これから学ぶ人も、資格取得を目指す人も、最適なカリキュラムを選べます。
これから学ぶ人も、資格取得を目指す人も、最適なカリキュラムを選べます。
| コースコード | NR163 | 期間 | 6日間 | 時間 | 09:00~17:30 | 価格 | \1,550,285(税込) | 主催 | NRIセキュアテクノロジーズ株式会社 |
|---|
| コースコード | NR163 | 期間 | 6日間 | 時間 | 09:00~17:30 |
|---|---|---|---|---|---|
| 価格 | \1,550,285(税込) | 主催 | NRIセキュアテクノロジーズ株式会社 | ||
| コースコード | NR163 | ||
|---|---|---|---|
| 期間 | 6日間 | ||
| 時間 | 09:00~17:30 | ||
| 価格 | \1,550,285(税込) | ||
| 主催 | NRIセキュアテクノロジーズ株式会社 | ||
ウェブアプリケーションは、現代のあらゆる組織において重要な役割を果たしています。しかし、組織がそのウェブアプリケーショ ンを適切にテストし、保護しなければ、敵対者はこれらのアプリケーションを侵害し、ビジネス機能に損害を与え、データを盗むこと ができます。残念なことに、多くの組織は、Webアプリケーション・セキュリティ・スキャナがシステムの欠陥を確実に発見してくれると誤解しています。 SEC542は、犯罪者よりも早く、専門的なペネトレーションテストによって脆弱性を発見しその対策がとれることを目指します。単なるプッシュボタン式のツールによる侵入テストでは限界があることが十分認識できます。
お客様は、Webアプリケーションを通じて重要な機能やデータアクセスが提供されることを期待するようになりましたが、それにも増して、組織内で利用される業務アプリケーションもWebアプリケーション化しているのが一般的です。残念ながら、このような業務Webアプリケーションには、いわゆる「パッチ火曜日(Patch Tuesday)」が適用できないことが多いため、Webアプリケーションの欠陥が重大な情報漏えいや不正侵害の温床になり続けています。攻撃者は、外部公開用のWebアプリケーションと同様に、高い情報価値を持った内部の業務アプリケーションもターゲットにしています。
本コースではWebアプリケーションのセキュリティを評価し、発見された脆弱性を攻撃者が悪用した場合のビジネスへの影響を説明することができるようになります。最新のサイバー防衛では、Webアプリケーションのセキュリティ上の課題を現実的かつ徹底的に理解していなければ太刀打ちできません。Webに対するいくつかのハッキング技術を手軽に学ぶことは出来ますが、Webアプリケーションの侵入テストではより深くかつ体系化された手法が不可欠です。本コースでは初心者が専門的な侵入テスト担当者になるための情報とスキルを提供し、基礎的なギャップを全て埋めることができます。
このコースでは、一般的なWebアプリケーションの不具合を理解し、ビジネスへの潜在的な影響を示すための方法を理解します。その過程で、受講生はフィールドテストされた繰り返し可能なプロセスに従って、一貫して欠陥を見つけます。多くの情報セキュリティ専門家は、ビジネス用語を使ってわかりやすくリスクを説明するのに苦労します。一方で、組織がリスクを真剣に受け止め、適切な対策を講じなければ、そうしたハッキングをする価値はほとんどありません。SEC542の目標は、ペネトレーションテストによって組織のセキュリティを向上させることであり、ハッキングの技術を誇示することではありません。このコースでは、Webアプリケーションの脆弱性が実際にどのような影響を与えるか、ハッキングだけではなく、適切に文書化・レポートできるように受講生を導きます。
SEC542は、高品質なコースコンテンツに加えて、実践的な演習に強く焦点を当てています。本コースでは30以上の実践的なラボを利用してWebアプリケーションの侵入技術を体験するほか、SANS Netwarsのサイバーレンジを利用したCTFトーナメントを実施します。このCTFでは受講者をいくつかのチームに分け、コースを通して習得した侵入テスト技術を駆使します。
ビジネス上の課題:
・再現性のある方法を学び、価値の高い侵入テストを実現する
・Web アプリケーションの主な脆弱性を発見し、それを利用する
・Web アプリケーションの脆弱性がもたらす潜在的な影響について説明できる
・全体的なセキュリティ体制における Web アプリケーショ ンセキュリティの重要性を理解する
・主要な Web アプリケーション攻撃ツールをより効率的に使用する
・Web アプリケーション侵入テスト報告書を作成する
・一般的なセキュリティ実務者
・侵入テスト担当者
・倫理的ハッカー
・Webアプリケーション開発者
・Webサイトデザイナー、アーキテクト、開発者
・Linuxのコマンドラインに関する基本的な知識があること
SEC542の前提となるコース
・SEC504: Hacker Tools, Techniques, and Incident Handling
・SEC560: Enterprise Penetration Testing
・SEC565: Red Team Operations and Adversary Emulation
SEC542のフォローアップに適したコース
・SEC575: Mobile Device Security and Ethical Hacking
・SEC588: Cloud Penetration Testing
※受講に必要なPC環境
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
重要 この説明書に従って設定したシステムを持参してください。
このコースを完全に受講するには、適切に構成されたシステムが必要です。これらの指示をよく読んで従わない場合、コースのハンズオン演習に完全に参加することはできません。そのため、指定された要件をすべて満たすシステムを持参してください。
授業前にシステムをバックアップしてください 。できれば、機密データや重要なデータが保存されていないシステムを使用してください。SANSはお客様のシステムやデータについて一切責任を負いません。
SEC542システムの必須ハードウェア要件
・CPU: 64ビット Intel i5/i7(第8世代以降)、またはAMD同等のプロセッサ。このクラスでは、x64ビット、2.0GHz以上のプロセッサが必須です。
・重要: Apple Silicon デバイスは必要な仮想化を実行できないため、このコースでは一切使用できません。
・BIOS設定は、「Intel-VTx」や「AMD-V」拡張機能などの仮想化技術を有効にするために設定する必要があります。BIOSがパスワード保護されている場合は、変更が必要な場合に備えて、必ずBIOSにアクセスできることを確認してください。
・8GB以上のRAMが必要です。
・50GB以上の空きストレージ容量が必要です。
・USB 3.0 Type-Aポートが少なくとも1つ必要です。新しいノートパソコンでは、Type-CからType-Aへの変換アダプターが必要になる場合があります。一部のエンドポイント保護ソフトウェアはUSBデバイスの使用を禁止しているため、授業前にUSBドライブを使ってシステムをテストしてください。
・無線ネットワーク(802.11規格)が必要です。教室内には有線インターネットアクセスはありません。
必須のSEC542ホスト構成およびソフトウェア要件
・ホスト オペレーティング システムは、Windows 10、Windows 11、または macOS 10.15.x 以降の最新バージョンである必要があります。
・クラスの前にホスト オペレーティング システムを完全に更新して、適切なドライバーとパッチがインストールされていることを確認してください。
・Linuxホストは、その多様なバリエーションのため、教室ではサポートされていません。ホストとしてLinuxを使用する場合は、コース教材やVMで動作するように設定するのは、ご自身の責任となります。
・ローカル管理者アクセスが必要です。(はい、これは絶対に必要です。IT チームから許可を得られない場合は、許可を取り消してください。)コース期間中、会社がこのアクセスを許可しない場合は、別のラップトップをご持参ください。
・ウイルス対策ソフトウェアまたはエンドポイント保護ソフトウェアが無効化されているか、完全に削除されているか、または管理者権限を持っていることを確認してください。多くのコースでは、オペレーティングシステムへの完全な管理者権限が必要となるため、これらの製品を使用するとラボを完了できない場合があります。
送信トラフィックをフィルタリングすると、コースのラボを完了できなくなる可能性があります。ファイアウォールを無効にするか、管理者権限を持って無効にする必要があります。
・授業開始前に、VMware Workstation Pro 16.2.X+ または VMware Player 16.2.X+(Windows 10 ホストの場合)、VMware Workstation Pro 17.0.0+ または VMware Player 17.0.0+(Windows 11 ホストの場合)、VMWare Fusion Pro 12.2+ または VMware Fusion Player 11.5+(macOS ホストの場合)をダウンロードしてインストールしてください。VMware Workstation Pro または VMware Fusion Pro のライセンスをお持ちでない場合は、VMware から 30 日間の無償トライアル版をダウンロードできます。VMware の Web サイトでトライアル版に登録すると、VMware から期間限定のシリアル番号が送信されます。また、VMware Workstation Player は VMware Workstation Pro よりも機能が少ないことにご注意ください。Windows ホストシステムをご利用の場合は、よりスムーズな受講体験のために Workstation Pro をお勧めします。
・Windowsホストでは、VMware製品がHyper-Vハイパーバイザーと共存できない場合があります。最適なエクスペリエンスを実現するには、VMwareが仮想マシンを起動できることを確認してください。Hyper-Vを無効にする必要がある場合があります。Hyper-V、Device Guard、Credential Guardを無効にする手順は、コース教材に付属するセットアップドキュメントに記載されています。
・7-Zip:https://www.7-zip.org/(Windowsホストの場合)またはKeka:https://www.keka.io/en/ (macOSホストの場合)をダウンロードしてインストールしてください。これらのツールは、ダウンロードしたコース教材にも含まれています。
DAY1
●Introduction and Information Gathering
・侵入テスト担当者の観点から見たWebの概要
・Webアプリケーション評価メソッド
・侵入テスト担当者のためのツールキット
・透過プロキシ
・BurpSuite ProとZed Attack ProxyによるSSLのプロキシ処理
・DNS偵察
・仮想ホストの探索
・Open source intelligence (OSINT)
・HTTPプロトコル
-HTTP レスポンスのセキュリティ管理
-クッキーのセキュリティ管理
-HTTP メソッド
・Secure Sockets Layer(SSL)の設定と弱点
・ターゲットの発見とプロファイリング
・コンテンツの発見 スパイダリング/クローリング
DAY2
●Fuzzing, Scanning, Authentication, and Session Testing
・ファジング
・情報漏えい
・Burp Professionalの脆弱性スキャン
・コンテンツの発見 強制ブラウジング
・ZAPとffufによるリンクされていないコンテンツの発見
・ウェブ認証メカニズム
・Federated Identity and Access Protocols (SAMLとOAuth)
・JWTとFlaskセッションクッキー
・ユーザー名の採取とパスワードの推測
・セッション管理と攻撃
・バープ・シーケンサー
DAY3
●Injection
・認証と認可のバイパス
・コマンドインジェクション: ブラインドと非ブラインド
・ディレクトリトラバーサル
・ローカルファイルインクルード(LFI)
・リモートファイルインクルード(RFI)
・安全ではないデシリアライゼーション
・SQLインジェクション
・ブラインドSQLインジェクション
・エラーメッセージを悪用したSQLインジェクション
・SQLインジェクションを悪用する
・SQLインジェクションツール:sqlmap
DAY4
●XXS、SSRF、およびXXE
・クロスサイトスクリプティング(XSS)
・ブラウザ開発フレームワーク(BeEF)
・AJAX
・XMLとJSON
・ドキュメントオブジェクトモデル(DOM)
・API攻撃
・データ攻撃
・RESTとSOAP
・プロトタイプ汚染
・サーバーサイドリクエストフォージェリー (SSRF)
・XML外部実体攻撃 (XXE)
DAY5
●CSRF, Logic Flaws and Advanced Tools
・クロスサイト・リクエスト・フォージェリ(CSRF)
・ロジックへの攻撃
・ロギングとモニタリング
・Webアプリケーションの侵入テスト用のPython
・WPScan
・ExpolitDB
・BurpSuite Pro スキャナー
・Nuclei
・Metasploit
・ツールが失敗した時
・ペネトレーションテスト
-準備
-評価プロセスとレポート作成
DAY6
●Capture the Flag
・6日目には、チームを組んで、Webアプリケーションに対するペネトレーションテスト・トーナメントを行います。この、NetWarsで組まれたCapture the Flagの演習では、新しく身に付けたスキルや、これまでに持っていたスキルを活用して、質問に答えたり、ミッションを完了させたり、データを抽出したり、コースを通して得られたスキルを試す機会を提供します。チャレンジスタイルと統合されたヒントシステムにより、さまざまなスキルレベルの受講生が同時にゲーム環境を楽しむことができ、クラスで学んだスキルを固めることができます。
※受講料がAutumn 特別キャンペーン価格1,385,450円(税込)で、 GIAC試験価格が 164,835円(税込)になります。
※セミナー開催スケジュール
2025年10月開催 1日目 10/27(月) 2日目 10/28(火) 3日目 10/29(水) 4日目 10/30(木) 5日目 10/31(金) 6日目 11/1(土) 最終申込締切日 10/10(金)
※講義時間
1日目:9:00〜17:30
2日目〜6日目:9:30〜17:30
※言語
英語 英語教材・同時通訳
※受講に必要なPC環境
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
このページの【スクール環境】をご確認ください。
コースのメディアはダウンロードで配信されます。授業で使用するメディアファイルはサイズが大きい場合があります。多くは40〜50GBですが、中には100GBを超えるものもあります。ダウンロードが完了するまで十分な時間を確保してください。インターネット接続と速度は大きく異なり、様々な要因に左右されます。そのため、教材のダウンロードにかかる時間を概算することはできません。リンクを受け取ったらすぐにコースメディアのダウンロードを開始してください。コースメディアは授業初日にすぐに必要になりますので、前夜までファイルのダウンロードを待たないでください。
コース教材には「セットアップ手順」ドキュメントが含まれており、ライブクラスイベントへの参加やオンラインクラスの開始前に実行する必要がある重要な手順が詳細に説明されています。この手順を完了するには30分以上かかる場合があります。
クラスでは、実験の指示に電子ワークブックを使用しています。この新しい環境では、コースの実験に取り組んでいる間、授業資料を常に見ることができるように、2台目のモニターやタブレット端末が役立ちます。
