サイバー空間における脅威を調査分析しレポートまで作成できるアナリストを育成

脅威インテリジェンスセミナー

2024年内に開催決定!(日程調整中)受講生募集中!
次のセクションへ

脅威インテリジェンスとは?

脅威インテリジェンス/Threat Intelligence(スレットインテリジェンス:脅威情報)とは「情報に基づく意思決定を行い、対策をとるためのコンテキストを提供するもの」です。

   

もう少し、細かな話をすると、以下の通りです。

  • 豊富なソースを基にした情報と分析が容易に理解して使用できる形で提示される
  • サイバーセキュリティ組織の主要なチームすべてにとって非常に有益である
  • あらゆるセキュリティ部門の時間節約に寄与する
  • ほとんどの部分を既存のセキュリティ担当スタッフで処理できる
    (適切なツールとサポートがある場合)
脅威インテリジェンスハンドブック

(引用: 脅威インテリジェンス ハンドブック(第2版) [Recorded Future] )

脅威インテリジェンスセミナーとは?

脅威インテリジェンスセミナーでは、主に公開情報を参照/検索して脅威インテリジェンス(CTI: Cyber Threat Intelligence)を収集する方法を習得します。
脅威インテリジェンスを収集するには、無償ツールと有償ツールもあり、その差異についても、ハンズオンを通して学びます。
さらに、過去の実際に発生したインシデントについて、脅威インテリジェンスを収集し、報告書の作成方法を習得します。

現状のSOC(Security Operation Center)では、インシデントの監視は行っているので、不正アクセスやマルウェアなどのインデント発生後の対応はきっちり行っています。
しかし、日本では、脅威インテリジェンスを収集し、活用している組織は、少ないように見受けられます。
なぜなら、脅威インテリジェンスアナリストの存在が少ないからです。アナリストには様々なITセキュリティのスキルが必要になります。情報収集、インシデントの判断、脆弱性の知識、攻撃手法、防御手法、報告書作成などです。
そのため、本セミナーでは、アナリストに必要なスキルである「脅威インテリジェンスを効率よく収集し、活用する方法」と「報告書の作成方法」の習得にフォーカスします。
また、米国で給与が最もアップしたIT職種は「サイバーセキュリティアナリスト」で平均年収は1121万円といわれています。
日本ではまだ少なく、これからのサイバー社会で需要が増加される、スキルを習得できます。

<到達目標>

  • インターネット上に散財する脅威インテリジェンスを効率よく、収集し、活用することで、今後、発生しうるインシデントの影響を軽減/回避することができます。
  • 脅威インテリジェンスを収集する手法、または、システムを構築しておくことで、インシデントが発生してしまった場合にも、早急に、事後対策を講じることができます。
  • 脅威インテリジェンスを収集し、報告書(レポート)を作成できる人材を増やすことができます。
脅威インテリジェンスセミナーイメージ

習得できるスキル

システム構築アイコン

脅威インテリジェンスを収集するシステム構築

収集手法アイコン

脅威インテリジェンスを収集する手法

報告書の作成アイコン

脅威インテリジェンスの報告書の作成

次のセクションへ

コースカリキュラム

1日目
  • 脅威インテリジェンス
    • 脅威インテリジェンスとは
    • 脅威インテリジェンスの分類
  • OSINTを用いた脅威インテリジェンス情報収集
    • 一般的な情報収集
    • 詳細個別技術の情報収集
      • 自社サイトのレピュテーション確認
      • メールアドレスの露出確認
      • 認証情報の漏洩確認
      • 自社のシステム情報の漏洩確認
      • 最新のエクスプロイト情報確認
  • 専用のOSSツールを活用した脅威インテリジェンス収集
  • レポート作成
    • レポート作成の前に
    • 報告事項(5W1H プラス)
    • レポート作成タイムライン
    • レポート作成(ハンズオン)
    • [補足] レポート保存サイト
  • 脅威インテリジェンスサンプルレポート例
    ランサムウェアグループ LockBitについて
    2023 年 7 月 4 日 06:30 頃より NUTS(名古屋港統一ターミナルシステム)に障害が発生し、 名古屋港全ターミナルの作業停止を余儀なくされました。名古屋港運協会によると、これはランサムウェアへの感染があったためという見解が、愛知県警察本部及びシステム保守会社より出されています。 本件ではプリンターから約100枚の英語の脅迫文が出力されており、冒頭に「LockBit Black Ransomware」と記載されていました。実際にLockBitのデータリークサイトへの掲載は確認されていないが、LockBitランサムウェアによる攻撃が行われていたと推定されています。 調査の結果、リモート接続機器の脆弱性が確認されており、そこから不正なアクセスを受けたと考えられているが、具体的な機器名等は明らかにされていません。本レポートでは、「LockBitの活動の背景」と「自社で影響を受ける可能性」についてまとめています。
    MOVEit脆弱性について
    MOVEitに2023/05/31に重大なSQLインジェクションの脆弱性(CVE-2023-34362)が出ました。 MOVEit は、Ipswitch, Inc. が製造するマネージドファイル転送ソフトウェア製品です。MOVEit は、ファイルを暗号化して安全にデータを転送します。 2023/06/09には別のSQLインジェクションの脆弱性(CVE-2023-35036)、さらに2023/06/15には別の脆弱性(CVE-2023-35708)が出ています。  ロシアが背後にいるとされているCl0Pランサムウェアグループが、この脆弱性を利用して攻撃を行っているという情報が入ってきています。MOVEit脆弱性を利用したCl0PCISAとFBIによる共同アドバイザリも出されています。本レポートでは、「MOVEitの脆弱性を利用した攻撃の背景」と「自社で影響を受ける可能性」についてまとめています。
2日目
  • Recorded Future を活用した脅威インテリジェンス収集
    • Recorded Future (Home)
    • Recorded Future (Threat Views)
    • Recorded Future (Global Trends)
    • Recorded Future (Global Third-Party Risk)
    • Recorded Future (Global Vulnerability Risk)
    • Recorded Future (Ransomware)
    • Recorded Future (Cyber Espionage)
    • Recorded Future (Banking and Payments)
    • Recorded Future (Merchants and POS)
    • Recorded Future (ICS/SCADA)
    • 会社名で、検索
    • COMPANY インテリジェンスカード
    • VULNERABILITY インテリジェンスカード
  • 便利な Recorded Future 活用例
    • フィッシングサイトの可能性確認(Recorded Future)
    • 直近のエクスプロイトを確認(Recorded Future)
    • 直近のサイバー攻撃を確認(Recorded Future)
    • 直近の開示された脆弱性を確認(Recorded Future)
    • 直近のアタックベクターを確認(Recorded Future)
    • 直近のオペレーション(opxxx)を確認(Recorded Future)
    • 直近の脅威アクターを確認(Recorded Future)
    • 直近の脆弱性を確認(Recorded Future)
    • ダークWeb「tokyo olympics」検索(Recorded Future)
  • OSINT Resources

上記に加え以下の項目をカリキュラムにカスタマイズすることもできます。

  • 地政学的インテリジェンスとOSINT
  • ファクトチェックはどのように行うのか(フェイクニュースの見分け方)
  • オープンソースを活用した脅威インテリジェンス収集(環境構築編)
  • 情報ツール(OSINT)の用途・多元的分析思考

メイン講師

面和毅

面 和毅
サイオステクノロジー㈱ 執行役員
OSS/セキュリティエバンジェリスト
略歴:OSSのセキュリティ専門家として20年近くの経験があり、主にOS系のセキュリティに関しての執筆や講演を行う。 大手ベンダーや外資系、ユーザー企業などでさまざまな立場を経験。 2015年からサイオステクノロジーのOSS/セキュリティエバンジェリストとして活躍し、同社でSIOSセキュリティブログを連載中。
近著:『Linuxセキュリティ標準教科書』(LPI-Japan)」『サイバー攻撃から企業システムを守る! OSINT実践ガイド』
・Security 研究者/エンジニア/開発 (19年)
・SELinux/MAC Evangelist (14年)
・Linux エンジニア (19年)
・システム管理者(4年)
- Antivirus Professional エンジニア (3年)
- SIEM Professional エンジニア (3年)

MISP

MISPとは、Malware Information Sharing Platform & Threat Sharing の略称です。
ルクセンブルクのCIRCL(The Computer Incident Response Center Luxembourg :コンピューターインシデント対応センター ルクセンブルク) が、オープンソースとして、提供している脅威情報プラットフォームです。

MISPイメージ

OpenCTI

OpenCTIとは、オープンソースな CTI (Cyber Threat Intelligence: サイバー脅威インテリジェンス)システムのことです。
また、OpenCTI は、MISP、TheHive、MITRE ATT&CK などの他のツールやアプリケーションと連携できます。

OpenCTIイメージ

OTX AlienVault

OTX AlienVaultとは、別称で、AlienVault とも呼ばれ、脅威インテリジェンスの交換/共有を⾏うプラットフォームのことです。
(OTX = Open Threat eXchange: オープン脅威インテリジェンス交換)

OTX AlienVaultイメージ

ACT

ACTとは、ノルウェーの mnemonic という IT セキュリティプロバイダーが提供する脅威インテリジェンスを収集するオープンソースです。
Semi-Automated Cyber Threat Intelligence の略称です。

ACTイメージ

Recorded Futureは、2009年に米国で設立し、米国において「脅威インテリジェンス」を提供する先駆けとして、ダークウェブを含む膨大な情報源からのデータを蓄積し、マシンラーニングとリサーチャによる分析を組み合わせて、リアルタイムで脅威情報を顧客に提供しています。
特に米国においては、犯罪の対象や手法などの予兆の把握、窃取された情報の拡散状況を把握して、被害を未然に「予防」する目的で企業や政府機関で広く活用されています。
本コースではRecorded Futureの脅威インテリジェンスツールを活用し脅威インテリジェンスの収集等ハンズオンを行います。

Recorded Futureイメージ

報告書作成


脅威インテリジェンスを収集し、報告書の作成方法について事例を交えながら習得します。

報告書作成イメージ

受講いただいた方からの声

OSSツールについて新たに知る機会であった。OSSはツールや情報検索手段が非常に豊富で、知らないものを多々存在した。
OSSツールでの調査方法についてや、レポート作成観点についての説明があり、業務に非常に役立つと感じました。

脆弱性情報の収集に役立つ情報を多く得られた情報は、多ければ多いほど取捨選択が難しいことを改めて知った。

組織で不足している脅威インテリジェンスのレポート作成に非常に役立つ内容でした。
脅威インテリジェンスをどこでどのように調べられるか、得られる情報の判断や解釈のポイントについて理解できました。

脅威レポートの書き方、観点を知ることができ、スキルの向上に役に立ちました。

オンラインによる受講をしましたが、演習環境も利用でき、対面比べて遜色のない講義だったと思います。
地方からの受講ができ、場所や時間に融通が利き、感染のリスクが軽減できて良かったです。

情報は沢山いただけたので、この情報を元に実際の運用で、どのように統合して管理するか、
どうプロアクティブ・リアクティブに動くかなど実務に活かしていきたいと思いました。

次のセクションへ

脅威インテリジェンスセミナー応募要項

開催日時 2024年内に開催決定(日程調整中)
開催期間 2日間 9:00~17:00(昼休憩1時間)
受講料 180,000円(税込)/1名
対象者
  • SOC(Security Operation Center)担当者
  • インシデントレスポンス担当者
  • 脅威インテリジェンスに興味のある方全般
  • 攻撃者のプロセスを理解し具体的な対策ができるようになる
  • IT技術の向上を目標とされている方
その他 <受講に必要なWindows PC、または、Macの環境>
  • CPU: x64互換 2.0GHz以上
  • RAM: 8GB以上
  • 推奨ブラウザー: Chrome/Firefox最新バージョン
  • (※) セミナーで使用する脅威インテリジェンスプラットフォームに関しては、Heatwave社でクラウド上で準備致しますのでそちらにブラウザから接続できるような環境であれば問題ありません。
<セミナー会場とオンラインのどちらでも受講できます。>

■リモートで受講する場合

  • インターネット回線
  • Webカメラ
  • マイク

■セミナー会場で受講する場合

  • 有線ネットワーク(Ethernet)ポート
    (インターネット回線は、会場で準備します)
180,000円(税込)/1名

受講お申込

このコースについてお問い合わせ