を適用することで、どういった攻撃が可能であり何がセキュリティ対策になるのか、脅威分析および攻撃・対策をハンズオン形式で実践しながら、現状の限界も含めて理解していきます。最終的に、受講者が企業や今後の世の中をセキュアにしていくための力を身につけることを目指します。
本講義では、コンテナ型仮想化やクラウド環境などのインフラセキュリティに関する考え方や知識の習得を目的としています。
Linux コンテナや、その実行基盤である Kubernetes などの仕組みについて学び、そのセキュリティについても学んでいきます。また、実際の運用を見据えたセキュリティとして、それらの環境における予防的統制(防御)と発見的統制(検知)の考え方を学び、実装してもらいます。IaC の解析やカスタムコントローラー、eBPF によるモニタリングなどについて紹介する予定です。
本講義では、Webサービスにおける認証とID連携の技術と実装について学びます。
SMSやメールを利用したパスワードレス認証や端末を利用したFIDOによる認証などが普及し始め、従来のパスワードによる認証が置き換わりつつあります。
また、サービスごとに認証システムを自独実装しなくともID連携技術を用いたソーシャルログインによってユーザーのID管理の負担を減らすこともできるようになってきています。それらのID技術を取り巻く状況に加えて、FIDO、WebAuthn、Passkeyといった最新の認証技術や、多くのサービスで普及しているOpenID Connect(OAuth 2.0)のID連携技術をご紹介します。
また、座学に加えてハンズオン形式で実際にWebアプリケーションのプログラムに触れながら認証・認可技術の実装の注意点やセキュリティー対策についての解説を行います。(実装する技術やプログラミング言語についての詳細は後日公開)
プロダクトを通じて価値を提供することは、複数のステークホルダーが絡む不確実性に向き合うことを意味します。
不確実性は、内的・外的に関わらず絶え間なく変化し続け、その変化の幅・スピードはあがるばかりです。
また、マルチプロダクトから始まる新興プロダクトも近年では見られるようになってきています。
プロダクトを支えるにあたって、プロダクトにおける情報セキュリティも原則に従いつつ、常に最善手を変化させていく必要があります。
本講義では、プロダクトの価値を確保するにあたって取り組むべき要素や、変化し続けるにあたってみるべき姿勢・指標をハンズオン等で提供したいと思います。
脆弱性を見つける上で、ソースコード解析のスキルがあれば実装を理解したうえで効率的な脆弱性調査が可能です。
また、脆弱性の原因となった実装について分析することで、開発時にそのような脆弱性を作り込まないよう活かすことが可能です。
本講義では手動のソースコード解析に加えて、CodeQL等の静的解析ツールをOSSのWebアプリケーションに用いることで、脆弱性の検出を効率的に行う方法をハンズオン形式で学びます。
情報セキュリティの分野でも、いままで人が作業していたようなことをソフトウェアの力を使って置き換えるようなエンジニアリングの動きが近年広がっています。その一つとして、組織やチームで定めたポリシーにしたがって判断をしたり、ポリシーに準拠しているかのチェックをコード化によって機械的に実施する「Policy as Code」という考え方があります。この講義では「Policy as Code」がどのような取り組みなのか、具体的にどのようなことができるのかについて実例とともに紹介していきます。また、Policy as Codeの分野で注目されている実装のOpen Policy Agent(OPA)とその記述言語であるRegoについても簡単に紹介し、実際にポリシーをコードで記述するハンズオンまで実施したいと思います。
2024年4月8日
URLを変更しました