Link
Embed
Share
Beginning
This slide
Copy link URL
Copy link URL
Copy iframe embed code
Copy iframe embed code
Copy javascript embed code
Copy javascript embed code
Share
Tweet
Share
Tweet
Slide 1
Slide 1 text
株式会社リクルートテクノロジーズ サイバーセキュリティ部 セキュリティオペレーションセンター(SOC) 安東 美穂 異業種に転職したら レベル1でクラッカーと戦うことになった件 〜Recruit-CSIRT セキュリティ監視の現場から〜
Slide 2
Slide 2 text
2 ⾃⼰紹介 安東 美穂 (あんどう みほ) 株式会社リクルートテクノロジーズ 2014年 12⽉ リクルートテクノロジーズ ⼊社/現職 セキュリティオペレーションセンター(SOC)所属 2011年 4⽉ 国内某ホスティング会社 新卒⼊社 パブリッククラウド商材のテクニカルサポート担当 ⽒名 所属 略歴 ⽇経コンピュータ連載記事に寄稿 書籍「現場で使えるセキュリティ事故対応」 好きなコマンド:nmap 課外活動:ミニ四駆 ・リクルートのサービスのセキュリティ監視、解析(IDS/WAF) ・WAF監視導⼊⽀援 など 担当 業務
Slide 3
Slide 3 text
3 誠に僭越ながら・・ Itmedia エンタープライズさんに記事にしていただきました
Slide 4
Slide 4 text
• リクルートグループについて • Recruit-CSIRTとSOCについて • 異業種への転職の話 • 未経験者が⾒たリクルートのSOC現場 • セキュリティのスキルアップ 4 今⽇のお話
Slide 5
Slide 5 text
5 特にこんな⽅に向けてのお話です これからセキュリティ のメンバーを採⽤/育成 したい セキュリティアナリス トを⽬指したい SOCの⽴ち上げを 検討している
Slide 6
Slide 6 text
リクルートグループについて 6
Slide 7
Slide 7 text
リクルートグループについて 7 創業 1960年3⽉31⽇ 「⼤学新聞広告社」としてスタート グループ 従業員数 45,856名 (2019年3⽉31⽇時点) 連結売上⾼ 23,107億円 (2018年4⽉1⽇〜2019年3⽉31⽇) 連結営業利益 2,230億円 (2018年4⽉1⽇〜2019年3⽉31⽇) グループ 企業数 344社 (⼦会社および関連会社、2019年3⽉31⽇時点) ⽬指す世界観 「あなた」を⽀える存在でありたい
Slide 8
Slide 8 text
リクルートの事業内容について 8 ライフイベント領域 進学 就職 結婚 転職 住宅購⼊ ⾞購⼊ 出産/育児 旅⾏ ビジネス⽀援 ⽣活/地域情報 グルメ・美容 ライフスタイル領域 選択・意思決定を⽀援する情報サービスを提供し、 「まだ、ここにない、出会い。」を実現する。
Slide 9
Slide 9 text
リクルートのビジネスモデルについて 9 リクルートには、ユーザーとクライアントという2つのお客様が存在します。 企業と⼈(B to C)、企業と企業(B to B)、⼈と⼈(C to C)、すべての間に⽴ち、 双⽅にとって最適なマッチングを図る「場」を提供しています。 ユーザーとクライアントを新しい接点で結び、 「まだ、ここにない、出会い。」の場を創造する。
Slide 10
Slide 10 text
リクルートテクノロジーズは、リクルートグループのIT・ネットマーケティング領域の テクノロジー開発を担う会社です。 リクルートグループにおけるリクルートテクノロジーズについて 10 リクルート ホールディングス リクルートキャリア リクルート住まいカンパニー リクルートライフスタイル リクルートジョブズ リクルートマーケティングパートナーズ リクルートテクノロジーズ リクルートスタッフィング スタッフサービス・ホールディングス リクルートコミュニケーションズ メディア & ソリューション事業 (株)リクルート ⼈材派遣事業 Recruit Global Staffing B.V. HRテクノロジ― 事業 RGF OHR USA, Inc. その他海外派遣グループ会社 Indeed,Inc.
Slide 11
Slide 11 text
リクルートテクノロジーズの役割について 技術・ソリューションを磨き続け、リクルートの各サービスがもつ価値を最⼤限に発揮 できるようビジネスへ実装。 ITの側⾯からサービスを進化させることを通じて、世の中に新しい価値を提供していき ます。 11
Slide 12
Slide 12 text
リクルートテクノロジーズの事業内容について 将来のニーズを⾒据え、新しい技術のR&D・ソリューションの開拓を実現。 検証を続け、いち早く活⽤できるレベルに引きあげることで、中⻑期的なビジネス競争 優位を構築していきます。 12
Slide 13
Slide 13 text
Recruit-CSIRTとSOCについて
Slide 14
Slide 14 text
14 Recruit CSIRTのSOCについて 早期検知 未然防⽌ ■脆弱性診断、開発者教育 ■パッチマネジメント(情報収集と展開) ■早期警戒 被害最⼩化 ■事故発⽣時の対応⽀援 ■現場対応(証拠保全、影響調査など) ■外部関連機関との連携 ■セキュリティ監視運⽤ (商⽤インフラ、マルウェア解析、内部不正) ■監視基盤の運⽤・開発 ■監視機器チューニング Recruit CSIRTはリクルートグループのセキュリティ監視/事故対応/開発⽀援を ⾏う専⾨部隊です。
Slide 15
Slide 15 text
15 Recruit CSIRTのSOCについて 早期検知 セキュリティ事故の予兆の検知、および事故発⽣時の対応を 迅速に・効率良く⾏うのがSOCの役割 未然防⽌ ■脆弱性診断、開発者教育 ■パッチマネジメント(情報収集と展開) ■早期警戒 被害最⼩化 ■事故発⽣時の対応⽀援 ■現場対応(証拠保全、影響調査など) ■外部関連機関との連携 ■セキュリティ監視運⽤ (商⽤インフラ、マルウェア解析、内部不正) ■監視基盤の運⽤・開発 ■監視機器チューニング Recruit CSIRTはリクルートグループのセキュリティ監視/事故対応/開発⽀援を ⾏う専⾨部隊です。
Slide 16
Slide 16 text
リクルートのインフラ環境 SOCの監視対象の環境は⼤きく分けて執務と商⽤の⼆種類 – 執務環境:リクルートグループの社内システム/従業 員端末などがあるインフラ(NW) – 商⽤環境:リクルートのWEBサービスがあるインフラ 16 執務環境 商⽤環境 標準環境 NW リクルートID サービス向け インフラ 標準商⽤ インフラ 独⾃オンプレ ※複数 独⾃クラウド ※複数 独⾃NW ※複数 セキュア 環境NW • 端末のマルウェア感染 • 内部不正 • WEBアプリ/サーバーソフトウェ アの脆弱性を狙った攻撃 • 不正ログイン
Slide 17
Slide 17 text
Ø リクルートのWEB商⽤環境の24/365のセキュリティ監視、 解析(オンプレ、クラウドともに複数) Ø リクルートのWEB商⽤環境へのセキュリティ施策導⼊ Ø セキュリティ監視運⽤設計、オペレーション検討/改善 SOCにおける担当業務
Slide 18
Slide 18 text
Ø リクルートのWEB商⽤環境の24/365のセキュリティ監視、 解析(オンプレ、クラウドともに複数) Ø リクルートのWEB商⽤環境へのセキュリティ施策導⼊ Ø セキュリティ監視運⽤設計、オペレーション検討/改善 SOCにおける担当業務 セキュリティ未経験だった私と、⽴ち上がったばかりのR-CSIRTが 現在に⾄るまでのお話をします
Slide 19
Slide 19 text
異業種への転職の話
Slide 20
Slide 20 text
リクルート⼊社前 20 国内の某ホスティング会社のテクニカルサポートに新卒⼊社 WEBサーバート ラブル切り分け VM作成、設定 サポート SSL証明書設定 ⽅法案内 ユーザー向け FAQ作成
Slide 21
Slide 21 text
リクルート⼊社前 21 国内の某ホスティング会社のテクニカルサポートに新卒⼊社 WEBサーバート ラブル切り分け VM作成、設定 サポート SSL証明書設定 ⽅法案内 ユーザー向け FAQ作成 DDoSによる 障害 不正アクセス被害 の相談 Abuse/警察 対応 OS/MW 脆弱性対応 専⽤サーバー/パブリッククラウド担当だったため、 不適切なサーバー管理によるセキュリティのトラブルを多く⽬の当たりに
Slide 22
Slide 22 text
リクルート⼊社前 22 国内の某ホスティング会社のテクニカルサポートに新卒⼊社 WEBサーバート ラブル切り分け VM作成、設定 サポート SSL証明書設定 ⽅法案内 ユーザー向け FAQ作成 DDoSによる 障害 不正アクセス被害 の相談 Abuse/警察 対応 OS/MW 脆弱性対応 専⽤サーバー/パブリッククラウド担当だったため、 不適切なサーバー管理によるセキュリティのトラブルを多く⽬の当たりに 技術⾯でのスキルアップに加え、 安⼼なサービスを管理/運⽤する側に回りたいと考えるように
Slide 23
Slide 23 text
23 そんな私を未経験で採⽤したのが
Slide 24
Slide 24 text
リクルートのセキュリティ組織の成り⽴ち セキュリティ機器の導⼊・検証・運⽤を⾏うSOCの前⾝。 WEBアプリケーション攻撃や標的型攻撃を検知すべく、 ⼀通りの監視機器を揃える 24 インフラ組織の中にセキュリティ担当部⾨ができる セキュリティ部が発⾜ 2014年 4月 2013年 10月 リクルートの情報セキュリティ対策の⽅針策定から、 喫緊のインシデント対応を⾏うセキュリティグループが発⾜
Slide 25
Slide 25 text
リクルートのセキュリティ組織の成り⽴ち セキュリティ機器の導⼊・検証・運⽤を⾏うSOCの前⾝。 WEBアプリケーション攻撃や標的型攻撃を検知すべく、 ⼀通りの監視機器を揃える 25 インフラ組織の中にセキュリティ担当部⾨ができる セキュリティ部が発⾜ 2014年 4月 2013年 10月 Recruit CSIRT発⾜ 2015年 4月 リクルートの情報セキュリティ対策の⽅針策定から、 喫緊のインシデント対応を⾏うセキュリティグループが発⾜ 2014年 12月 安東⼊社
Slide 26
Slide 26 text
26 当時の状態 この当時の私 • LPIC、CCENT、Oracle Master Bronzeなどイン フラ基礎資格は所有 • セキュリティエンジニア って何するの? • Pcapという拡張⼦を知ら ない • サンドボックスは、箱? • 何がセキュリティ⽤語で 何がリクルート⽤語か区 別がつかない
Slide 27
Slide 27 text
27 当時の状態 この当時の私 • LPIC、CCENT、Oracle Master Bronzeなどイン フラ基礎資格は所有 • セキュリティエンジニア って何するの? • Pcapという拡張⼦を知ら ない • サンドボックスは、箱? • 何がセキュリティ⽤語で 何がリクルート⽤語か区 別がつかない この当時の組織 • 数ヶ⽉前に国内他社で起 きたセキュリティ事故を 受け意識が⾼まっている 状態 • セキュリティを専⾨とす る社員わずか数⼈ • のちにCSIRTのマネー ジャーとなる⼈が同期⼊ 社 • のちにSOCのマネー ジャーとなる⼈が3ヶ⽉ 後に⼊社 ×
Slide 28
Slide 28 text
28 当時の状態 この当時の私 • LPIC、CCENT、Oracle Master Bronze(などイ ンフラ基礎資格は所有 • Pcapという拡張⼦を知ら ない • wireshark触ったことな し • サンドボックスは、箱? • 何がセキュリティ⽤語で 何がリクルート⽤語か区 別がつかない この当時の組織 • 数ヶ⽉前に国内他社で起 きたセキュリティ事故を 受け意識が⾼まっている 状態 • セキュリティを専⾨とす る社員わずか数⼈ • のちにCSIRTのマネー ジャーとなる⼈が同期⼊ 社 • のちにSOCのマネー ジャーとなる⼈が3ヶ⽉ 後に⼊社 × ⾮常にチャレンジングな状況
Slide 29
Slide 29 text
とりあえずSOCの現場に放たれた 29 そんな状況で
Slide 30
Slide 30 text
未経験者が⾒たリクルートのSOC現場 その1 IDS/WAF監視対応 30
Slide 31
Slide 31 text
リクルートの商⽤監視 31 IDS Intrusion Detection System WAF Web Application Firewall NWF Network Forensics 主にOSやミドルウェアの脆弱性を狙った通信 を検知するシステム ※検知+遮断する場合はIPS(Intrusion Protection System) 主にWEBアプリケーションの脆弱性を狙った 通信を検知/遮断するシステム 環境内に流れる通信のパケットをキャプチャし て収集、解析するためのシステム • 商⽤監視では以下の3つの監視機器を活⽤
Slide 32
Slide 32 text
• リクルートの商⽤インフラ(WEBサイト)のうち、セキュリティレベル として⼀定の基準に該当するものは、WAF、IDS、NWFを導⼊している • これらのログをSOCで収集/解析し、24/365で監視、解析(⼀次解析に MSSを導⼊) リクルートの商⽤監視
Slide 33
Slide 33 text
IDS/WAFの監視対応 • MSSからのアラート通知が来たら攻撃成否/影響を判断し、 事業への通知や通信遮断を⾏うのが主な任務 33 監視対象サービス 400以上 1ヶ⽉の検知アラート数 約2億件 ※IDS+WAF • SOCでWAF/IDSを⽤いて監視をしている規模
Slide 34
Slide 34 text
IDS/WAFの監視対応 34 監視対象サービス 400以上 1ヶ⽉の検知アラート数 約2億件 ※IDS+WAF • SOCでWAF/IDSを⽤いて監視をしている規模 とりあえず電話が鳴ったら出 てね 私 当時のボス はい! (いきなりアラート対応…! できるだろうか…) あと対応フローを⾒直して 作り直してみて はい! (フロー整備は得意) • MSSからのアラート通知が来たら攻撃成否/影響を判断し、 事業への通知や通信遮断を⾏うのが主な任務
Slide 35
Slide 35 text
商⽤環境インシデント対応フロー例 (1)攻撃の種類や内容の調査 検知アラートの内容から攻撃の可能性を判断。また、何を狙ったどのよ うな攻撃かを⾒⽴てる。 (2)送信元、送信先の調査 IPアドレスなどの基本的な情報から不審な送信元かどうかを判断。 (3)攻撃成否/影響範囲の調査 ネットワークフォレンジックで通信のリクエストとレスポンスを確認し 攻撃成否と攻撃意図を調査。また前後の通信を確認し影響を判断する。 (4)脆弱性の確認 脆弱性のあるプロダクト/ソフトウェアの利⽤有無とバージョンを確認。 必要に応じパケットの再送や検査を実施し影響を検証。 (5)ログ、履歴の調査 必要に応じてFWログやApacheログ、認証ログなどとの突合調査。 35 IDS/WAF 検知 NWF 深堀調査 封じ込め/ 回復 → FW遮断、脆弱性の修正、サイト停⽌などのインシデントレスポンスへ
Slide 36
Slide 36 text
36 着任して間もない頃の対応例 不正なファイルアップロード試⾏の攻撃を検知しました。 攻撃が成功している可能性があります。 不審な送信元IPみたい・・FW遮断をして事業に通知! 私 事業 担当 MSS 確認しました。問題ありませんでした! 私 承知しました。ご確認ありがとうございます! あれ、問題ないと⾔っているけど、本当に問題ないんだろう か?? →何を根拠に判断すれば良いか分からず、⾃信を持って判断できない
Slide 37
Slide 37 text
• 判断ミス未遂事件 →BlindSQLインジェクションの攻撃を受け、失敗の判断 をしかけたが成功していたことが判明 • 連続MSSQL攻撃事件 →複数のサイトに対してMSSQLの脆弱性を狙った攻撃が 定期的に発⽣。パケットから成否の判定が難しくサイト へMSSQLの使⽤状況を都度確認することに。 37 こんなケースも 判断のための情報が揃って いない パケットに攻撃成否が 出にくい →攻撃の種類や受け⽅、情報により攻撃成否の判断に迷うケースも多い
Slide 38
Slide 38 text
38 ちなみに • ITmediaさん記事より https://www.itmedia.co.jp/enterprise/articles/1904/22/news015.html とあるが • 現在は数名のアナリスト+IRメンバで体制が整い、 Slackなどのツールの活⽤もあり⼀⼈での判断をする 状況は発⽣していない チームメンバーに感謝!
Slide 39
Slide 39 text
未経験者が⾒たリクルートのSOC現場 その2 セキュリティ監視導⼊⽀援 39
Slide 40
Slide 40 text
セキュリティ施策を横断組織で推進 • リクルートでは、株式会社リクルート(RCL)と株式会社リクルートテクノロジーズ(RTC)が 共同でセキュリティに対するマネジメント運営を実施しています。 • RCLでは業務セキュリティ、RTC ではシステムセキュリティに関する対応をしています。 40 サービス アプリ インフラ ASP セキュリティ 組織 グループ会社事業組織 グループ⼦会社 経営企画 総務 事業部A IT 企画 内 部 統 制 事業部B IT 企画 NB部 IT 企画 経営企画 総務 事業部 C IT 企画 委託先 (⼀般& システム) 委託先 (⼀般& システム) 指 ⽰ / 管 理 要件共有 施策詳細 グループ会社体制 内部統制責任者 総務 システ ム 内部統 制 全体 責任者 施策 推進者 保有する情報資産の例 リクルートグループのセキュリティ機能 リクルートグループにおけるセキュリティ対策の対象 セキュリティ対策の対象 機能 役割 戦略 全体統括 ⽅針・規定 施策推進 運⽤管理 (CSIRT) 監査 リスク管理 セキュリティ戦略の策定/経営との合意 予算管理 セキュリティ組織全体の管理 業務セキュリティの⽅針・要件の策定 システムセキュリティの⽅針・要件の策定 ソリューションの構築 各社の施策導⼊に対する推進・検討⽀援 インシデント対応 セキュリティ監視(SOC) 脆弱性管理 業務セキュリティ監査・アセスメント システムセキュリティ監査・アセスメント セキュリティ 実装⽀援 業務セキュリティ実装・検討⽀援 システムセキュリティ実装・検討⽀援 ルール策定 執⾏依頼
Slide 41
Slide 41 text
• セキュリティ施策対象サービスにおいてはWAFとNWFの 導⼊が求められることに • WAFとNWF導⼊におけるSOCの担当範囲のPLを任される 41 セキュリティ施策導⼊ 対象サイト 40超 対象環境 5環境 (オンプレ/クラウド含む)
Slide 42
Slide 42 text
• セキュリティ施策対象サービスにおいてはWAFとNWFの 導⼊が求められることに • WAFとNWF導⼊におけるSOCの担当範囲のPLを任される 42 セキュリティ施策導⼊ 対象サイト 40超 対象環境 5環境 (オンプレ/クラウド含む) 再びチャレンジングな采配
Slide 43
Slide 43 text
• 商⽤セキュリティ施策導⼊の流れ 43 セキュリティ施策の導⼊〜運⽤開始まで アプライ アンス導⼊ パラメータ ヒアリング 監視サービス 設計 実装・ チューニング 本格 運⽤開始
Slide 44
Slide 44 text
• 商⽤セキュリティ施策導⼊の流れ アプライ アンス導⼊ パラメータ ヒアリング 監視サービス 設計 実装・ チューニング 本格 運⽤開始 SOCの担当範囲 セキュリティ施策の導⼊〜運⽤開始まで 導⼊におけるSOCの役割 監視対象環境に導⼊されたセキュリティ機器で監視開始できるように するのがSOCの役割 ① 監視サービス設計 ② 監視ルールの設定 ③ 監視ルールのチューニング ④ サイト責任者連絡先確認、フロー説明
Slide 45
Slide 45 text
セキュリティ施策の導⼊〜運⽤開始まで ①監視サービス設計 – MSS選定 – 監視基盤の設置、ログ収集回線敷設 – 社内SOCとしての監視サービスレベル、提供内容の検討 ②監視ルールの設定 – どの監視ルールをONするか?(監視対象環境に合わせて設定) ③監視ルールのチューニング – ルールをONにした後の検知状況を様⼦⾒(1週間〜2週間) – 過検知したアラートの対応を検討する(無視する/除外する) ④サイト責任者連絡先確認、フロー説明 – サイトの開発者や事業担当の連絡先をヒアリング – サイト担当へSOCによる運⽤のサービスレベルやフローを説明 45
Slide 46
Slide 46 text
• 以降、新規対象の環境が追加される場合は、商⽤監視 チームの定常タスクとして対応 • 現在、対象サービスは60超 46 2年間のプロジェクトの結果 対象サイト 40超 対象環境 5環境 (オンプレ/クラウド含む) 対象環境において全て予定通りに導⼊完了! 無事、運⽤フェーズへ
Slide 47
Slide 47 text
未経験者が⾒たリクルートのSOC現場 その3監視運⽤の磨き込み 47
Slide 48
Slide 48 text
SOC⽴ち上げ当初の運⽤課題 まずは監視センサーを導⼊・・・ →アラートが⼤量発⽣! 48 24/365の監視体制 ⼤量のアラートへの対応 体制不⼗分 時間がかかる 脅威度の分析・⾒極め SOCとして求められた対応 1 2 3 武器はあれど、兵⼠の訓練や戦術がない状態 ナレッジがない
Slide 49
Slide 49 text
SOC⽴ち上げ当初の運⽤課題 浮き彫りになった3つの課題 49 分析スキル/精度 対応スピード 体制 1 2 3
Slide 50
Slide 50 text
SOC⽴ち上げ時の課題 その1 50 対応スピード 体制 分析スキル/精度 1 2 3
Slide 51
Slide 51 text
課題① 対応スピード • 役割分担、対応フローの明確化 CSIRT内で役割分担し、SOCは検知・初動対応に専念する ことで対応がスムーズに 51 アラートごとに連携先が様々で SOCの対応が煩雑になっていた BEFORE ʁ ʁ ʁ 事業担当A 事業担当B SOCでの解析・初動対応後、 クロージングまでIRチームが引き継ぎ AFTER ʂ IR SOC 事業担当
Slide 52
Slide 52 text
SOC⽴ち上げ時の課題 その2 52 対応スピード 分析スキル/精度 1 3 体制 2
Slide 53
Slide 53 text
課題② 体制 • 外部ベンダー(MSS)に夜間休⽇も含め た⼀次アラート監視を依頼 ⼤量のアラートをふるいにかけ、疑わしきもののみを⾃社 SOCで調査。 →⼀次調査の⼯程を⼤幅削減。 ⼆次調査以降の対応に時間をさけるように。 53 ⽣ログ センサーによる監視 MSS R-SOC 100億件以上 数⼗件 件数例:
Slide 54
Slide 54 text
SOC⽴ち上げ時の課題 その3 54 体制 2 対応スピード 1 分析スキル/精度 3
Slide 55
Slide 55 text
課題③ 分析スキル/精度向上 • アナリストチームによる詳細調査 SOC内に設けられたアナリストチームで 定型対応外の分析・詳細調査を実施 →分析⼿法の検討・評価も⾏えるようになり、 それらを他メンバーへ共有することで定型化 55 など.. マルウェア感染経路の深堀解析 早期警戒情報からの予防遮断 各種ログからのハンティング 定型運⽤外の解析 分析⼿法の 検討・評価 定型運⽤化 ・ 他メンバー へ共有
Slide 56
Slide 56 text
セキュリティのスキルアップ 56
Slide 57
Slide 57 text
57 おかげさまで今に⾄る 2014 2015 2016 2017 2018 2019 セキュリティ監視の前線に⽴てるようになり、 監視をベースにクラウド環境の施策検討など少しづつ幅を広げて精進中 ⼊社 ⼤規模セキュリティPJ システムC/Oを経験 WAF導⼊PJ SOCにおけるPLを経験 商⽤監視 TL クラウドの 監視検討WG参加
Slide 58
Slide 58 text
• セキュリティ関連業務と⼀⼝に⾔っても多岐にわたる – インシデントハンドラー、脆弱性診断⼠、リサーチャーetc… • セキュリティ⼈材のスキルマップ/ガイドライン例: – SecBoK:情報セキュリティ知識項⽬(JNSA) https://www.jnsa.org/result/2018/skillmap/ – iCD:i コンピテンシ ディクショナリ、ITSS:ITスキル標準(IPA) https://icd.ipa.go.jp/icd/ability/attention/security – https://www.ipa.go.jp/jinzai/itss/index.html 58 セキュリティエンジニアって? ※引⽤元「SecBok全体整理表」 業務遂⾏のための前提ス キルと必須スキルがマッ ピングされている。 例えば「リサーチャー」 の場合、プロジェクト管 理、インシデント対応関 連スキル、攻撃⼿法、ソ フトウェア関連知識など が前提
Slide 59
Slide 59 text
• 関連業務が幅広いため様々なスキルの合わせ技で戦う必 要がある 59 セキュリティは総合格闘技 ※引⽤元 セキュリティ業務を担う⼈材のスキル可視化ガイドライン プラス・セキュリティ⼈材の可 視化に向けて<β版> https://www.jnsa.org/isepa/images/outputs/JTAG_guideline-%CE%B2_190118.pdf テクノロジー領域はアプリからNW、 DB、暗号/認証技術までレイヤー問わず ビジネス領域はマネジメント、プロ ジェクト管理から法/制度まで
Slide 60
Slide 60 text
• 関連業務が幅広いため様々なスキルの合わせ技で戦う必 要がある 60 セキュリティは総合格闘技 ※引⽤元 セキュリティ業務を担う⼈材のスキル可視化ガイドライン プラス・セキュリティ⼈材の可 視化に向けて<β版> https://www.jnsa.org/isepa/images/outputs/JTAG_guideline-%CE%B2_190118.pdf テクノロジー領域はアプリからNW、 DB、暗号/認証技術までレイヤー問わず ビジネス領域はマネジメント、プロ ジェクト管理から法/制度まで まめつぶくらい ほぼゼロからのスタートの場合、どうすれば・・ AS-IS
Slide 61
Slide 61 text
61 ほぼゼロからのスキルアップ ⼩さい丸 (ほぼ何もできない) 尖る (特定の強みを伸ばす) AS-IS TO-BE
Slide 62
Slide 62 text
62 ほぼゼロからのスキルアップ ⼩さい丸 (ほぼ何もできない) 尖る (特定の強みを伸ばす) AS-IS TO-BE セキュリティエンジニアとしては理想的?
Slide 63
Slide 63 text
63 ほぼゼロからのスキルアップ ⼩さい丸 (ほぼ何もできない) 徐々に⼤きい丸へ (幅広くできる) AS-IS TO-BE
Slide 64
Slide 64 text
64 ほぼゼロからのスキルアップ ⼩さい丸 (ほぼ何もできない) 徐々に⼤きい丸へ (幅広くできる) AS-IS TO-BE 当時の私はこちらを⽬指そうと考えた
Slide 65
Slide 65 text
スキルアップのために • 体系的知識を扱う外部研修(SANS等) • 外部コミュニティでの情報収集 • 海外カンファレンス参加 65 ナレッジ • 攻守の演習型の研修(サイバーレンジ、 Hardening) • 脆弱WEBアプリの擬似テスト • マルウェアの静的解析 テクニカルスキル
Slide 66
Slide 66 text
スキルアップのために • 体系的知識を扱う外部研修(SANS等) • 外部コミュニティでの情報収集 • 海外カンファレンス参加 66 ナレッジ • 攻守の演習型の研修(サイバーレンジ、 Hardening) • 脆弱WEBアプリの擬似テスト • マルウェアの静的解析 テクニカルスキル 海外で肌で感じる刺激は視野を広げる/モチベーショ ンを⾼めるには良い。 カンファレンスで海外のユーザー企業のエンジニアと 交流できると楽しい!
Slide 67
Slide 67 text
スキルアップのために • 体系的知識を扱う外部研修(SANS等) • 外部コミュニティでの情報収集 • 海外カンファレンス参加 67 ナレッジ • 攻守の演習型の研修(サイバーレンジ、 Hardening) • 脆弱WEBアプリの擬似テスト • マルウェアの静的解析 テクニカルスキル アナリストの同僚にレクチャーを受け、実際に⾃社で 検知されたマルウェアを解析。 ツールの使い⽅、⽬の付け所や勘所、報告の仕⽅など を⾒よう⾒まねで訓練。
Slide 68
Slide 68 text
• ⾃分がもともと得意な領域/活躍できる領域から ⼟壌を固めていく – サポートで培った業務設計、運⽤改善の経験があったので、専⾨ 知識がない状態でもなんとか⽴ち上がることができた – 関連領域が広い分、必ず何かのスキル/知識が活かせる • ⽬指したい⽅向(レーダーチャートの形)と登 り⽅(必要なスキルと⾝につけ⽅)を考えなが ら進む – 登り始めはどんな業務があるかもあまりよく分からない – とりあえずできるだけ戦場に近いところに⾝を置くのも1つ 68 セキュリティ未経験からの登り⽅
Slide 69
Slide 69 text
最後に ͋Δ͋Δ $4*35ঁࢠͷৗ
Slide 70
Slide 70 text
ฏதʹى͖ΔΠϯγσϯτ ͚ͬ͜͏ޡݕ 70 Ͱ༵ۚʢಛʹҿΈձͷޙ ى͖ΔΠϯγσϯτׂͱͭΑ͍
Slide 71
Slide 71 text
71 ϚϧΣΞײછͰώΞϦϯά͢Δͱ ͍͍ͨͯʮԿͬͯͳ͍ʯ ո͍͠αΠτݟ͍ͯͨ͜ͱΕͯ·͢Α
Slide 72
Slide 72 text
72 Πϯγσϯτ͕͠Β͘ͳ͍ͱɺ Ϙεͷإ͕҉͍ʢؾ͕͢Δʣ ͖ͬͱؾͷ͍ͤͰ͢Ͷ
Slide 73
Slide 73 text
73 ϩάͷอظ͕ؒͯ͘߈ܸͷϩά͕ͳ͍ ͱΞφϦετͷإ͕҉͍ ʢ࣮ʣ
Slide 74
Slide 74 text
74 ձγʔζϯ ෆਖ਼ಈըฤूιϑτ%-ʹΑΔײછ͕ٸ૿ ฐ͚ࣾͩͰ͠ΐ͏͔
Slide 75
Slide 75 text
ύδϟϚ΄΅ϕϯμʔ5 ʢΞϝϦΧͷ99-ϫϯϐʔεʹʣ 75 ͳ͚ͳ͠ͷঁࢠྗ
Slide 76
Slide 76 text
ଞ෦ॺͱͷଧͪ߹ΘͤͰ $4*35εςοΧʔΛӦۀΓʹΔ 76 ͦ͜ʹॻ͍ͯ͋Δిʹͨ·ʹਓ୳͠ͷґཔͱ͔དྷΔ
Slide 77
Slide 77 text
ࣾϙʔλϧͰ ʮΠϯγσϯτͷϓϩूஂʯͱॻ͔ΕΔ 77 ؒҧ͍ͬͯͳ͍ɾɾʁ
Slide 78
Slide 78 text
ʢ$4*35ঁࢠͷৗ͕ʣ ͓Θ͔Γ͍͚ͨͩͨͩΖ͏͔ 78
Slide 79
Slide 79 text
ご清聴ありがとうございました 79