コース概要 このコースをクリップ

CSIRT強化トレーニング マルウェア感染対応編

コースコード SN375
受講料  88,000円(税込)
/80,000円(税抜)
講習日数 1日間
開始日
(申込締切前)		 遠隔ライブ 6月10日/6月24日/7月1日/7月22日…

コース概要

疑似マルウェアプログラムを用いたセキュリティインシデント調査体験演習です。限られた条件下での、疑似マルウェアの表層解析を中心に、状況把握のためのヒアリング、感染原因の調査、恒久対策をグループで検討します。

講師からのメッセージ

疑似マルウェアの動作を明らかにしてください。しかし、使用できるツールは限られています。ヒアリングを通じて得た情報や、攻撃者の立場に立って想像力を働かせてください。また、ヒアリングでは講師が調査依頼元の顧客役を演じます。うまく情報を引き出せれば効率よく解析が行えるかもしれません。また、原因調査・対策検討をする際には視野を広く持つことが必要です。これは、単なるマルウェア感染インシデントでしょうか…。

本コースは、【情報処理安全確保支援士(登録セキスペ) 特定講習 】として認められています。
 特定講習番号  :21-004-009
 特定講習対象期間:2021/04/01~2027/03/31

登録更新対象者の方は、「留意事項・備考」の「■情報処理安全確保支援士特定講習として受講の方へ■」をご覧のうえ、お申込みください。

※特定講習は制度上、対象期間(施行日から3年間)が定められています。
 対象期間終了前に延長(3年間)の手続きをおこなう予定です。
 なお制度改正等に伴い、特定講習対象期間の終了日に変更が生じる場合があります。

<参考>
情報処理安全確保支援士(登録セキスぺ)は、3年ごとにその更新を受ける必要があり、更新には講習受講が義務付けられています。詳しくは、IPA「登録セキスペの方々へ」をご確認ください。

到達目標

  • インシデント発生時の事実確認、状況把握のために、関係者に対するヒアリング項目を挙げることができ、適切な初動提案、調査シナリオの作成をおこなうことができる。
  • 原因究明、フォレンジックのために必要な情報を選定できる。
  • 解析ツールを駆使し基本的なマルウェア解析ができる。
  • セキュリティインシデントの恒久的対策立案の考え方が説明でき、サービス・製品の導入、運用改善などの対策立案の支援ができる。
  • (以下のようなスキル修得を含む)
  • インシデント対応スキル(主にCSIRTにおけるハンドラー、インベスティゲータ、フォレンジック担当に該当するスキル)
  • 関係者に対するヒアリングスキル
  • ログ解析スキル、マルウェア解析スキル

前提知識

以下のいずれかのコースを修了、または同等知識をお持ちの方。
・「インターネットセキュリティ技術」
・「インターネットセキュリティ技術(実習編)」

また、以下の知識をお持ちでであれば尚可。
・組織における情報システム、ネットワーク運用管理経験
・Windowsアプリケーション開発経験

コース内容

1日目
AM
1.インシデント対応について
・インシデント対応の考え方および流れ
2.インシデントの状況確認について
・インシデント検知後の事実確認・状況把握フェーズの考え方、留意点
3.マルウェア解析について
・マルウェアの機能と動作
・解析方法、解析ツール
4.課題1
・インシデントの検知連絡の受けつけ
 ヒアリングの実施
 ヒアリング結果を踏まえた初動方針、調査シナリオの策定
PM
5.課題2
・アーティファクト分析
 マルウェア検体の解析、エビデンス調査
6.再発防止策について
・再発防止策の考え方について
7.課題3
・インシデントに対する復旧策、恒久的対策立案

留意事項・備考

■会場名が「遠隔ライブ研修」となっているコースについて■
<■遠隔ライブ研修受講にあたっては、事前の準備が必須となります。>
お申込みの前に、事前準備をご確認ください。また、ご受講の際は、必ず研修開始前までにご準備ください。

◎事前準備
◆遠隔ツール :Zoom
Zoomに関する準備手順は、Zoom受講マニュアルよりご確認ください。

◆教材 :電子教材
当日OneDriveで配布いたします。

◆グループワーク:あり
ワークを円滑に進めるため、カメラのオンを推奨します。
グループワークは、他の受講者とのディスカッションを中心に進めます。会話に支障のない場所でご受講ください。

◆マシン実習 :クラウド実習
受講の際、お手持ちのパソコン(WindowsまたはMac)からクラウド実習環境へ接続いただきます。
クラウド環境接続確認手順をご確認ください。
クラウド実習環境への接続確認は、お申込み前に必ず行っていただくようお願いいたします。
※業務PCをお使いの場合、業務PCでRDP接続が禁止されており接続出来ないケースがあります。
 その場合。私有PCを使ってクラウド実習環境へ接続すると解決する事が多いです。
 必ずクラウド実習環境への接続確認をお願いいたします。

◆資料配布:OneDrive
本コースは研修内でOneDriveへのアクセスが必要となります。
ご受講の際はOneDrive(テストファイル)へのアクセスが可能かどうかご確認ください。

◆追加モニター(※オプション)
研修中は、講義解説のZoom画面、電子テキスト、演習時の実機操作画面など複数画面を切り替えながら作業します。そのため、追加モニターをご用意いただくことをお勧めしております。

■情報処理安全確保支援士特定講習として受講の方へ■
本コースは、「特定講習」として認められています。
情報処理安全確保支援士の資格維持のために受講される方も、通常通りお申込みください。
なお、下記すべてが特定講習の要件となりますので必ずご確認ください。

(1)事前アンケート
   ご受講前に、事前アンケートへの回答をお願いしております。
   申し込み後、ご受講の5日前までにお送りする受講案内にて事前アンケートURLを
   お送りしますので、お名前、支援士登録番号、メールアドレスをご回答ください。
   研修前日17:00までに必ずご回答をお願いします。

(2)研修当日の受付
   研修当日はご本人確認のために、受付をおこないます。
   以下2点をご用意いただき、カメラ付きの端末から接続ください。
    ①顔写真入り公的身分証明書(有効期限内のもの)
     ・姓名、顔写真以外は、見えないように付箋紙等でマスキングしてあってもかまいません。
     ・姓名が支援士登録証の姓名と一致しているものに限ります。

    ②情報処理安全確保支援士登録証(更新期限内のもの)
     ・カード型の登録証です。(2020年4月以前に発行された紙の登録証は無効です)

   研修開始の30分前(9:00)にZoom接続をお願いします。
   説明を行った後、順番に受付を行います。

(3)特定講習の修了認定基準について
   特定講習には、修了認定基準が設けられています。
   出席率3/4以上かつ、講習ごとに定められた3項目を総合的に審査し、修了判定いたします。
   修了と認められない場合には、受講者本人へ通知の上、修了の認定はおこないません。

   ■CSIRT強化トレーニング マルウェア感染対応編
    ①グループ作業およびディスカッションへの参加度合い(発言状況、関与度)
    ②各実習課題への回答が正しい解釈で合理的な内容となっているか
    ③実習中の講師による進捗、取組み状況、課題、方針などの確認に対する回答が
     妥当性を有しているか

   修了者には、研修終了後1週間以内に特定講習修了証を発行いたします。
   ・本特定講習の修了認定について、弊社からIPAに受講月の末日に報告いたします。
    皆様からIPAへの報告は不要です。
   ・特定講習修了の情報は、受講月の翌月末に更新されます。更新されたかどうかは、受講月の翌月
    末以降に情報処理安全確保支援士ポータルサイトで確認をお願いします。
    また、受講日からポータルサイトへの反映まで時間差が発生いたします。更新状況についての
    確認はIPAへお問い合わせいただくようお願いいたします。

リコメンド

お申し込みはPCサイトへ