コース名称：【専門分野】インシデント初動対応・分析調査トレーニング

コース概要：インシデント発生時の初動対応（証拠保全）およびその後の分析調査（フォレンジック）について、各種ツールを用いたシナリオベースのハンズオンを通じて知識と技術を習得します。 （本コースは1名様からお申し込みいただけます）

開催地：本コースはオンラインまたは会場（秋葉原）での受講が可能です。効果的なトレーニングを実施するため、人数制限を行う場合がございます。

料金：200,000円（税別）

到達目標：本コース修了後、次の事項ができることを目標としています。

・インシデント発生時の初動対応（証拠保全）の手順および方法を理解する

・証拠保全・調査ツールの使い方および分析調査（フォレンジック）の手法を理解する

受講対象：

・インシデント対応に関わるIT部門、セキュリティ部門、CSIRTメンバー

・インシデントの分析調査に関する理解を深めたい監査部門、コンプライアンス部門

前提知識：

・OSやネットワークに関する一般的な知識を有すること

・サイバーセキュリティに関する一般的な用語を理解していること

受講に当たり、受講生にご用意いただく環境・設備等（下図をご参照ください）：

①受講用PC(必須)：Armoris環境へのリモートデスクトップ接続、及びZoomに接続して利用します。Windows10またはMac OSXが快適に動作するPCをご用意ください。

②スマホ等(強く推奨)：Zoomで講義を聴講するために利用します。(※1)

③インターネット接続(必須)：パケット容量や帯域に制限のない安定した回線。テザリングは推奨しません。ZoomやVPNの通信が規制されていないことをご確認ください。また、通信に係る費用は受講生負担となります。(※2)

※1　受講用PCだけでも受講可能ですが、2画面あった方が効率よく講義を受けられます。タブレットPC等も可です。

※2　お勤め先からご参加される場合はネットワーク管理者にご確認ください。ご自宅の場合は通常、通信先に関する規制はありません。

コース内容：

1日目：知識編

知識の習得およびツールの使用方法の理解

• サイバーインシデントの種類と実例

• インシデントレスポンスにおけるデジタルフォレンジックの目的

• インシデント発生時の初動対応

• 証拠保全および分析調査に使用する各種ツールの使い方（ハンズオン）

　- 証拠保全：FTK Imager、Winpmem等

　- 加工：The Sleuth Kit、log2timeline等

　- 分析調査：WinPrefetchView、Autoruns、The Volatility Framework等

2日目：実践編

シナリオベースの実機演習（ランサムウェア感染、標的型攻撃）

• シナリオの提示

• 保全データに対する影響範囲・被害・原因調査の実施（ハンズオン）

　- プロキシログ、IDSログ、ADイベントログ等の調査による影響範囲の特定

　- 被害端末に対するWindowsフォレンジック：ディスクイメージからのアーティファクト抽出および分析調査、メモリダンプ分析調査

• 調査報告書の作成

• 攻撃内容の解説と対策の検討

※2日間とも10:00～17:30の日程にて実施します（途中、休憩時間1時間を挟みます）。

講師：宮内 雄太（Yuta Miyauchi）

2012年に情報系大学院を修了後、某大手銀行グループにてシステム基盤開発を担当。2014年にセキュリティの世界に足を踏み入れた後、2018年よりグループCSIRTのメンバーとしてインシデント対応やグループ内外でのサイバー人材育成に従事。

Armoris DOJO Liteメイン講師。CISSPホルダー。たまにDEFCONに参加する。うさぎをこよなく愛する。