コースコード:SN375

CSIRT強化トレーニング マルウェア感染対応編

コース概要

マシン実習
クラウド実習環境(コース期間中のみ利用可)

疑似マルウェアプログラムを用いたセキュリティインシデント調査体験演習です。限られた条件下での、疑似マルウェアの表層解析を中心に、状況把握のためのヒアリング、感染原因の調査、恒久対策をグループで検討します。

受講料 

88,000円(税込)/80,000円(税抜)

開始日(申込締切前)

遠隔ライブ 12/9、1/13、1/23、2/10、3/10

講習日数

1日間

講師からのメッセージ

疑似マルウェアの動作を明らかにしてください。しかし、使用できるツールは限られています。ヒアリングを通じて得た情報や、攻撃者の立場に立って想像力を働かせてください。また、ヒアリングでは講師が調査依頼元の顧客役を演じます。うまく情報を引き出せれば効率よく解析が行えるかもしれません。また、原因調査・対策検討をする際には視野を広く持つことが必要です。これは、単なるマルウェア感染インシデントでしょうか…。

本コースは、【情報処理安全確保支援士(登録セキスペ) 特定講習 】として認められています。
登録更新対象者の方は、「留意事項・備考」の「■情報処理安全確保支援士特定講習として受講の方へ■」をご覧のうえ、お申込みください。

<参考>
情報処理安全確保支援士(登録セキスぺ)は、3年ごとにその更新を受ける必要があり、講習受講が義務付けられています。詳しくは、IPA「登録セキスペの方々へ」をご確認ください。

到達目標

  • ・ インシデント発生時の事実確認、状況把握のために、関係者に対するヒアリング項目を挙げることができ、適切な初動提案、調査シナリオの作成をおこなうことができる。
  • ・ 原因究明、フォレンジックのために必要な情報を選定できる。
  • ・ 解析ツールを駆使し基本的なマルウェア解析ができる。
  • ・ セキュリティインシデントの恒久的対策立案の考え方が説明でき、サービス・製品の導入、運用改善などの対策立案の支援ができる。
  • ・ (以下のようなスキル修得を含む)
  • ・ インシデント対応スキル(主にCSIRTにおけるハンドラー、インベスティゲータ、フォレンジック担当に該当するスキル)
  • ・ 関係者に対するヒアリングスキル
  • ・ ログ解析スキル、マルウェア解析スキル

前提知識

以下のいずれかのコースを修了、または同等知識をお持ちの方。
・「インターネットセキュリティ技術」
・「インターネットセキュリティ技術(実習編)」

また、以下の知識をお持ちでであれば尚可。
・組織における情報システム、ネットワーク運用管理経験
・Windowsアプリケーション開発経験

研修コースマップ

セキュリティ

  • CSIRT向け

コース内容

1日目
AM
1.インシデント対応について
・インシデント対応の考え方および流れ
2.インシデントの状況確認について
・インシデント検知後の事実確認・状況把握フェーズの考え方、留意点
3.マルウェア解析について
・マルウェアの機能と動作
・解析方法、解析ツール
4.演習1
・インシデントの検知連絡の受けつけ
 ヒアリングの実施
 ヒアリング結果を踏まえた初動方針、調査シナリオの策定
PM
5.演習2
・アーティファクト分析
 マルウェア検体の解析、エビデンス調査
6.再発防止策について
・再発防止策の考え方について
7.演習3
・インシデントに対する復旧策、恒久的対策立案

留意事項・備考

■会場名が「遠隔ライブ研修」となっているコースについて■
<■遠隔ライブ研修受講にあたっては、事前の準備が必須となります。>
お申込みの前に、事前準備をご確認ください。また、ご受講の際は、必ず研修開始前までにご準備ください。

◎事前準備
◆遠隔ツール :Zoom
Zoomに関する準備手順は、Zoom受講マニュアルよりご確認ください。

◆教材 :電子教材
当日OneDriveで配布いたします。

◆グループワーク:あり
ワークを円滑に進めるため、カメラのオンを推奨します。
グループワークは、他の受講者とのディスカッションを中心に進めます。会話に支障のない場所でご受講ください。

◆マシン実習 :クラウド実習
受講の際、お手持ちのパソコン(WindowsまたはMac)からクラウド実習環境へ接続いただきます。
クラウド環境接続確認手順をご確認ください。
クラウド実習環境への接続確認は、お申込み前に必ず行っていただくようお願いいたします。
※業務PCをお使いの場合、業務PCでRDP接続が禁止されており接続出来ないケースがあります。
 その場合。私有PCを使ってクラウド実習環境へ接続すると解決する事が多いです。
 必ずクラウド実習環境への接続確認をお願いいたします。

◆資料配布:OneDrive
本コースは研修内でOneDriveへのアクセスが必要となります。
ご受講の際はOneDrive(テストファイル)へのアクセスが可能かどうかご確認ください。

◆追加モニター(※オプション)
研修中は、講義解説のZoom画面、電子テキスト、演習時の実機操作画面など複数画面を切り替えながら作業します。そのため、追加モニターをご用意いただくことをお勧めしております。

■情報処理安全確保支援士特定講習として受講の方へ■
本コースは、「特定講習」として認められています。
情報処理安全確保支援士の資格維持のために受講される方も、通常通りお申込みください。
なお、下記すべてが特定講習の要件となりますので必ずご確認ください。

(1)事前アンケート
   ご受講前に、事前アンケートがあります。申し込み後、ご受講の5日前までにお送りする受講
   案内にて事前アンケートURLをお送りします。研修前日17:00までに必ずご回答をお願いします。
   事前アンケートに必要な情報は、お名前、支援士登録番号、メールアドレスです。

(2)研修開当日の受付
   研修当日はご本人確認のために、受付をおこないます。
   以下2点をご用意いただき、カメラ付きの端末から接続ください。
    ①顔写真入り身分証明書(有効期限内のもの)
     ・氏名、顔写真以外は、見えないように付箋紙等でマスキングしてあってもかまいません。

    ②名前と登録番号の対応がわかる書類等(以下のいずれか)
     ・情報処理安全確保支援士登録証
     ・オンライン講習の修了証
     ・支援士検索サービス(https://riss.ipa.go.jp/)に氏名公開されている方は、その場での
      検索表示でも可
      研修開始の30分前(9:00)にZoom接続をお願いします。説明を行った後、順番に
      受付を行います。

(3)特定講習の修了認定基準について
   特定講習には、修了認定基準が設けられています。
   出席率3/4以上かつ、講習ごとに定められた3項目を総合的に審査し、修了判定いたします。

   ■CSIRT強化トレーニング マルウェア感染対応編
    ①グループ作業およびディスカッションへの参加度合い(発言状況、関与度)
    ②各実習課題への回答が正しい解釈で合理的な内容となっているか
    ③実習中の講師による進捗、取組み状況、課題、方針などの確認に対する回答が
     妥当性を有しているか

   修了者には、研修終了後1週間以内に特定講習修了証を発行いたします。

リコメンド

「CSIRT強化トレーニング マルウェア感染対応編」コースを申込んだ人は、こんなコースも申し込んでいます。

開催スケジュール詳細・お申込

「カートに追加」欄の追加をクリックすると、web申込が可能です。
申込期限およびキャンセル期限は、各締切日の16:30です。

◎・・・6名様以上、空いております。
○・・・1~5名様の空きがございます。
△・・・キャンセル待ちとなります。(ただし、備考欄に注記がある場合はキャンセル待ちではありませんので、注記をご参照ください)
空席状況は定期的に更新しています。◎○でも、既に満席の場合はご了承下さい。詳細な空席状況は研修申込センターにお問い合せください。

[スケジュール更新日付:2022年11月25日]

地区 開催番号 会場名 開始日~終了日 日数 講習時間 申込締切日 空席
状況
備考 カートに追加
キャンセル締切日
遠隔ライブ SN375503K 遠隔ライブ研修 2022/12/09~
2022/12/09
1日間 09:30~
17:00
2022/12/05 追加
2022/12/05
SN375504K 遠隔ライブ研修 2023/01/13~
2023/01/13
1日間 09:30~
17:00
2023/01/06 追加
2023/01/06
SN375507K 遠隔ライブ研修 2023/01/23~
2023/01/23
1日間 09:30~
17:00
2023/01/17 追加
2023/01/17
SN375505K 遠隔ライブ研修 2023/02/10~
2023/02/10
1日間 09:30~
17:00
2023/02/06 追加
2023/02/06
SN375506K 遠隔ライブ研修 2023/03/10~
2023/03/10
1日間 09:30~
17:00
2023/03/06 追加
2023/03/06