コースコード:SN375

CSIRT強化トレーニング マルウェア感染対応編

コース概要

マシン実習
クラウド実習環境(コース期間中のみ利用可)

疑似マルウェアプログラムを用いたセキュリティインシデント調査体験演習です。限られた条件下での、疑似マルウェアの表層解析を中心に、状況把握のためのヒアリング、感染原因の調査、恒久対策をグループで検討します。

受講料 

88,000円(税込)/80,000円(税抜)

開始日(申込締切前)

遠隔ライブ 8/24、10/18、12/20、2/24

講習日数

1日間

講師からのメッセージ

疑似マルウェアの動作を明らかにしてください。しかし、使用できるツールは限られています。ヒアリングを通じて得た情報や、攻撃者の立場に立って想像力を働かせてください。また、ヒアリングでは講師が調査依頼元の顧客役を演じます。うまく情報を引き出せれば効率よく解析が行えるかもしれません。また、原因調査・対策検討をする際には視野を広く持つことが必要です。これは、単なるマルウェア感染インシデントでしょうか…。

到達目標

  • ・ インシデント発生時の事実確認、状況把握のために、関係者に対するヒアリング項目を挙げることができ、適切な初動提案、調査シナリオの作成をおこなうことができる。
  • ・ 原因究明、フォレンジックのために必要な情報を選定できる。
  • ・ 解析ツールを駆使し基本的なマルウェア解析ができる。
  • ・ セキュリティインシデントの恒久的対策立案の考え方が説明でき、サービス・製品の導入、運用改善などの対策立案の支援ができる。
  • ・ (以下のようなスキル修得を含む)
  • ・ インシデント対応スキル(主にCSIRTにおけるハンドラー、インベスティゲータ、フォレンジック担当に該当するスキル)
  • ・ 関係者に対するヒアリングスキル
  • ・ ログ解析スキル、マルウェア解析スキル

前提知識

以下のいずれかのコースを修了、または同等知識をお持ちの方。
・「インターネットセキュリティ技術」
・「インターネットセキュリティ技術(実習編)」

また、以下の知識をお持ちでであれば尚可。
・組織における情報システム、ネットワーク運用管理経験
・Windowsアプリケーション開発経験

研修コースマップ

セキュリティ

  • CSIRT向け

コース内容

1日目
AM
1.インシデント対応について
・インシデント対応の考え方および流れ
2.インシデントの状況確認について
・インシデント検知後の事実確認・状況把握フェーズの考え方、留意点
3.マルウェア解析について
・マルウェアの機能と動作
・解析方法、解析ツール
4.演習1
・インシデントの検知連絡の受けつけ
 ヒアリングの実施
 ヒアリング結果を踏まえた初動方針、調査シナリオの策定
PM
5.演習2
・アーティファクト分析
 マルウェア検体の解析、エビデンス調査
6.再発防止策について
・再発防止策の考え方について
7.演習3
・インシデントに対する復旧策、恒久的対策立案

留意事項・備考

・カリキュラムについては、変更になる場合があります。


■会場名が「遠隔ライブ研修」となっているコースについて■

<■遠隔ライブ研修受講にあたっては、事前の準備が必須となります。>
 
お申込みの前に、事前準備をご確認ください。また、ご受講の際は、必ず研修開始前までにご準備ください。

◎事前準備

◆遠隔ツール :Zoom
Zoomに関する準備手順は、Zoom受講マニュアルよりご確認ください。

◆教材 :電子教材
 当日配布いたします。

◆グループワーク:あり
 ワークを円滑に進めるため、カメラのオンを推奨します。
 グループワークは、他の受講者とのディスカッションを中心に進めます。会話に支障のない場所でご受講ください。

◆マシン実習 :クラウド実習
 受講の際、お手持ちのパソコン(Windows10またはMac OS)からクラウド実習環境へ接続いただきます。
 クラウド環境接続確認手順をご確認ください。また、ご受講の際は、必ず研修開始前までにご準備ください。

◆資料配布:OneDrive
 本コースは研修内でOneDriveへのアクセスが必要となります。
 ご受講の際は
OneDrive(テストフォルダ)へのアクセスが可能かどうかご確認ください。

◆追加モニター(※オプション)
 研修中は、講義解説のZoom画面、電子テキスト、演習時の実機操作画面など複数画面を切り替えながら作業します。そのため、追加モニターをご用意いただくことをお勧めしております。


■情報処理安全確保支援士 特定講習として受講の方へ■

 本講習会は、「特定講習」として認められています。

 情報処理安全確保支援士の資格維持のために受講される方も、通常通りお申込みください。
 なお、下記すべてが特定講習の要件となりますので必ずご確認ください。

 (1)事前申告
    ご受講前に、事前申告が必要です。
    申し込み後、ご受講の5日前までにお送りする受講案内にて
    事前アンケートURLをお送りします。必ず事前申告をお願いします。
    必要情報は、お名前、支援士登録番号、メールアドレスです。


 (2)研修開始前の受付
    研修当日はご本人確認のために、受付をおこないます。
    以下2点をご用意いただき、カメラ付きの端末から接続ください。

   ①顔写真入り身分証明書(有効期限内のもの)
    ・氏名、顔写真以外の箇所は、見えないように付箋紙等でマスキングしてあってもかまいません。
   ②名前と登録番号の対応がわかる書類等(以下のいずれか)
    ・情報処理安全確保支援士 登録証
    ・オンライン講習の修了証
    ・支援士検索サービス(https://riss.ipa.go.jp/)に
     お名前を公開されている方は、その場での検索表示でも可
     (検索サービス停止日のご受講は書類をご用意ください)

    研修開始の30分前からお一人ずつ順次おこないますので
    早めのZoom接続をお願いいたします。


 (3)特定講習の修了認定基準について
    特定講習には、修了認定基準が設けられています。
  出席率3/4以上 かつ、講習ごとに定められた3項目を総合的に審査して修了の認否を決定いたします。
 
■CSIRT強化トレーニング マルウェア感染対応編
   ①グループ作業およびディスカッションへの参加度合い(発言状況、関与度)
   ②各実習課題への回答が正しい解釈で合理的な内容となっているか
   ③実習中の講師による進捗、取組み状況、課題、方針などの確認に対する回答が妥当性を有しているか
  
なお、ご不明な点がございましたら、事前に問い合わせください。

リコメンド

「CSIRT強化トレーニング マルウェア感染対応編」コースを申込んだ人は、こんなコースも申し込んでいます。

開催スケジュール詳細・お申込

「カートに追加」欄の追加をクリックすると、web申込が可能です。
申込期限およびキャンセル期限は、各締切日の16:30です。

◎・・・6名様以上、空いております。
○・・・1~5名様の空きがございます。
△・・・キャンセル待ちとなります。(ただし、備考欄に注記がある場合はキャンセル待ちではありませんので、注記をご参照ください)
空席状況は定期的に更新しています。◎○でも、既に満席の場合はご了承下さい。詳細な空席状況は研修申込センターにお問い合せください。

[スケジュール更新日付:2021年07月26日]

地区 開催番号 会場名 開始日~終了日 日数 講習時間 申込締切日 空席
状況
備考 カートに追加
キャンセル締切日
遠隔ライブ SN375204K 遠隔ライブ研修 2021/08/24~
2021/08/24
1日間 09:30~
17:00
2021/08/18 追加
2021/08/18
SN375701K 遠隔ライブ研修 2021/10/18~
2021/10/18
1日間 09:30~
17:00
2021/10/12 追加
2021/10/12
SN375702K 遠隔ライブ研修 2021/12/20~
2021/12/20
1日間 09:30~
17:00
2021/12/14 追加
2021/12/14
SN375703K 遠隔ライブ研修 2022/02/24~
2022/02/24
1日間 09:30~
17:00
2022/02/17 追加
2022/02/17