自社で取り組む
ネットワーク脆弱性診断

ネットワークシステムのセキュリティ上の弱点を発見するには、セキュリティスキャナーなどのツールによる診断は効果的な方法の1つです。しかし、セキュリティスキャナーで発見できる問題は全体の一部だけです。実際の攻撃者はもっと多くの情報を収集し、あなたのシステムを攻撃しようとします。自社でネットワーク脆弱性を適切に、かつ効率的に発見するための脆弱性診断に取り組もうとした場合には、何が必要になるのでしょうか。
本コースでは、自社で脆弱性診断に取り組もうとした場合の以下のような悩みを解決します。

  • ネットワークシステムの脆弱性に関する知識がない
  • どの範囲まで、どのレベルまで脆弱性を探せば適切なのか判らない
  • 脆弱性を発見するための手段やツールについての知識がない
  • 発見した脆弱性がどのぐらいのリスクなのかが判らない

単にスキャナーの使い方だけを覚えるだけではなく、なぜそのIPアドレスをスキャンするのか?どのようにしてスキャナーが脆弱性を発見しているのか?また、スキャナーによる診断結果の精査方法や、診断結果の読み方、結果として発見された脆弱性についての調べ方なども内容に含まれています。

WEBアプリケーション脆弱性診断コースもございます。詳しくはこちらから

■講師:上野 宣(うえの せん)

講師:上野 宣

株式会社トライコーダ 代表取締役

情報セキュリティ専門誌『ScanNetSecurity』編集長。OWASP Japan Chapter リーダー、Hardening プロジェクト実行委員、JNSA ISOG-J WG1リーダー、SECCON 実行委員、セキュリティキャンプ講師主査、独立行政法人情報処理推進機構 セキュリティセンター研究員などを務める

奈良先端科学技術大学院大学で情報セキュリティを専攻、eコマース開発ベンチャーで東証マザーズ上場などを経て、2006年に株式会社トライコーダを設立。企業や官公庁などにサイバーセキュリティ教育や演習、脆弱性診断、ペネトレーションテストなどを提供。

◇主な著書

「Webセキュリティ担当者のための脆弱性診断スタートガイド - 上野宣が教える情報漏えいを防ぐ技術」「HTTPの教科書(日本語、簡体字、ハングル)」「今夜わかるシリーズ(TCP/IP, HTTP, メール)」「めんどうくさいWebセキュリティ」他多数


受講対象者

  • 脆弱性診断の技術を身につけたいが何から初めて良いかわからないといった悩みを持っている企業や組織
    • 脆弱性診断を内製化に取り組みたい開発会社など
    • 脆弱性診断要員の教育を外注化したい開発会社や診断会社
  • イントラネット/インターネット向けのネットワークシステムに関わる下記の方
    • ネットワークシステムの構築担当者
    • ネットワークシステムのテスト担当者

学習目的

  • 自社内でネットワーク脆弱性診断に取り組むために必要な知識、診断技術、リスクの算出方法などを身につけることを目的としています。

受講によるメリット

  • ネットワークシステムの脆弱性診断の技術を身につけることができる
  • ネットワークシステムに対して発生しうる脅威・攻撃手法についての理解

 


コース内容

セキュアなネットワークシステム構築に必要な脆弱性診断技術を、実施方法やツールの使い方、レポートの書き方など、実践・実習を通して具体的に学んでいきます。

 

■ネットワーク脆弱性診断の基礎知識

ネットワーク脆弱性診断の実施に必要な基礎知識について学びます。

  • 診断対象となるシステムについて
  • 診断で得られる情報
  • 診断についての推奨事項
  • 診断実行者の役割と責任

 

■フットプリンティング

診断対象について攻撃者と同じ立場で外部からの情報収集を行います。

  • 公開された情報のチェック
  • OSINT (Open Source Intelligence)
  • IPアドレスの登録情報
  • DNS、WHOIS、命名規則
  • 検索エンジン、GHDB
  • 公式Webサイト
  • DNS環境のチェック
  • SMTPサーバーのチェック

 

■ポートスキャン/ネットワークスキャン

診断対象について侵入される可能性の高いポイントを探ります。

  • ポートスキャン/ネットワークスキャンの目的
  • スキャン実行後の対応
  • 診断対象リストの作成
  • スキャンの実行
  • スキャンとファイアウォール

 

■アカウントの検査

診断対象についてアカウントやその認証強度について探ります。

  • アカウント名の列挙
  • 認証強度の確認
  • デフォルトアカウント・パスワード
  • パスワードクラッカー
  • 辞書ファイルの生成

 

■セキュリティスキャナー

診断対象についてネットワークセキュリティスキャナーなどを利用して既知の脆弱性について探ります。

  • セキュリティスキャナーの機能
  • セキュリティスキャナーの問題点
  • セキュリティスキャナーの使い方
  • 発見した脆弱性の存在を確認

 

■レポート

発見した脆弱性についての確認方法やリスクの算出などを行います。

  • 診断報告書に関する要件
  • 報告書の内容
  • 脆弱性情報の情報源
  • 脆弱性の深刻度の評価

 

※使用するネットワークセキュリティスキャナーについて

トレーニングコース内ではネットワークセキュリティスキャナーはOpenVASというオープンソースの脆弱性診断スキャナーを使用します。
http://www.openvas.org/

このツールは現在商用のtenable社のNessus Vulnerability ScannerがGNUライセンスの時代であったバージョンのものから派生したものです。
https://www.tenable.com/products/nessus-vulnerability-scanner


コース(受講料)に含まれるもの

  • 研修テキスト
  • 昼食
  • 受講証明
    コース受講後、電子メールにて「受講証(PDFファイル形式)」をお送りいたします。※コース受講当日に紙での受講証が必要な方は別途お問い合わせください。