5.1 CRTP：Attacking and Defending Active Directory Lab

CRTPは、Active Directoryに対する攻撃と防御を学ぶオンラインラボです。Certified Red Team Professionalの認定パスに対応しており、Active Directoryセキュリティを基礎から実践的に理解したい技術者に適しています。

Active Directoryは、多くの企業ネットワークでIDとアクセス管理の中心にあります。クラウドサービスの導入が進んでも、オンプレミスのActive Directoryは、認証、グループポリシー、レガシーアプリケーション、ファイルアクセス、ドメイン参加端末、管理ワークフローなどを支え続けています。

CRTPでは、次のような内容を学習できます。

• Active Directory列挙
• 信頼関係の把握
• ドメイン権限昇格
• ドメイン永続化
• Kerberos関連攻撃
• ACLの問題
• SQL Serverとの信頼関係
• 防御の考え方
• 防御機構のバイパス
• WindowsおよびActive Directoryの攻撃経路

CRTPの価値は、Active Directoryが実際にどのように管理・運用されているかを前提に学べる点です。企業環境の弱点は、必ずしも特殊なマルウェアや一時的な脆弱性から生まれるわけではありません。通常機能の危険な設定、誤解された権限、継承されたアクセス、分離不足、可視性不足がリスクになります。

CRTPは、次のような担当者に適しています。

• Active Directoryセキュリティを学び始めるセキュリティエンジニア
• IDベースの攻撃を理解したいSOCアナリスト
• 内部ペネトレーションテストへ領域を広げたいテスター
• ドメインセキュリティを担当するIAM管理者
• Windows環境を運用するインフラエンジニア
• レッドチーム育成の基礎を設計する管理者

CRTPを受講することで、レッドチーム、ブルーチーム、システム管理者がActive Directoryのリスクを具体的な例で話し合えるようになります。委任、特権グループ、信頼関係、サービスアカウント、Kerberos、ローカル管理者権限、グループポリシー、ログ、特権アクセス運用など、対策すべき範囲を具体化できます。

5.2 CRTE：Advanced Red Team Lab

CRTEは、Active Directoryや企業セキュリティの基礎を理解している技術者向けの高度なレッドチームラボです。Certified Red Team Expertの認定パスに対応しています。

このラボでは、現代的なWindowsインフラ環境における攻撃・防御シナリオを扱います。受講者は非管理者ユーザーの立場からスタートし、複数フォレストにまたがる攻撃経路を理解します。単にソフトウェア脆弱性を悪用するのではなく、企業環境に存在する機能、設定ミス、信頼関係、見落とされがちな管理経路を理解することに重点があります。

CRTEでは、次のような内容を扱います。

• Active Directory列挙
• ローカル権限昇格
• フォレスト権限昇格
• アプリケーション許可リストのバイパス
• アクティブユーザーシミュレーション
• Kerberos委任の問題
• SQL Server関連の攻撃経路
• フォレスト間信頼
• AzureハイブリッドID
• Credential Guard
• Just Enough Administration
• LAPS関連の制御
• 選択的認証
• Deception
• Microsoft Defender for Endpoint
• Microsoft Defender for Identity

企業環境の侵害は、単一の手順で完結することは多くありません。攻撃者や認可されたレッドチームは、複数の行動を連鎖させて目的に近づきます。防御側も同じ連鎖を理解することで、どこでブロックし、どこで検知し、どこで調査すべきかを判断できます。

CRTEは、基本的なActive Directoryリスクを理解したうえで、複数フォレスト、信頼境界、権限昇格、防御回避、監視、ハイブリッドIDの影響を深く学びたい組織に適しています。

5.3 CRTM：Global Central Bank Enterprise Cyber Range

CRTMは、Global Central Bankと呼ばれる企業型サイバーレンジを通じて、レッドチームとブルーチームの高度な能力を検証する製品です。Certified Red Team Masterの認定パスに対応しています。

この製品は、標準的なコースラボとは異なり、企業シナリオを軸に設計されています。金融機関を模したWindowsおよびActive Directoryネットワークを用い、複数フォレスト環境での攻撃・防御演習を行います。権限昇格だけでなく、企業上の目的、制約、検知機会を意識した演習ができる点が特徴です。

Global Central Bankは、次のような組織・担当者に適しています。

• 成熟したレッドチーム
• ブルーチームおよびSOCチーム
• パープルチーム演習を行う組織
• 複雑なWindows／Active Directory環境を持つ企業
• 目的達成型の敵対者シミュレーションを実施したいチーム
• ログ分析と攻撃手法の理解を深めたいチーム

Global Central Bankでは、次のようなテーマを実践できます。

• 複数フォレストにまたがる攻撃経路
• 横展開
• ドメイン支配
• 現代的なWindows防御
• 攻撃手法の分析
• ログレビューと調査
• 目的達成型のレッドチーム実行
• ブルーチーム視点での対応検討
• パープルチーム連携

このサイバーレンジは、経験のあるチームが現実に近い条件で攻撃・検知・対応を見直すために有効です。演習後には、検知バックログ、インシデント対応手順、Active Directory強化方針、特権経路の理解、攻撃者滞在時間に関する前提の見直しなどにつなげることができます。

5.4 CARTP：Cloud Red Team Tactics for Attacking and Defending Azure - Beginner’s Edition

CARTPは、Azureに関するレッドチーム手法と防御の基礎を学ぶオンラインラボです。Certified by Altered Security Red Team Professional for Azureの認定パスに対応しています。

Azure環境では、ID、アプリケーション、自動化アカウント、ストレージ、仮想マシン、シークレット、管理ID、サブスクリプション、リソースグループ、CI/CD、オンプレミス環境が複雑につながります。クラウドのセキュリティ問題は、従来型のネットワーク脆弱性とは異なり、権限、トークン、同意付与、管理ID、ロール割り当て、公開リソースなどに起因する場合があります。

CARTPでは、Azureレッドチーミングとペネトレーションテストの流れを実践的に学びます。

• Discovery
• Initial Access
• Enumeration
• Privilege Escalation
• Lateral Movement
• Persistence
• Data Mining
• 検知と監視の考え方
• 防御バイパスの概念

CARTPは、ライブAzure環境を前提としており、複数のAzureテナント、リソース、ハイブリッドID、オンプレミスインフラを含む構成で学習できます。AzureとMicrosoft Entra IDのセキュリティは、権限やIDフローの関係性に大きく依存するため、静的な画面例だけでは理解しにくい領域です。CARTPは、設定や権限の変化がアクセスや攻撃経路にどのように影響するかを実体験できます。

CARTPは、次のような担当者に適しています。

• クラウドセキュリティエンジニア
• Azure管理者
• Microsoft Entra ID管理者
• クラウド評価に取り組むペネトレーションテスター
• クラウドアラートを担当するSOCアナリスト
• ハイブリッドID設計を担当するセキュリティアーキテクト
• Azureセキュリティ人材を育成したいIT管理者

CARTPの受講により、テナント発見、ストレージ露出、ロール割り当て、サービスプリンシパル、管理ID、ハイブリッドワーカー、アプリケーションプロキシ、クラウド監視などのリスクを実践的に理解できます。

5.5 CARTE：Cloud Red Team Tactics for Attacking and Defending Azure - Advanced Edition

CARTEは、Azureやクラウドレッドチーミングの基礎を理解した技術者向けの高度なAzureレッドチームラボです。Certified by Altered Security Red Team Expert for Azureの認定パスに対応しています。

多くの入門ラボでは基本的なクラウド設定ミスを扱いますが、企業のAzure環境では、条件付きアクセス、MFA、Microsoft Defender for Cloud、Privileged Identity Management、クロステナント制御、ハイブリッドIDなどが利用されています。CARTEでは、こうした防御策が存在する環境においても、機能、設定、トークン、信頼関係、複雑なクラウドワークフローがどのように攻撃経路となるかを学習します。

CARTEでは、次のような高度なAzureおよびMicrosoft Entra IDの概念を扱います。

• 条件付きアクセスの高度な考慮点
• 認可されたラボ環境におけるMFAバイパス概念
• Privileged Identity Management
• Microsoft Defender for Cloud
• JWT署名の悪用
• Family of Client IDs
• 属性ベースアクセス制御
• Temporary Access Pass
• カスタムクレーム
• クロステナントアクセス
• Azure Lighthouse
• Azure Arc
• マルチクラウドアクセス経路
• Officeアプリケーショントークン関連シナリオ
• Microsoft Entra IDにおけるKerberos
• デバイスコードフィッシングのシミュレーション
• Attacker-in-the-Middle型フィッシングの概念
• セッションCookie再利用のラボシナリオ
• ハイブリッドIDおよびクラウド同期の悪用
• Azure Arc対応サーバー

CARTEは、次のような担当者に適しています。

• シニアクラウドセキュリティエンジニア
• Azureを専門とするレッドチーム担当者
• クラウドペネトレーションテスター
• 企業Azure環境の統制を担当するセキュリティアーキテクト
• クラウド検知を設計するSOCエンジニアリングチーム
• Microsoft Entra IDガバナンスを担当するIAMリーダー
• 成熟したAzureセキュリティプログラムを持つ組織

CARTEは、Azure導入、条件付きアクセス、PIM、Defender for Cloudなどを運用している組織にとって、制御の境界と監視の考え方を現実的に理解するために有効です。

5.6 CESP-ADCS：AD CS Attacks for Red and Blue Teams

CESP-ADCSは、Active Directory Certificate Servicesと証明書ベースのIDリスクに特化したラボです。Certified Enterprise Security Professional - AD CSの認定パスに対応しています。

AD CSは、ユーザー認証、マシン認証、文書署名、メール署名、ファイル暗号化など、企業のPKI機能を支える重要な仕組みです。証明書は信頼、認証、暗号化と深く結びつくため、設定ミスが重大なセキュリティリスクにつながることがあります。

CESP-ADCSでは、次のような内容を実践的に学習できます。

• CA列挙
• ローカル権限昇格
• 証明書テンプレートの悪用
• 証明書ベースの永続化
• ドメイン権限昇格
• クライアント認証の悪用
• EFS関連の証明書シナリオ
• コード署名の考慮点
• SSH証明書関連の悪用
• CA侵害後のドメイン永続化
• VPN証明書を使ったネットワークピボット
• Linuxマシン上での証明書悪用
• Azureへの横展開
• ADフォレスト間での信頼されたCAの悪用

証明書サービスは、多くの企業に存在する一方で、IDセキュリティの担当チームとは別のチームが管理していることもあります。インフラの一部として扱われがちですが、攻撃者にとっては権限昇格や永続化の重要な手段になり得ます。

CESP-ADCSは、次のような担当者に適しています。

• Active Directory管理者
• PKI管理者
• IAMセキュリティチーム
• レッドチーム担当者
• ブルーチーム担当者
• 認証イベントを調査するSOCアナリスト
• 企業の信頼基盤を担当するセキュリティアーキテクト
• ハイブリッドIDや証明書ベース認証を利用する組織

このラボにより、証明書テンプレート、登録権限、CAの信頼境界、認証用途の証明書、証明書発行イベント、CA構成変更などを、セキュリティレビューや監視の対象として具体的に捉えられるようになります。

5.7 CETP：Advanced Windows Tradecraft - Evasion Techniques for Red Teams

CETPは、レッドチーム向けの高度なWindowsトレードクラフトと回避技術に焦点を当てたラボです。Certified Evasion Techniques Professionalの認定パスに対応しています。

エンドポイントセキュリティは大きく進化しており、EDR、Microsoft Defender for Endpoint、Sysmon、Event Tracing for Windows、Attack Surface Reductionルール、カーネルレベルの制御、振る舞い検知などが、セキュリティ評価の実施方法に影響を与えています。レッドチームは防御技術の仕組みを理解する必要があり、ブルーチームも攻撃者がどのように可視性を回避しようとするかを理解する必要があります。

CETPでは、次のような内容を扱います。

• Windows Internals
• ユーザーモードとカーネルモードの概念
• EDR内部構造とテレメトリ収集
• Microsoft Defender for Endpoint
• Elastic EDR
• Sysmon
• カーネルエクスプロイトのラボ概念
• Protected Processes
• Process Protection Light
• Digital Signature Enforcement
• Attack Surface Reductionルール
• Event Tracing for Windowsテレメトリ
• 静的検知のバイパス概念
• 難読化とコード仮想化
• EDRアラートの発生と報告の考え方
• 脆弱なドライバー探索のラボシナリオ

CETPは、基本的なエンドポイントセキュリティ研修ではなく、現代的な防御技術の動作を深く理解したい上級者向けの製品です。認可されたトレーニング環境内で、防御技術と攻撃手法の関係を理解することを目的としています。

CETPは、次のような担当者に適しています。

• レッドチーム担当者
• 上級ペネトレーションテスター
• 認可された環境でマルウェア解析に関わる専門家
• ブルーチームの検知エンジニア
• SOCエンジニア
• エンドポイントセキュリティアーキテクト
• セキュリティリサーチャー
• EDRの有効性や運用体制を評価したい組織

CETPは、攻撃手法と防御テレメトリの関係を理解するための製品です。単なるツール操作ではなく、エンドポイント対策の内部動作を理解し、組織の耐性評価と改善につなげることができます。

7.1 受け身ではなく手を動かす学習

動画視聴や資料中心の研修は、概念理解には役立ちます。一方で、実際のセキュリティ業務では、環境を調査し、仮説を立て、手順を試し、結果を読み解く力が必要です。

Altered Securityは、ラボ環境で実際に作業しながら学ぶ形式を重視しています。これにより、Kerberos、管理ID、AD CS、EDRテレメトリなどの抽象的なテーマを、実務に近い形で理解できます。

7.2 企業環境の関係性を意識したシナリオ

単体ホストの脆弱性だけでなく、Active Directoryフォレスト、信頼関係、ハイブリッドID、Azureテナント、証明書サービス、SQL Server、エンドポイント制御、ユーザーシミュレーション、ログ、攻撃チェーンなど、企業環境の関係性を意識して学習できます。

現代の侵害は、多くの場合、複数の権限、設定、ロール、サービスアカウント、証明書、トークン、自動化、信頼関係の連鎖として発生します。Altered Securityのラボは、この連鎖を理解するために有効です。

7.3 パッチ適用だけでは解決しないリスクに対応

企業リスクは、既知脆弱性だけでなく、正規機能の設定や運用から生まれることがあります。過剰権限、不適切な信頼関係、証明書テンプレートの設定ミス、過大なクラウドロール、監視不足などは、長期間残りやすいリスクです。

Altered Securityのラボでは、次のようなテーマを実践的に学べます。

• Kerberos
• 委任
• ACL
• AD CS証明書テンプレート
• Azure管理ID
• 条件付きアクセスの抜け道
• サービスプリンシパル
• ロール割り当て
• クロステナントアクセス
• ハイブリッドID経路
• エンドポイントテレメトリの盲点

7.4 レッドチーム、ブルーチーム、パープルチームで活用可能

Altered Securityのラボは、攻撃の手順だけでなく、検知、監視、緩和策の考え方にもつながります。

• レッドチーム：現実的な攻撃経路、企業制御、認定に沿ったスキルを習得
• ブルーチーム：攻撃者の流れ、アラートの文脈、検知優先順位を理解
• パープルチーム：共通シナリオを使い、対策と検知を具体化

7.5 AD CS、Azure、EDR回避など専門領域を深く学習

Altered Securityは、Active Directory、Azure、AD CS、エンドポイント回避、ハイブリッドIDなど、企業セキュリティで重要になりやすい領域に特化した製品を提供しています。

基礎的な理解を超えて、証明書、クラウドID、エンドポイントテレメトリ、複数フォレスト、サイバーレンジ演習を深めたい組織に適しています。

8.1 Active Directoryセキュリティ強化

CRTPで基礎を固め、CRTEで高度な攻撃経路を理解し、CESP-ADCSで証明書サービスを補強できます。成熟したチームではCRTMを使い、複数フォレストを含む企業シナリオを検証できます。

8.2 Azureセキュリティ評価の準備

CARTPでAzureとMicrosoft Entra IDの基礎的な攻撃経路を理解し、CARTEで条件付きアクセス、PIM、Defender for Cloud、クロステナントアクセスなどの高度なテーマを扱えます。

8.3 SOC検知エンジニアリングの改善

CRTP、CRTE、CARTP、CARTE、CETPを組み合わせることで、ID、クラウド、エンドポイントの攻撃シーケンスを理解し、アラートの文脈、検知ロジック、調査手順を改善できます。

8.4 新しいレッドチームの育成

CRTPとCARTPで基礎をそろえ、CRTE、CARTE、CETPで高度な企業環境・クラウド・エンドポイントの技術を補強できます。CRTMは成熟度確認に適しています。

8.5 ブルーチームの攻撃者視点強化

ブルーチーム担当者が攻撃手法を理解することで、アラートの意味、調査の優先順位、ログの見方、インフラ担当者との会話が具体化します。

8.6 AD CSと証明書サービスの見直し

CESP-ADCSを通じて、証明書テンプレート、登録権限、CA信頼境界、認証用途の証明書、証明書イベント監視を整理できます。

8.7 エンドポイント可視性の検証

CETPを利用することで、EDR、Sysmon、ETW、Defender for Endpointなどのテレメトリと、回避手法の関係を理解できます。

8.8 企業型サイバーレンジ演習

CRTMを利用し、経験のあるレッドチームとブルーチームが、目的達成型のシナリオで攻撃、検知、調査、振り返りを実施できます。

Q1. Altered Securityとは何ですか。

Altered Securityは、オンライン・レッドチームラボ、企業セキュリティラボ、サイバーレンジ、トレーニングコンテンツ、ハンズオン認定パスを提供するサイバーセキュリティ教育企業です。Active Directory、Azure、Microsoft Entra ID、AD CS、企業攻撃経路、エンドポイント回避技術などに重点を置いています。

Q2. これらの製品はソフトウェアですか。

対象製品は、オンラインで利用するラボおよびサイバーレンジ環境です。製品によって、ラボアクセス、クラウドホスト型環境、教材、図解、ウォークスルー、サポートチャネル、認定試験が含まれます。

Q3. Altered Securityのラボは誰に適していますか。

レッドチーム、ブルーチーム、SOCアナリスト、ペネトレーションテスター、クラウドセキュリティエンジニア、IAM管理者、Active Directory管理者、セキュリティアーキテクト、検知エンジニア、企業の情報システム部門、セキュリティ人材育成を計画する意思決定者に適しています。

Q4. 初学者はどのラボから始めるべきですか。

Active DirectoryであればCRTP、AzureとMicrosoft Entra IDであればCARTPが出発点として適しています。証明書サービスを担当する場合は、CESP-ADCSも有効です。

Q5. 高度なActive Directoryセキュリティに適したラボはどれですか。

CRTEは高度なActive Directoryラボとして適しています。さらに成熟したチームが複数フォレストや目的達成型シナリオを扱う場合は、Global Central Bankを利用するCRTMが適しています。

Q6. Azureセキュリティに適したラボはどれですか。

CARTPはAzureレッドチーム学習の基礎から中級に適しています。CARTEは、条件付きアクセス、MFA、PIM、Defender for Cloud、クロステナントアクセスなどを含む高度なAzure演習に適しています。

Q7. ブルーチームにも役立ちますか。

はい。多くのラボは攻撃手法だけでなく、ログ、監視、検知、回避概念、緩和策の理解にも役立ちます。ブルーチームが攻撃者の流れを理解し、検知や調査の質を高めるために活用できます。

Q8. ペネトレーションテストの代わりになりますか。

いいえ。Altered Securityはトレーニングとラボ環境です。スキル開発と準備には有効ですが、認可されたペネトレーションテスト、レッドチーム評価、セキュリティアーキテクチャレビュー、本番環境監査を置き換えるものではありません。

Q9. Microsoft Entra IDセキュリティに役立ちますか。

はい。CARTPとCARTEでは、Azure、Microsoft Entra ID、クラウドID、テナント、リソース、ロール割り当て、ハイブリッドID、条件付きアクセス、MFA関連シナリオ、クラウド攻撃・防御の流れを扱います。

Q10. Active Directory Certificate Servicesに役立ちますか。

はい。CESP-ADCSはAD CSの攻撃と防御に特化しています。証明書サービスを利用する組織が、証明書ベースのIDリスクを理解するために有効です。

Q11. CETPはIT部門全体向けの基礎研修ですか。

CETPは高度な製品であり、レッドチーム、エンドポイントセキュリティ専門家、検知エンジニア、SOCエンジニア、セキュリティリサーチャーなど、エンドポイント対策と回避技術を深く理解したい担当者に適しています。

Q12. ラボは安全に利用できますか。

ラボは、管理された認可済み学習環境で利用することを前提としています。受講者はベンダーの利用条件に従い、攻撃的な技術を認可されていない環境で使用してはいけません。

Q13. 企業ではどのように導入すればよいですか。

目的を定義し、役割ごとにラボを割り当て、アクセス期間を選び、受講者を決め、社内レビューを行い、学習結果を検知、ハードニング、対応手順の改善に反映します。完了率や認定結果だけでなく、改善タスクの数や検知ロジックの更新状況も指標にできます。

Q14. 複数製品を学習パスとして組み合わせられますか。

はい。オンプレミスのレッドチーム育成であればCRTP、CRTE、CRTMを組み合わせる構成が考えられます。Azure中心であればCARTPとCARTEを組み合わせ、必要に応じてCESP-ADCSやCETPを加えることができます。

Q15. 他の研修形式と比べた主な利点は何ですか。

主な利点は、企業環境を意識した実践型ラボで学べることです。Active Directory、Azure、ID、AD CS、エンドポイント、サイバーレンジを通じて、攻撃経路、防御、監視、検知、認定によるスキル確認までを一貫して扱えます。