コース概要

ネットワークシステムのセキュリティ上の弱点を発見するには、セキュリティスキャナーなどのツールによる診断は効果的な方法の1つです。しかし、セキュリティスキャナーで発見できる問題は全体の一部だけです。実際の攻撃者はもっと多くの情報を収集し、あなたのシステムを攻撃しようとします。

それでは、自社でネットワーク脆弱性を適切に、かつ効率的に発見するための脆弱性診断に取り組もうとした場合には、何が必要になるのでしょうか。

自社で脆弱性診断に取り組もうとした場合、以下のような悩みを持っていませんか?

  • ネットワークシステムの脆弱性に関する知識がない
  • どの範囲まで、どのレベルまで脆弱性を探せば適切なのか判らない
  • 脆弱性を発見するための手段やツールについての知識がない
  • 発見した脆弱性がどのぐらいのリスクなのかが判らない

本講座は、自社内でネットワーク脆弱性診断に取り組むために必要な知識、診断技術、リスクの算出方法などを身につけることを目的としています。

対象者
  • 脆弱性診断の技術を身につけたいが何から初めて良いかわからないといった悩みを持っている企業や組織
    • 脆弱性診断を内製化に取り組みたい開発会社など
    • 脆弱性診断要員を教育を外注化したい開発会社や診断会社
  • イントラネット/インターネット向けのネットワークシステムに関わる下記の方
    • ネットワークシステムの構築担当者
    • ネットワークシステムのテスト担当者
    • 品質管理担当者
内容

セキュアなネットワークシステム構築に必要な脆弱性診断技術を、実施方法やツールの使い方、レポートの書き方などを、実践・実習を通して具体的に学びます。

ネットワーク脆弱性診断の基礎知識

ネットワーク脆弱性診断の実施に必要な基礎知識について学びます。

  • 診断対象となるシステムについて
  • 診断で得られる情報
  • 診断についての推奨事項
  • 診断実行者の役割と責任
フットプリンティング/OSINT

診断対象について攻撃者と同じ立場で外部からの情報収集を行います。

  • 公開された情報のチェック
  • OSINT (Open Source Intelligence)
  • IPアドレスの登録情報
  • DNS、WHOIS、命名規則
  • 検索エンジン、GHDB
  • 公式Webサイト
  • DNS環境のチェック
ポートスキャン/ネットワークスキャン

診断対象について侵入される可能性の高いポイントを探ります。

  • ポートスキャン/ネットワークスキャンの目的
  • スキャン実行後の対応
  • 診断対象リストの作成
  • スキャンの実行
  • スキャンとファイアウォール
アカウントの検査

診断対象についてアカウントやその認証強度について探ります。

  • アカウント名の列挙
  • 認証強度の確認
  • デフォルトアカウント・パスワード
  • パスワードクラッカー
セキュリティスキャナー

診断対象についてネットワークセキュリティスキャナーなどを利用して既知の脆弱性について探ります。

  • セキュリティスキャナーの機能
  • セキュリティスキャナーの問題点
  • セキュリティスキャナーの使い方
  • 発見した脆弱性の存在を確認
レポート

発見した脆弱性についての確認方法やリスクの算出などを行います。

  • 診断報告書に関する要件
  • 報告書の内容
  • 脆弱性情報の情報源
  • 脆弱性の深刻度の評価
お問い合わせ・お申し込み

ご相談、お申し込みなどについてはこちらまで。