Black Hat Japan 2007 Briefings and Training
東京新宿 京王プラザホテル • 10/23(火) - 24(水)

NSA InfoSec Assessment Methodology Course - IAM Level 1
米国国家安全保障局（NSA）InfoSecアセスメント方法論（IAM）：レベル1

Security Horizon

持参するもの：
ご自身のみ。

NSA-IAMの認定証を希望する方は右記の説明をよくお読みください。

概要：

注意）NSA認定証コースは最近アップデートされました。座席数は限られていますので、コースへの登録はなるべく早めにいただくことを強くおすすめします。

本講座では、安全米国国家保障局（NSA）が、組織における情報セキュリティについてアセスメントを行う際に使用している方法論を紹介する。ここでは、顧客組織の任務、その任務を支える重要情報、それらの情報がどのように保護されるべきかに関する規制や法制度、などに焦点を絞る。InfoSecアセスメント方法論（IAM）は、どのような組織でも適用できる柔軟性があり、特定の法規制などからも独立したものである。IAMはレベル1評価を行うベースラインとして使われるよう作られている。

本講座の目的：

1. これは方法論の講座であり、情報セキュリティ産業全体で繰り返して利用可能なプロセスを構築することが、本講座の目的である。これは、様々なベンダーを利用する場合に、情報セキュリティを必要とする顧客がそれらベンダーに何を期待できるのかがわかるようにすることである。ただしこれは、すぐインプリメントできるようなビジネスプロセスと考えるべきではない。
2. NSA IAMは重要情報に焦点を当てている。受講者は、組織の任務、その任務にとって重要な情報、その情報がどこに存在するか、の特定の仕方、情報を失った場合になにが起こるのかを学ぶ。
3. NSA IAM講座は、ツールを使う講座 *ではなく*、ポリシー、手順、情報の流れに焦点を当てる講座である。本講座で使用されるアセスメント・プロセスには、必要書類のレビュー、対面調査テクニック、および組織の管理職や人々と直接やりとりを行う方法、などが含まれる。ツール類については、レベル2 NSA方法論となるINFOSEC評価方法論（IEM）で詳しく取り上げる。
4. 4. この講座では、実際の例をいくつか紹介する。たとえば、米国国防省関連、連邦政府関連、公共サービス関連、病院関連、金融業界、教育業界などである。これらでアセスメント系の作業が実行される際のいくつかの問題について洞察する。
5. この講座では、NSAプログラムの創成期から携わっている、熟練した専門家がインストラクターとしてNSA方法論を講義する。本講座は「この作業にはどのようにアプローチするか」、「なぜそれが問題となるのか」、「なぜ警戒しないといけないのか」といった視点から構成されている。
6. この講座は、認定証が発行される講座である。下記の認定証の授与要件を満たす受講者は、NSAが発行するIAMに関する認定証を受ける資格がある。下記の要件を満たすと考える受講者は、資格があることを証明できる履修登録書類を事前に提出する必要がある。

本講座で予想しうること：
NSA IAM講座は、インタラクティブかつ形式張らない講義形式であり、受講者には、授業の1時間目から内容に積極的に参加する形をはかる。参加者全員プロフェッショナルであるので、それぞれの専門分野での多様な経験、知識、背景を持ち寄るのことになる。それをもとに講座内容に密接に関連したディスカッションが行われるので、受講者は意見を出せるように心構えをしておく必要がある。現実に、講義終了後も受講生同士が飲みながら同じ議論を続ける姿を見かけることも多々ある。

講座の進め方：
受講者は、グループを形成する形で、IAM方法論の各セクションについて順番に触れて行きながら NSA IAMを学ぶ。各グループは、NSA IAMを適用する組織（公共サービス、病院、金融、軍、研究所など）を、シナリオケースとして割り当てられる。グループ演習は二日間で三回。講義は、パワーポイントスライド、レクチャー、映像、といった形式で提供される。

2日目の講座終了時に最終テストが行われる。最終テスト結果が次のアドバンスドコースである「IEM レベル２」コース(Bootcamp Style) にすすめるかどうか左右する。

認定証：
認定証授与を希望する受講者は、「Registration Packet(NSAIAM登録申込書(記入方法ガイド付))」を事前に記入し、Black Hat Japan 総合事務局まで提出する必要があります。原則として、受講の30日前に送付いただくことをNSA認定証をタイムリーに発行するためにも強くおすすめします。

認定証を希望する受講者は下記の要件を満たす必要がある:

• 二日間のクラスすべてに参加すること
• クラスでのディスカッションやグループエクササイズを通じてIAMの理解が示されること
• IAMテストで一定のグレード(70%以上)を得ること
• 情報セキュリティ（INFOSEC）、通信セキュリティ（COMSEC）、コンピュータ・セキュリティのいずれかの分野で5年以上の経験があること
• その5年の内2年は、コンピュータシステム、ネットワーク脆弱性、セキュリティ・リスクの分析に直接的に携わった経験を持っていること
• 申し込みに際して、現在までの経歴を記入した「Registration Packet(NSAIAM登録申込書(記入方法ガイド付))」を、資料に記載のBlack Hat Japan 総合事務局に送ること。書類はその後 SecurityHorizon社を経由してNSAにより審査される。
• 日本でのトレーニングでは米国国籍を有する必要はない。日本国籍の受講者にも認定証は発行される

認定証を希望する受講生は、申請書の手続きで認可を得るため、なるべく早めに登録することを強くおすすめします

備考：
* テスト内容は英文の質問文に日本語訳が並記される。選択問題等の形式を予定
* テストはオープンブック形式で行われる。テスト時に辞書、テキスト、資料などが持込可能
* CPEクレジットは受講者自身で申請すること。１日8時間として提出が可能

Ed Fuller, COO, Security Horizon, Inc.
Greg Miles, President, Security Horizon, Inc.
Brian Kirouac, CTO, Security Horizon, Inc.

コースの長さ：
全二日間。すべての資料、ランチ、2度のコーヒーブレイクが提供されます。 講義がすべて修了した方には、Black Hat 修了証と、最終テストなど基準を満たした受講生には NSAIAM認定証が後日発行されます。

備考： 2名様以上の一括登録、インターネット協会会員、支援協会会員の場合は、詳細をお問い合わせ下さい。