GCIA 認定プログラムで学べること: 総合ガイド

情報セキュリティ分野でのキャリアにご興味をお持ちなら、GIAC GCIA認定プログラムは最も重要なコースとなるでしょう。GCIA認定コースは、最も難易度が高いだけでなく、最もやりがいのあるコースとも言われています。

効果的な脅威ハンティングを実施し、ネットワーク上でゼロデイ攻撃が公になる前に検知する方法を学びたいなら、これ以上のコースはありません。すぐに使えるツールによって生成されるネットワーク監視アラートを理解したい人は、GCIA認定を受けるべきではありません。

しかし、GCIA認定は、ネットワークで現在何が起こっているかを深く理解し、ツールが現時点で報告していない深刻な問題を疑う人に最適です。

GIAC Certified Intrusion Analyst (GCIA)認定とは？

GIAC Certified Intrusion Analyst (GCIA)認定は、侵入検知と分析に関する実務者の知識とスキルを検証するために設計された、ベンダー中立の資格です。 GIAC GCIA認定資格を取得すると、侵入検知システムの設定と監視、ネットワークトラフィックとログファイルの読み取り、解釈、分析、そしてネットワーク上で何が起こっているかを把握できるようになります。

GIAC GCIA認定資格を取得するには、ネットワークトラフィック分析、シグネチャ作成、ログ分析、インシデント対応など、様々な試験目標を網羅した監督付き試験に合格する必要があります。GIAC GCIA試験は、多肢選択式で106問出題されます。GCIA認定試験の所要時間は4時間です。GCIA試験に合格するには、67%以上の得点が必要です。

GCIA試験でカバーされる分野は以下のとおりです。

• トラフィック分析とアプリケーションプロトコルの基礎
• オープンソースIDS：SnortとZeek
• ネットワークトラフィックフォレンジックと監視

GCIA認定資格は誰が受験できますか？

• 侵入検知の責任者
• システムアナリスト
• セキュリティアナリスト
• ネットワークエンジニア
• ネットワーク管理者
• 実践的なセキュリティマネージャー

以下のスキルを習得します

• サイトのトラフィックを分析し、新たな見出しになることを回避する
• どのネットワーク監視ツールでも検出できないゼロデイ脅威を特定する方法
• ネットワーク監視：設定、カスタマイズ、調整方法
• 特にインシデント発生時にネットワークアラートをトリアージする方法
• イベントを再構成することで、何が、いつ、誰が発生したかを特定する
• ネットワークフォレンジック、検出、分析の実践経験
• TCP/IPと一般的なアプリケーションプロトコルを活用し、ネットワークトラフィックに関する洞察を得て、正常なトラフィックと異常なトラフィックを区別する
• シグネチャベースのネットワーク監視：メリットとデメリット
• 企業全体の自動相関分析のためのビヘイビアネットワークの監視とその効果的な活用方法
• ネットワークアクティビティに対する効果的な脅威モデリングの実行
• 脅威モデリングをゼロデイ脅威検出機能に応用する
• 従来型、ハイブリッド、およびクラウドネットワークを活用して検出機能を強化する

以下のスキルを習得できます

• Snort と Suricata を設定および実行する
• 効果的かつ効率的な Snort、Suricata、FirePOWER ルールを作成および記述する
• オープンソースの Zeek を設定および実行し、ハイブリッド トラフィック分析フレームワークを提供する
• Zeek で自動化された脅威ハンティング相関スクリプトを作成する
• TCP/IP コンポーネント層を理解し、脅威を特定するために正常トラフィックと異常トラフィックを識別する
• トラフィック分析ツールを使用して、侵害またはアクティブな脅威の兆候を特定する
• ネットワークフォレンジックを実行してトラフィックを調査し、TTP を特定し、アクティブな脅威を見つける
• ネットワークトラフィックからファイルやその他の種類のコンテンツを切り出してイベントを再構築する
• BPF フィルターを作成し、特定のトラフィック特性を大規模かつ選択的に調査する
• Scapy を使用してパケットを作成する
• NetFlow/IPFIX ツールを使用して、ネットワークの異常な動作や潜在的な脅威を見つける
• ネットワークアーキテクチャとハードウェアに関する知識を活用して、ネットワーク監視センサーの配置をカスタマイズし、ネットワークからトラフィックをスニフィングする

GCIA認定試験シラバス

SEC503.1: ネットワーク監視と分析：パートI

このセクションでは、TCP/IPプロトコルスタックを詳細に解説し、クラウドまたは従来型インフラストラクチャにおける脅威をより適切に監視・検出するための準備を整えます。最初のステップは「パケットを第二言語として理解する」コースです。脅威を特定し、TTP（戦術・技術・プロセス）を特定するために、受講者は低レベルのパケット分析にすぐに取り組み、ゼロデイ攻撃などの攻撃に使用されたパケットを収集します。このセクションを通して、受講者はTCP/IP通信の基礎、ビット、バイト、2進数、16進数の理論、各フィールドの意味と予想される動作を学習します。受講者は、WiresharkやTcpdumpなどのツールを使用したトラフィック分析方法も学習します。

TCP/IPの概念

• パケットヘッダーとデータを理解する必要があるのはなぜですか？
• TCP/IP通信モデル
• データのカプセル化/非カプセル化
• ビット、バイト、バイナリ、16進数

Wireshark入門

• Wiresharkの操作方法
• Wiresharkプロファイル
• Wireshark統計オプションの検証
• ストリーム再構成
• パケット内のコンテンツの検索

ネットワークアクセス/リンク層：第2層

• リンク層の概要
• アドレス解決プロトコル
• 第2層への攻撃と防御

IP層：第3層

• IPv4
• 理論と実践における各分野の検証
• チェックサムとその重要性（特にネットワーク監視と回避における）
• フラグメンテーション：フラグメンテーションに関係するIPヘッダーフィールド、フラグメントの構成、最新のフラグメンテーション攻撃

UNIXコマンドライン処理

• パケットの効率的な処理
• 質問への回答とネットワーク調査のためのデータの解析と集約
• 正規表現を用いた迅速な分析

SEC503.2: ネットワーク監視と分析：パートII

このセクションこのレッスンは、本コースの「第二言語としてのパケット」セクションを締めくくるものであり、今後のより深い議論の土台となります。受講者は、TCP/IPモデルで使用される主要なトランスポート層プロトコルと、最新のトレンドがそれらの使用に及ぼす影響について深く理解することができます。このレッスンでは、WiresharkとTCPdumpを使用して自身のトラフィックを分析する方法を学習します。Wiresharkの表示フィルターとBerkeley Packet Filtersを活用し、大規模なデータを目的のトラフィックに絞り込み、従来型およびクラウドベースのインフラストラクチャにおける脅威を検出することに焦点を当てます。このセクションでは、各ヘッダーフィールドの意味と機能など、現代のネットワーク監視に非常に重要な影響を与える最新のイノベーションについても取り上げます。

Wireshark ディスプレイフィルタ

• Wireshark がディスプレイフィルタを作成するための様々な方法のいくつかを検証します。
• ディスプレイフィルタの構成

BPF フィルタの作成

• BPF の普遍性とフィルタの有用性
• BPF フィルタのフォーマット
• ビットマスクの使用

TCP

• 理論と実践における分野の検証
• パケット解析
• チェックサム
• 正常および異常な TCP 刺激と応答
• IDS/IPS における TCP 再構成の重要性

UDP

• 理論と実践における分野の検証
• UDP 刺激と応答

ICMP

• 理論と実践における分野の検証
• ICMP メッセージを送信すべきでないケース
• マッピングと偵察における使用
• 正常な ICMP
• 悪意のある ICMP

IP6

• 基礎
• IP6 からの改良点
• マルチキャストプロトコルと IP6 によるその活用方法
• IP6 の脅威

実世界アプリケーション：ネットワークの調査

• 最も多くのトラフィックを発信しているのは誰か？
• 人々は何に接続しているのか？
• ネットワーク上でどのようなサービスが稼働しているのか？
• どのような東西トラフィックが存在するのか？

SEC503.3: シグネチャベースの脅威検知と対応

本コースの3つ目のセクションでは、最初の2つのセクションを踏まえ、アプリケーション層プロトコルについて考察します。この知識を用いて、クラウド、エンドポイント、ハイブリッドネットワーク、そして従来型インフラストラクチャにおける脅威の検出方法を学習します。また、学生は強力なPythonベースのパケット作成ツールScapyについても学習します。Scapyを使用すると、パケットを操作、作成、読み取り、書き込みできます。Scapyを使用すると、監視ツールやファイアウォールの検出機能をテストするためのパケットを作成できます。特に、ユーザーが作成したネットワーク監視ルールに新たに発表された脆弱性が追加された場合、これは重要です。

Scapy

• Scapy を用いたパケット作成と分析
• ネットワークまたは Pcap ファイルへのパケットの書き込み
• ネットワークまたは Pcap ファイルからのパケットの読み取り
• ネットワーク分析とネットワーク防御における Scapy の実践的な活用法

高度な Wireshark

• Web オブジェクトおよびその他のサポート対象オブジェクトのエクスポート
• 任意のアプリケーションコンテンツの抽出
• Wireshark によるインシデント調査
• SMB プロトコルアクティビティの分析に使用する実践的な Wireshark
• Tshark

Snort/Suricata 入門

• ツールの設定と基本的なログ記録
• シンプルなルールの作成
• 一般的なオプションの使用

効果的な Snort/Suricata

• 大規模ネットワーク向けに真に効率的なルールを作成するためのより高度なコンテンツ
• 簡単にバイパスまたは回避されない柔軟なルールの作成方法を理解する
• Snort/Suricata における「自分の冒険を選ぶ」アプローチによる実践的なアクティビティのすべて
• 進化するエクスプロイトの段階的な検証と、あらゆる形態の攻撃を検出するためのルールの段階的な改善
• Snort/Suricata の応用アプリケーション層プロトコル

DNS

• DNSのアーキテクチャと機能
• DNSSEC
• EDNS（拡張DNS）などのDNSの最新技術
• キャッシュポイズニングを含む悪意のあるDNS
• DNS脅威活動を識別するためのルールの作成

Microsoftプロトコル

• SMB/CIFS
• 検出の課題
• Wiresharkの実践的なアプリケーション

最新のHTTP

• プロトコル形式
• このプロトコルが進化する理由と方法
• 検出の課題
• HTTP2とHTTP3の変更点

プロトコルの調査方法

• QUICをケーススタディとして使用する
• GQUICとIETF QUICの比較

実際のアプリケーション：関心のあるトラフィックの特定

• 大規模パケットリポジトリ内の異常なアプリケーションデータの検出
• 関連レコードの抽出
• アプリケーションの調査と分析

SEC503.4: ゼロデイ脅威検知システムの構築

セクション4では、最初の3つのセクションで得られた知識に基づいて、最新および将来の侵入検知システムを詳細に検討します。これまで学習した内容をすべて組み合わせることで、学生は Zeek (または Corelight) による高度な行動検出を通じて、Snort/FirePower/Suricata や次世代ファイアウォールよりもはるかに優れた脅威検出機能を設計できるようになります。

ネットワークアーキテクチャ

• トラフィック収集のためのネットワークのインストルメンテーション
• ネットワーク監視と脅威検出の導入戦略
• トラフィックをキャプチャするためのハードウェア

大規模ネットワーク監視の概要

• ネットワーク監視ツールの機能
• 検出におけるアナリストの役割
• 分析フローのプロセス

Zeek

• Zeekの概要
• Zeekの動作モード
• Zeekの出力ログとその使用方法
• 実践的な脅威分析と脅威モデリング
• Zeekのスクリプト作成
• Zeekを用いた関連する動作の監視と相関分析

IDS/IPSの回避理論

• 異なるプロトコル層における回避の理論と影響
• 回避のサンプリング
• ターゲットベースの検出の必要性
• ゼロデイ監視の回避

SEC503.5: 大規模脅威の検出、フォレンジック、および分析

このセクションでは、正式な指導ではなく、実践的な演習に重点を置いています。このセクションでは、NetFlowとIPFIXを用いたデータ駆動型の大規模分析と収集から始まる3つの主要分野を網羅します。コース前半で習得したプロトコルの知識を活用することで、NetFlowはクラウドや従来型インフラストラクチャにおける脅威ハンティングに活用できます。基礎を習得した後、受講者はカスタムNetFlowクエリの構築と使用を通して、より高度な分析と脅威検出へと進みます。2つ目のセクションでは、大規模分析というテーマを継続し、トラフィック分析について紹介します。ゼロデイ脅威ハンティングのための様々なツールと手法を紹介した後、受講者はそれらを実践する機会を得ます。また、異常検出における人工知能と機械学習の最先端の応用についても取り上げます。このセクションの最終セクションでは、ネットワークフォレンジックとインシデントの再現について解説します。受講者は、コースを通して習得したツールと手法を用いて、3つの詳細なインシデントを実際に体験します。

ネットワークフローレコードの使用

• NetFlow および IPFIX メタデータ分析
• SiLK を用いた対象イベントの検出
• NetFlow データによるラテラルムーブメントの特定
• カスタム NetFlow クエリの作成

脅威ハンティングと可視化

• エンタープライズ規模のネットワークでネットワーク脅威ハンティングを実行するための様々なアプローチ
• ネットワークの挙動を可視化して異常を特定する手法に関する演習
• データサイエンスの応用によるセキュリティ運用の効率化と脅威ハンティング
• 防御されたネットワークにおけるネットワークプロトコルの異常を特定する AI ベースシステムの実験

ネットワークフォレンジック分析入門

• ネットワークフォレンジック分析の理論
• エクスプロイトのフェーズ
• データ駆動型分析とアラート駆動型分析
• 仮説駆動型可視化

SEC503.6: 高度なネットワーク監視と脅威検知のキャップストーン

このコースの締めくくりは、サーバーベースのネットワーク監視と脅威検知の実践的なキャップストーンであり、やりがいがありながらも楽しい内容となっています。このコースでは、受講者は個人またはチームで、習得したツールと理論を用いて様々な問題に答えることで競い合います。6つのセクションに分かれた実世界データに基づき、時間的制約のあるインシデントを調査することが課題となります。この「同乗」イベントでは、受講者はプロのアナリストチームが行った同じデータ分析に基づいて問題に回答します。

要点

GIAC侵入アナリスト認定を取得することで、実務家はネットワークとホストの監視、トラフィック分析、侵入検知に関する知識を証明できます。GIAC GCIA認定を取得すると、侵入検知システムの設定と監視、ネットワークトラフィックとログファイルの読み取り、解釈、分析が可能になります。

GCIA認定は現在ご利用いただけます。代理試験センターをお探しなら、ここが最適です！CBT代理チームが、初回合格をサポートいたします。試験についてコンサルタントにご相談いただくには、下のチャットボタンをクリックしてください。