デジタル人材の育成
公開日:2024年4月8日
最終更新日:2024年6月3日
社会基盤のIT化が進むとともにサイバー攻撃は深刻度を増しています。脅威解析クラスはその名の通り、サイバー攻撃者によってもたらされる脅威を解析し、得られた知見をもとに対策を生み出すためのクラスです。従来、これらの作業はハッカーの持つ職人芸に支えられてきましたが、近年はツールやマニュアルの普及に伴い、体系的なプロセスとして標準化され始めています。そのためある程度スキルを持った人材であれば比較的気軽に触れることができる技術となりました。しかし、医療体制が発展しても医師の存在が欠かせないように、サイバー攻撃の脅威に対する意思決定には常に高いスキルを持った人材が介在する必要があります。本クラスでは既定のプロセスを鵜呑みにせず、自力で脅威の本質を見極め、対策を行える高度な人材の育成を目指します。またこのような人材が将来、自身のスキルを標準化しプロセスの一部として社会に還元できるようになることを願います。
講師には、サイバー攻撃対応の最前線で活躍する技術者に加え、サイバー攻撃対策の未来を拓く研究者を招き、実践的かつ体系化されたサイバー攻撃対策技術の講義・演習を提供します。
講師陣に負けないサイバーセキュリティへの熱意を持った方からの応募をお待ちしております。
8月13日(火曜日) 8時30分~12時30分
高度な攻撃グループが行う攻撃を未然に防いだり、類似した攻撃を受けないようにするためには、攻撃グループや攻撃手法について様々な情報を収集・分析し、予防・検知に役立てる技術「脅威インテリジェンス」が重要となります。攻撃グループが利用する攻撃手法をなどを分析し、分析・作成した脅威インテリジェンスを組織内外に共有することにより、早期警戒を促すことも可能です。
一方、攻撃手法の分析といえば、マルウェア解析、脆弱性分析、フォレンジック分析などが思い浮かぶかもしれませんが、分析から得られた情報をどのように予防・検知に役立てていくべきでしょうか?本講義では、マルウェア解析・フォレンジック分析などで判明した情報を前提として、MITRE ATT&CKフレームワークなどを活用し、攻撃グループが利用した攻撃手法を分析し、攻撃者の攻撃プロセスを理解するとともに、予防・検知に役立つIOC(Indicator of Compromise)の作成技法、脅威ハンティング(Threat Hunting)や侵入テストへの応用、Detection Engineeringへの応用、対策手法の検討などについて取り組みます。
8月13日(火曜日) 13時30分~17時30分
脆弱性診断やペネトレーションテストで使われる技術のひとつにポートスキャンがあります。セキュリティエンジニアがネットワークやインフラに対するネットワーク診断やペネトレーションテストを行う際には最初にポートスキャンを行います。開いているポートがあれば、何かおもしろい情報が返ってこないか確認し、古いミドルウェアが動いていることが分かれば、脆弱性情報を調べて攻撃を試行します。
事前課題では、攻撃者が実際に行う攻撃の流れや、DockerやPythonの使い方を学びます。
講義では、ポートスキャナを自作し、動作原理について理解を深めた後、ARPスプーフィングを行うexploitを作成する演習を行います。
パケットを自由に操作できるようになっておくことや、PoC(Proof of Concept)のコードを素早く実装できることは、ペンテストに必要なスキルです。
例えば、Nmapに実装されていない特殊なプロトコルで通信するソフトウェアの脆弱性を調査したい場合は、プロトコルの仕様に従ったパケットで通信するためのツールを自作する必要があります。このような理由から本講義では、ポートスキャナ、ARPスプーフィングを行うexploitの自作を行います。
注釈:講義中に実物のカワウソと触れ合うことはできません。
8月14日(水曜日) 8時30分~12時30分
本講義では,ソフトウェアの開発プロセスも含めセキュリティに影響を与える意志決定を導く視点を得ることを目的として,情報システムに起きうる可能性がある脅威を事前に考察し,情報システムに潜在する欠陥を見つけ,欠陥による良く無い影響を軽減する「脅威モデリング」と呼ばれるプロセスについて学びます.脅威モデリングの概念と基本的考え方,手法を理解することと,実際にハンズオンにより具体的な情報システムのモデル化や脅威の特定を行い,脅威の軽減化までを体験する演習を行います.大規模であり複雑になった現在の情報システムはその中に含まれてしまう脆弱性を決してゼロにすることができず,私たちは設計や運用においても100パーセント正しい判断をすることができません.つまり,情報システムが受け得る攻撃について事前に考察し予め脅威を軽減しておく脅威モデリングは情報システムをセキュアにするために重要なプロセスです.
8月14日(水曜日) 13時30分~17時30分
近年Exploitation周辺の技術は複雑化・多様化の一途を辿っています。例えばCPUには命令セットとしてARMやRISC-Vが普及しはじめ、脆弱性への攻撃を緩和する機能なども次々に導入されています。全ての技術について精通している必要はもちろんありませんが、新しい技術にいつどこで出会うかはわかりません。この講義ではExploitationという観点から議論したり実際に攻撃したりすることで、新しい技術に適応できる汎用的な考え方を身につけていきます。
8月15日(木曜日) 8時30分~12時30分
情報セキュリティにおける「インシデントレスポンス」とは、マルウェア感染や攻撃者による侵害などの「インシデント」が発生した場合に行う一連の対応を意味します。広義には関連ガイドラインやポリシーの策定、復旧、事後の振り返りなどを含みますが、本講義では技術的、直接的な「対応」フェーズを取り扱います。
具体的には、ログ分析やコンピュータフォレンジック、マルウェア解析といった技術を用いて、攻撃者がどのような手段を用い、その結果どのような影響が生じたのかを追跡する方法を学びます。
適切なインシデントレスポンスを行うことで、インシデントの原因や経緯、影響を早期に把握し、対策にフィードバックすることが可能になります。また、インシデントレスポンスを通して攻撃者の手口を学ぶことは、平時におけるセキュリティ対策の策定や運用にも役立ちます。
この講義では、仮想的なインシデントが発生した疑似企業環境のデータを用いて、CTF形式で問題を解き進め、最終的にインシデントの全容を把握することを目指します。調査に必要な知識やツール類の使い方は基本的に事前課題で学びます。
8月15日(木曜日) 13時30分~17時30分
本講義では、実践的なスキルを身につけることを目的として、マルウェア解析をハンズオン形式で演習します。マルウェア解析では、実装された永続化メカニズムやC2接続などの機能を明らかにすることが必要になってきますが、難読化や暗号化、耐解析機能といった、解析作業を困難にする要素が多く含まれています。実務におけるマルウェア解析と同じ手順で、実際に用いられるマルウェアの解析手法を学びます。