Slide 1

Slide 1 text

株式会社リクルートテクノロジーズ サイバーセキュリティ部 セキュリティオペレーションセンター(SOC) 安東 美穂 異業種に転職したら レベル1でクラッカーと戦うことになった件 〜Recruit-CSIRT セキュリティ監視の現場から〜

Slide 2

Slide 2 text

2 ⾃⼰紹介 安東 美穂 (あんどう みほ) 株式会社リクルートテクノロジーズ 2014年 12⽉ リクルートテクノロジーズ ⼊社/現職 セキュリティオペレーションセンター(SOC)所属 2011年 4⽉ 国内某ホスティング会社 新卒⼊社 パブリッククラウド商材のテクニカルサポート担当 ⽒名 所属 略歴 ⽇経コンピュータ連載記事に寄稿 書籍「現場で使えるセキュリティ事故対応」 好きなコマンド:nmap 課外活動:ミニ四駆 ・リクルートのサービスのセキュリティ監視、解析(IDS/WAF) ・WAF監視導⼊⽀援 など 担当 業務

Slide 3

Slide 3 text

3 誠に僭越ながら・・ Itmedia エンタープライズさんに記事にしていただきました

Slide 4

Slide 4 text

• リクルートグループについて • Recruit-CSIRTとSOCについて • 異業種への転職の話 • 未経験者が⾒たリクルートのSOC現場 • セキュリティのスキルアップ 4 今⽇のお話

Slide 5

Slide 5 text

5 特にこんな⽅に向けてのお話です これからセキュリティ のメンバーを採⽤/育成 したい セキュリティアナリス トを⽬指したい SOCの⽴ち上げを 検討している

Slide 6

Slide 6 text

リクルートグループについて 6

Slide 7

Slide 7 text

リクルートグループについて 7 創業 1960年3⽉31⽇ 「⼤学新聞広告社」としてスタート グループ 従業員数 45,856名 (2019年3⽉31⽇時点) 連結売上⾼ 23,107億円 (2018年4⽉1⽇〜2019年3⽉31⽇) 連結営業利益 2,230億円 (2018年4⽉1⽇〜2019年3⽉31⽇) グループ 企業数 344社 (⼦会社および関連会社、2019年3⽉31⽇時点) ⽬指す世界観 「あなた」を⽀える存在でありたい

Slide 8

Slide 8 text

リクルートの事業内容について 8 ライフイベント領域 進学 就職 結婚 転職 住宅購⼊ ⾞購⼊ 出産/育児 旅⾏ ビジネス⽀援 ⽣活/地域情報 グルメ・美容 ライフスタイル領域 選択・意思決定を⽀援する情報サービスを提供し、 「まだ、ここにない、出会い。」を実現する。

Slide 9

Slide 9 text

リクルートのビジネスモデルについて 9 リクルートには、ユーザーとクライアントという2つのお客様が存在します。 企業と⼈(B to C)、企業と企業(B to B)、⼈と⼈(C to C)、すべての間に⽴ち、 双⽅にとって最適なマッチングを図る「場」を提供しています。 ユーザーとクライアントを新しい接点で結び、 「まだ、ここにない、出会い。」の場を創造する。

Slide 10

Slide 10 text

リクルートテクノロジーズは、リクルートグループのIT・ネットマーケティング領域の テクノロジー開発を担う会社です。 リクルートグループにおけるリクルートテクノロジーズについて 10 リクルート ホールディングス リクルートキャリア リクルート住まいカンパニー リクルートライフスタイル リクルートジョブズ リクルートマーケティングパートナーズ リクルートテクノロジーズ リクルートスタッフィング スタッフサービス・ホールディングス リクルートコミュニケーションズ メディア & ソリューション事業 (株)リクルート ⼈材派遣事業 Recruit Global Staffing B.V. HRテクノロジ― 事業 RGF OHR USA, Inc. その他海外派遣グループ会社 Indeed,Inc.

Slide 11

Slide 11 text

リクルートテクノロジーズの役割について 技術・ソリューションを磨き続け、リクルートの各サービスがもつ価値を最⼤限に発揮 できるようビジネスへ実装。 ITの側⾯からサービスを進化させることを通じて、世の中に新しい価値を提供していき ます。 11

Slide 12

Slide 12 text

リクルートテクノロジーズの事業内容について 将来のニーズを⾒据え、新しい技術のR&D・ソリューションの開拓を実現。 検証を続け、いち早く活⽤できるレベルに引きあげることで、中⻑期的なビジネス競争 優位を構築していきます。 12

Slide 13

Slide 13 text

Recruit-CSIRTとSOCについて

Slide 14

Slide 14 text

14 Recruit CSIRTのSOCについて 早期検知 未然防⽌ ■脆弱性診断、開発者教育 ■パッチマネジメント(情報収集と展開) ■早期警戒 被害最⼩化 ■事故発⽣時の対応⽀援 ■現場対応(証拠保全、影響調査など) ■外部関連機関との連携 ■セキュリティ監視運⽤ (商⽤インフラ、マルウェア解析、内部不正) ■監視基盤の運⽤・開発 ■監視機器チューニング Recruit CSIRTはリクルートグループのセキュリティ監視/事故対応/開発⽀援を ⾏う専⾨部隊です。

Slide 15

Slide 15 text

15 Recruit CSIRTのSOCについて 早期検知 セキュリティ事故の予兆の検知、および事故発⽣時の対応を 迅速に・効率良く⾏うのがSOCの役割 未然防⽌ ■脆弱性診断、開発者教育 ■パッチマネジメント(情報収集と展開) ■早期警戒 被害最⼩化 ■事故発⽣時の対応⽀援 ■現場対応(証拠保全、影響調査など) ■外部関連機関との連携 ■セキュリティ監視運⽤ (商⽤インフラ、マルウェア解析、内部不正) ■監視基盤の運⽤・開発 ■監視機器チューニング Recruit CSIRTはリクルートグループのセキュリティ監視/事故対応/開発⽀援を ⾏う専⾨部隊です。

Slide 16

Slide 16 text

リクルートのインフラ環境 SOCの監視対象の環境は⼤きく分けて執務と商⽤の⼆種類 – 執務環境:リクルートグループの社内システム/従業 員端末などがあるインフラ(NW) – 商⽤環境:リクルートのWEBサービスがあるインフラ 16 執務環境 商⽤環境 標準環境 NW リクルートID サービス向け インフラ 標準商⽤ インフラ 独⾃オンプレ ※複数 独⾃クラウド ※複数 独⾃NW ※複数 セキュア 環境NW • 端末のマルウェア感染 • 内部不正 • WEBアプリ/サーバーソフトウェ アの脆弱性を狙った攻撃 • 不正ログイン

Slide 17

Slide 17 text

Ø リクルートのWEB商⽤環境の24/365のセキュリティ監視、 解析(オンプレ、クラウドともに複数) Ø リクルートのWEB商⽤環境へのセキュリティ施策導⼊ Ø セキュリティ監視運⽤設計、オペレーション検討/改善 SOCにおける担当業務

Slide 18

Slide 18 text

Ø リクルートのWEB商⽤環境の24/365のセキュリティ監視、 解析(オンプレ、クラウドともに複数) Ø リクルートのWEB商⽤環境へのセキュリティ施策導⼊ Ø セキュリティ監視運⽤設計、オペレーション検討/改善 SOCにおける担当業務 セキュリティ未経験だった私と、⽴ち上がったばかりのR-CSIRTが 現在に⾄るまでのお話をします

Slide 19

Slide 19 text

異業種への転職の話

Slide 20

Slide 20 text

リクルート⼊社前 20 国内の某ホスティング会社のテクニカルサポートに新卒⼊社 WEBサーバート ラブル切り分け VM作成、設定 サポート SSL証明書設定 ⽅法案内 ユーザー向け FAQ作成

Slide 21

Slide 21 text

リクルート⼊社前 21 国内の某ホスティング会社のテクニカルサポートに新卒⼊社 WEBサーバート ラブル切り分け VM作成、設定 サポート SSL証明書設定 ⽅法案内 ユーザー向け FAQ作成 DDoSによる 障害 不正アクセス被害 の相談 Abuse/警察 対応 OS/MW 脆弱性対応 専⽤サーバー/パブリッククラウド担当だったため、 不適切なサーバー管理によるセキュリティのトラブルを多く⽬の当たりに

Slide 22

Slide 22 text

リクルート⼊社前 22 国内の某ホスティング会社のテクニカルサポートに新卒⼊社 WEBサーバート ラブル切り分け VM作成、設定 サポート SSL証明書設定 ⽅法案内 ユーザー向け FAQ作成 DDoSによる 障害 不正アクセス被害 の相談 Abuse/警察 対応 OS/MW 脆弱性対応 専⽤サーバー/パブリッククラウド担当だったため、 不適切なサーバー管理によるセキュリティのトラブルを多く⽬の当たりに 技術⾯でのスキルアップに加え、 安⼼なサービスを管理/運⽤する側に回りたいと考えるように

Slide 23

Slide 23 text

23 そんな私を未経験で採⽤したのが

Slide 24

Slide 24 text

リクルートのセキュリティ組織の成り⽴ち セキュリティ機器の導⼊・検証・運⽤を⾏うSOCの前⾝。 WEBアプリケーション攻撃や標的型攻撃を検知すべく、 ⼀通りの監視機器を揃える 24 インフラ組織の中にセキュリティ担当部⾨ができる セキュリティ部が発⾜ 2014年 4月 2013年 10月 リクルートの情報セキュリティ対策の⽅針策定から、 喫緊のインシデント対応を⾏うセキュリティグループが発⾜

Slide 25

Slide 25 text

リクルートのセキュリティ組織の成り⽴ち セキュリティ機器の導⼊・検証・運⽤を⾏うSOCの前⾝。 WEBアプリケーション攻撃や標的型攻撃を検知すべく、 ⼀通りの監視機器を揃える 25 インフラ組織の中にセキュリティ担当部⾨ができる セキュリティ部が発⾜ 2014年 4月 2013年 10月 Recruit CSIRT発⾜ 2015年 4月 リクルートの情報セキュリティ対策の⽅針策定から、 喫緊のインシデント対応を⾏うセキュリティグループが発⾜ 2014年 12月 安東⼊社

Slide 26

Slide 26 text

26 当時の状態 この当時の私 • LPIC、CCENT、Oracle Master Bronzeなどイン フラ基礎資格は所有 • セキュリティエンジニア って何するの? • Pcapという拡張⼦を知ら ない • サンドボックスは、箱? • 何がセキュリティ⽤語で 何がリクルート⽤語か区 別がつかない

Slide 27

Slide 27 text

27 当時の状態 この当時の私 • LPIC、CCENT、Oracle Master Bronzeなどイン フラ基礎資格は所有 • セキュリティエンジニア って何するの? • Pcapという拡張⼦を知ら ない • サンドボックスは、箱? • 何がセキュリティ⽤語で 何がリクルート⽤語か区 別がつかない この当時の組織 • 数ヶ⽉前に国内他社で起 きたセキュリティ事故を 受け意識が⾼まっている 状態 • セキュリティを専⾨とす る社員わずか数⼈ • のちにCSIRTのマネー ジャーとなる⼈が同期⼊ 社 • のちにSOCのマネー ジャーとなる⼈が3ヶ⽉ 後に⼊社 ×

Slide 28

Slide 28 text

28 当時の状態 この当時の私 • LPIC、CCENT、Oracle Master Bronze(などイ ンフラ基礎資格は所有 • Pcapという拡張⼦を知ら ない • wireshark触ったことな し • サンドボックスは、箱? • 何がセキュリティ⽤語で 何がリクルート⽤語か区 別がつかない この当時の組織 • 数ヶ⽉前に国内他社で起 きたセキュリティ事故を 受け意識が⾼まっている 状態 • セキュリティを専⾨とす る社員わずか数⼈ • のちにCSIRTのマネー ジャーとなる⼈が同期⼊ 社 • のちにSOCのマネー ジャーとなる⼈が3ヶ⽉ 後に⼊社 × ⾮常にチャレンジングな状況

Slide 29

Slide 29 text

とりあえずSOCの現場に放たれた 29 そんな状況で

Slide 30

Slide 30 text

未経験者が⾒たリクルートのSOC現場 その1 IDS/WAF監視対応 30

Slide 31

Slide 31 text

リクルートの商⽤監視 31 IDS Intrusion Detection System WAF Web Application Firewall NWF Network Forensics 主にOSやミドルウェアの脆弱性を狙った通信 を検知するシステム ※検知+遮断する場合はIPS(Intrusion Protection System) 主にWEBアプリケーションの脆弱性を狙った 通信を検知/遮断するシステム 環境内に流れる通信のパケットをキャプチャし て収集、解析するためのシステム • 商⽤監視では以下の3つの監視機器を活⽤

Slide 32

Slide 32 text

• リクルートの商⽤インフラ(WEBサイト)のうち、セキュリティレベル として⼀定の基準に該当するものは、WAF、IDS、NWFを導⼊している • これらのログをSOCで収集/解析し、24/365で監視、解析(⼀次解析に MSSを導⼊) リクルートの商⽤監視

Slide 33

Slide 33 text

IDS/WAFの監視対応 • MSSからのアラート通知が来たら攻撃成否/影響を判断し、 事業への通知や通信遮断を⾏うのが主な任務 33 監視対象サービス 400以上 1ヶ⽉の検知アラート数 約2億件 ※IDS+WAF • SOCでWAF/IDSを⽤いて監視をしている規模

Slide 34

Slide 34 text

IDS/WAFの監視対応 34 監視対象サービス 400以上 1ヶ⽉の検知アラート数 約2億件 ※IDS+WAF • SOCでWAF/IDSを⽤いて監視をしている規模 とりあえず電話が鳴ったら出 てね 私 当時のボス はい! (いきなりアラート対応…! できるだろうか…) あと対応フローを⾒直して 作り直してみて はい! (フロー整備は得意) • MSSからのアラート通知が来たら攻撃成否/影響を判断し、 事業への通知や通信遮断を⾏うのが主な任務

Slide 35

Slide 35 text

商⽤環境インシデント対応フロー例 (1)攻撃の種類や内容の調査 検知アラートの内容から攻撃の可能性を判断。また、何を狙ったどのよ うな攻撃かを⾒⽴てる。 (2)送信元、送信先の調査 IPアドレスなどの基本的な情報から不審な送信元かどうかを判断。 (3)攻撃成否/影響範囲の調査 ネットワークフォレンジックで通信のリクエストとレスポンスを確認し 攻撃成否と攻撃意図を調査。また前後の通信を確認し影響を判断する。 (4)脆弱性の確認 脆弱性のあるプロダクト/ソフトウェアの利⽤有無とバージョンを確認。 必要に応じパケットの再送や検査を実施し影響を検証。 (5)ログ、履歴の調査 必要に応じてFWログやApacheログ、認証ログなどとの突合調査。 35 IDS/WAF 検知 NWF 深堀調査 封じ込め/ 回復 → FW遮断、脆弱性の修正、サイト停⽌などのインシデントレスポンスへ

Slide 36

Slide 36 text

36 着任して間もない頃の対応例 不正なファイルアップロード試⾏の攻撃を検知しました。 攻撃が成功している可能性があります。 不審な送信元IPみたい・・FW遮断をして事業に通知! 私 事業 担当 MSS 確認しました。問題ありませんでした! 私 承知しました。ご確認ありがとうございます! あれ、問題ないと⾔っているけど、本当に問題ないんだろう か?? →何を根拠に判断すれば良いか分からず、⾃信を持って判断できない

Slide 37

Slide 37 text

• 判断ミス未遂事件 →BlindSQLインジェクションの攻撃を受け、失敗の判断 をしかけたが成功していたことが判明 • 連続MSSQL攻撃事件 →複数のサイトに対してMSSQLの脆弱性を狙った攻撃が 定期的に発⽣。パケットから成否の判定が難しくサイト へMSSQLの使⽤状況を都度確認することに。 37 こんなケースも 判断のための情報が揃って いない パケットに攻撃成否が 出にくい →攻撃の種類や受け⽅、情報により攻撃成否の判断に迷うケースも多い

Slide 38

Slide 38 text

38 ちなみに • ITmediaさん記事より https://www.itmedia.co.jp/enterprise/articles/1904/22/news015.html とあるが • 現在は数名のアナリスト+IRメンバで体制が整い、 Slackなどのツールの活⽤もあり⼀⼈での判断をする 状況は発⽣していない チームメンバーに感謝!

Slide 39

Slide 39 text

未経験者が⾒たリクルートのSOC現場 その2 セキュリティ監視導⼊⽀援 39

Slide 40

Slide 40 text

セキュリティ施策を横断組織で推進 • リクルートでは、株式会社リクルート(RCL)と株式会社リクルートテクノロジーズ(RTC)が 共同でセキュリティに対するマネジメント運営を実施しています。 • RCLでは業務セキュリティ、RTC ではシステムセキュリティに関する対応をしています。 40 サービス アプリ インフラ ASP セキュリティ 組織 グループ会社事業組織 グループ⼦会社 経営企画 総務 事業部A IT 企画 内 部 統 制 事業部B IT 企画 NB部 IT 企画 経営企画 総務 事業部 C IT 企画 委託先 (⼀般& システム) 委託先 (⼀般& システム) 指 ⽰ / 管 理 要件共有 施策詳細 グループ会社体制 内部統制責任者 総務 システ ム 内部統 制 全体 責任者 施策 推進者 保有する情報資産の例 リクルートグループのセキュリティ機能 リクルートグループにおけるセキュリティ対策の対象 セキュリティ対策の対象 機能 役割 戦略 全体統括 ⽅針・規定 施策推進 運⽤管理 (CSIRT) 監査 リスク管理 セキュリティ戦略の策定/経営との合意 予算管理 セキュリティ組織全体の管理 業務セキュリティの⽅針・要件の策定 システムセキュリティの⽅針・要件の策定 ソリューションの構築 各社の施策導⼊に対する推進・検討⽀援 インシデント対応 セキュリティ監視(SOC) 脆弱性管理 業務セキュリティ監査・アセスメント システムセキュリティ監査・アセスメント セキュリティ 実装⽀援 業務セキュリティ実装・検討⽀援 システムセキュリティ実装・検討⽀援 ルール策定 執⾏依頼

Slide 41

Slide 41 text

• セキュリティ施策対象サービスにおいてはWAFとNWFの 導⼊が求められることに • WAFとNWF導⼊におけるSOCの担当範囲のPLを任される 41 セキュリティ施策導⼊ 対象サイト 40超 対象環境 5環境 (オンプレ/クラウド含む)

Slide 42

Slide 42 text

• セキュリティ施策対象サービスにおいてはWAFとNWFの 導⼊が求められることに • WAFとNWF導⼊におけるSOCの担当範囲のPLを任される 42 セキュリティ施策導⼊ 対象サイト 40超 対象環境 5環境 (オンプレ/クラウド含む) 再びチャレンジングな采配

Slide 43

Slide 43 text

• 商⽤セキュリティ施策導⼊の流れ 43 セキュリティ施策の導⼊〜運⽤開始まで アプライ アンス導⼊ パラメータ ヒアリング 監視サービス 設計 実装・ チューニング 本格 運⽤開始

Slide 44

Slide 44 text

• 商⽤セキュリティ施策導⼊の流れ アプライ アンス導⼊ パラメータ ヒアリング 監視サービス 設計 実装・ チューニング 本格 運⽤開始 SOCの担当範囲 セキュリティ施策の導⼊〜運⽤開始まで 導⼊におけるSOCの役割 監視対象環境に導⼊されたセキュリティ機器で監視開始できるように するのがSOCの役割 ① 監視サービス設計 ② 監視ルールの設定 ③ 監視ルールのチューニング ④ サイト責任者連絡先確認、フロー説明

Slide 45

Slide 45 text

セキュリティ施策の導⼊〜運⽤開始まで ①監視サービス設計 – MSS選定 – 監視基盤の設置、ログ収集回線敷設 – 社内SOCとしての監視サービスレベル、提供内容の検討 ②監視ルールの設定 – どの監視ルールをONするか?(監視対象環境に合わせて設定) ③監視ルールのチューニング – ルールをONにした後の検知状況を様⼦⾒(1週間〜2週間) – 過検知したアラートの対応を検討する(無視する/除外する) ④サイト責任者連絡先確認、フロー説明 – サイトの開発者や事業担当の連絡先をヒアリング – サイト担当へSOCによる運⽤のサービスレベルやフローを説明 45

Slide 46

Slide 46 text

• 以降、新規対象の環境が追加される場合は、商⽤監視 チームの定常タスクとして対応 • 現在、対象サービスは60超 46 2年間のプロジェクトの結果 対象サイト 40超 対象環境 5環境 (オンプレ/クラウド含む) 対象環境において全て予定通りに導⼊完了! 無事、運⽤フェーズへ

Slide 47

Slide 47 text

未経験者が⾒たリクルートのSOC現場 その3監視運⽤の磨き込み 47

Slide 48

Slide 48 text

SOC⽴ち上げ当初の運⽤課題 まずは監視センサーを導⼊・・・ →アラートが⼤量発⽣! 48 24/365の監視体制 ⼤量のアラートへの対応 体制不⼗分 時間がかかる 脅威度の分析・⾒極め SOCとして求められた対応 1 2 3 武器はあれど、兵⼠の訓練や戦術がない状態 ナレッジがない

Slide 49

Slide 49 text

SOC⽴ち上げ当初の運⽤課題 浮き彫りになった3つの課題 49 分析スキル/精度 対応スピード 体制 1 2 3

Slide 50

Slide 50 text

SOC⽴ち上げ時の課題 その1 50 対応スピード 体制 分析スキル/精度 1 2 3

Slide 51

Slide 51 text

課題① 対応スピード • 役割分担、対応フローの明確化 CSIRT内で役割分担し、SOCは検知・初動対応に専念する ことで対応がスムーズに 51 アラートごとに連携先が様々で SOCの対応が煩雑になっていた BEFORE ʁ ʁ ʁ 事業担当A 事業担当B SOCでの解析・初動対応後、 クロージングまでIRチームが引き継ぎ AFTER ʂ IR SOC 事業担当

Slide 52

Slide 52 text

SOC⽴ち上げ時の課題 その2 52 対応スピード 分析スキル/精度 1 3 体制 2

Slide 53

Slide 53 text

課題② 体制 • 外部ベンダー(MSS)に夜間休⽇も含め た⼀次アラート監視を依頼 ⼤量のアラートをふるいにかけ、疑わしきもののみを⾃社 SOCで調査。 →⼀次調査の⼯程を⼤幅削減。 ⼆次調査以降の対応に時間をさけるように。 53 ⽣ログ センサーによる監視 MSS R-SOC 100億件以上 数⼗件 件数例:

Slide 54

Slide 54 text

SOC⽴ち上げ時の課題 その3 54 体制 2 対応スピード 1 分析スキル/精度 3

Slide 55

Slide 55 text

課題③ 分析スキル/精度向上 • アナリストチームによる詳細調査 SOC内に設けられたアナリストチームで 定型対応外の分析・詳細調査を実施 →分析⼿法の検討・評価も⾏えるようになり、 それらを他メンバーへ共有することで定型化 55 など.. マルウェア感染経路の深堀解析 早期警戒情報からの予防遮断 各種ログからのハンティング 定型運⽤外の解析 分析⼿法の 検討・評価 定型運⽤化 ・ 他メンバー へ共有

Slide 56

Slide 56 text

セキュリティのスキルアップ 56

Slide 57

Slide 57 text

57 おかげさまで今に⾄る 2014 2015 2016 2017 2018 2019 セキュリティ監視の前線に⽴てるようになり、 監視をベースにクラウド環境の施策検討など少しづつ幅を広げて精進中 ⼊社 ⼤規模セキュリティPJ システムC/Oを経験 WAF導⼊PJ SOCにおけるPLを経験 商⽤監視 TL クラウドの 監視検討WG参加

Slide 58

Slide 58 text

• セキュリティ関連業務と⼀⼝に⾔っても多岐にわたる – インシデントハンドラー、脆弱性診断⼠、リサーチャーetc… • セキュリティ⼈材のスキルマップ/ガイドライン例: – SecBoK:情報セキュリティ知識項⽬(JNSA) https://www.jnsa.org/result/2018/skillmap/ – iCD:i コンピテンシ ディクショナリ、ITSS:ITスキル標準(IPA) https://icd.ipa.go.jp/icd/ability/attention/security – https://www.ipa.go.jp/jinzai/itss/index.html 58 セキュリティエンジニアって? ※引⽤元「SecBok全体整理表」 業務遂⾏のための前提ス キルと必須スキルがマッ ピングされている。 例えば「リサーチャー」 の場合、プロジェクト管 理、インシデント対応関 連スキル、攻撃⼿法、ソ フトウェア関連知識など が前提

Slide 59

Slide 59 text

• 関連業務が幅広いため様々なスキルの合わせ技で戦う必 要がある 59 セキュリティは総合格闘技 ※引⽤元 セキュリティ業務を担う⼈材のスキル可視化ガイドライン プラス・セキュリティ⼈材の可 視化に向けて<β版> https://www.jnsa.org/isepa/images/outputs/JTAG_guideline-%CE%B2_190118.pdf テクノロジー領域はアプリからNW、 DB、暗号/認証技術までレイヤー問わず ビジネス領域はマネジメント、プロ ジェクト管理から法/制度まで

Slide 60

Slide 60 text

• 関連業務が幅広いため様々なスキルの合わせ技で戦う必 要がある 60 セキュリティは総合格闘技 ※引⽤元 セキュリティ業務を担う⼈材のスキル可視化ガイドライン プラス・セキュリティ⼈材の可 視化に向けて<β版> https://www.jnsa.org/isepa/images/outputs/JTAG_guideline-%CE%B2_190118.pdf テクノロジー領域はアプリからNW、 DB、暗号/認証技術までレイヤー問わず ビジネス領域はマネジメント、プロ ジェクト管理から法/制度まで まめつぶくらい ほぼゼロからのスタートの場合、どうすれば・・ AS-IS

Slide 61

Slide 61 text

61 ほぼゼロからのスキルアップ ⼩さい丸 (ほぼ何もできない) 尖る (特定の強みを伸ばす) AS-IS TO-BE

Slide 62

Slide 62 text

62 ほぼゼロからのスキルアップ ⼩さい丸 (ほぼ何もできない) 尖る (特定の強みを伸ばす) AS-IS TO-BE セキュリティエンジニアとしては理想的?

Slide 63

Slide 63 text

63 ほぼゼロからのスキルアップ ⼩さい丸 (ほぼ何もできない) 徐々に⼤きい丸へ (幅広くできる) AS-IS TO-BE

Slide 64

Slide 64 text

64 ほぼゼロからのスキルアップ ⼩さい丸 (ほぼ何もできない) 徐々に⼤きい丸へ (幅広くできる) AS-IS TO-BE 当時の私はこちらを⽬指そうと考えた

Slide 65

Slide 65 text

スキルアップのために • 体系的知識を扱う外部研修(SANS等) • 外部コミュニティでの情報収集 • 海外カンファレンス参加 65 ナレッジ • 攻守の演習型の研修(サイバーレンジ、 Hardening) • 脆弱WEBアプリの擬似テスト • マルウェアの静的解析 テクニカルスキル

Slide 66

Slide 66 text

スキルアップのために • 体系的知識を扱う外部研修(SANS等) • 外部コミュニティでの情報収集 • 海外カンファレンス参加 66 ナレッジ • 攻守の演習型の研修(サイバーレンジ、 Hardening) • 脆弱WEBアプリの擬似テスト • マルウェアの静的解析 テクニカルスキル 海外で肌で感じる刺激は視野を広げる/モチベーショ ンを⾼めるには良い。 カンファレンスで海外のユーザー企業のエンジニアと 交流できると楽しい!

Slide 67

Slide 67 text

スキルアップのために • 体系的知識を扱う外部研修(SANS等) • 外部コミュニティでの情報収集 • 海外カンファレンス参加 67 ナレッジ • 攻守の演習型の研修(サイバーレンジ、 Hardening) • 脆弱WEBアプリの擬似テスト • マルウェアの静的解析 テクニカルスキル アナリストの同僚にレクチャーを受け、実際に⾃社で 検知されたマルウェアを解析。 ツールの使い⽅、⽬の付け所や勘所、報告の仕⽅など を⾒よう⾒まねで訓練。

Slide 68

Slide 68 text

• ⾃分がもともと得意な領域/活躍できる領域から ⼟壌を固めていく – サポートで培った業務設計、運⽤改善の経験があったので、専⾨ 知識がない状態でもなんとか⽴ち上がることができた – 関連領域が広い分、必ず何かのスキル/知識が活かせる • ⽬指したい⽅向(レーダーチャートの形)と登 り⽅(必要なスキルと⾝につけ⽅)を考えなが ら進む – 登り始めはどんな業務があるかもあまりよく分からない – とりあえずできるだけ戦場に近いところに⾝を置くのも1つ 68 セキュリティ未経験からの登り⽅

Slide 69

Slide 69 text

最後に ͋Δ͋Δ $4*35ঁࢠͷ೔ৗ

Slide 70

Slide 70 text

ฏ೔೔தʹى͖ΔΠϯγσϯτ͸ ͚ͬ͜͏ޡݕ஌ 70 Ͱ΋༵ۚ໷ʢಛʹҿΈձͷޙ ى͖ΔΠϯγσϯτ͸ׂͱͭΑ͍

Slide 71

Slide 71 text

71 Ϛϧ΢ΣΞײછͰώΞϦϯά͢Δͱ ͍͍ͨͯʮԿ΋΍ͬͯͳ͍ʯ ո͍͠αΠτݟ͍ͯͨ͜ͱ͹Εͯ·͢Α

Slide 72

Slide 72 text

72 Πϯγσϯτ͕͠͹Β͘ͳ͍ͱɺ Ϙεͷإ͕҉͍ʢؾ͕͢Δʣ ͖ͬͱؾͷ͍ͤͰ͢Ͷ

Slide 73

Slide 73 text

73 ϩάͷอ؅ظ͕ؒ୹ͯ͘߈ܸͷϩά͕ͳ͍ ͱΞφϦετͷإ͕҉͍ ʢ੾࣮ʣ

Slide 74

Slide 74 text

74 ๨೥ձγʔζϯ͸ ෆਖ਼ಈըฤूιϑτ%-ʹΑΔײછ͕ٸ૿ ฐ͚ࣾͩͰ͠ΐ͏͔

Slide 75

Slide 75 text

ύδϟϚ͸΄΅ϕϯμʔ5 ʢΞϝϦΧͷ99-͸ϫϯϐʔεʹʣ 75 ͳ͚ͳ͠ͷঁࢠྗ

Slide 76

Slide 76 text

ଞ෦ॺͱͷଧͪ߹ΘͤͰ $4*35εςοΧʔΛӦۀ͹Γʹ഑Δ 76 ͦ͜ʹॻ͍ͯ͋Δి࿩ʹͨ·ʹਓ୳͠ͷґཔͱ͔དྷΔ

Slide 77

Slide 77 text

ࣾ಺ϙʔλϧͰ ʮΠϯγσϯτͷϓϩूஂʯͱॻ͔ΕΔ 77 ؒҧͬͯ͸͍ͳ͍ɾɾʁ

Slide 78

Slide 78 text

ʢ$4*35ঁࢠͷ೔ৗ͕ʣ ͓Θ͔Γ͍͚ͨͩͨͩΖ͏͔ 78

Slide 79

Slide 79 text

ご清聴ありがとうございました 79