異業種に転職したらレベル1でクラッカーと戦うことになった件 〜Recruit-CSIRT セキュリティ監視の現場から〜

Transcript

1. 株式会社リクルートテクノロジーズ サイバーセキュリティ部 セキュリティオペレーションセンター（SOC) 安東 美穂 異業種に転職したら レベル1でクラッカーと戦うことになった件 〜Recruit-CSIRT セキュリティ監視の現場から〜

2. 2 ⾃⼰紹介 安東 美穂 (あんどう みほ) 株式会社リクルートテクノロジーズ 2014年 12⽉ リクルートテクノロジーズ

   ⼊社/現職 セキュリティオペレーションセンター（SOC）所属 2011年 4⽉ 国内某ホスティング会社 新卒⼊社 パブリッククラウド商材のテクニカルサポート担当 ⽒名 所属 略歴 ⽇経コンピュータ連載記事に寄稿 書籍「現場で使えるセキュリティ事故対応」 好きなコマンド：nmap 課外活動：ミニ四駆 ・リクルートのサービスのセキュリティ監視、解析（IDS/WAF） ・WAF監視導⼊⽀援 など 担当 業務

3. 3 誠に僭越ながら・・ Itmedia エンタープライズさんに記事にしていただきました

4. • リクルートグループについて • Recruit-CSIRTとSOCについて • 異業種への転職の話 • 未経験者が⾒たリクルートのSOC現場 • セキュリティのスキルアップ

   4 今⽇のお話

5. 5 特にこんな⽅に向けてのお話です これからセキュリティ のメンバーを採⽤/育成 したい セキュリティアナリス トを⽬指したい SOCの⽴ち上げを 検討している

6. リクルートグループについて 6

7. リクルートグループについて 7 創業 1960年3⽉31⽇ 「⼤学新聞広告社」としてスタート グループ 従業員数 45,856名 （2019年3⽉31⽇時点） 連結売上⾼

   23,107億円 （2018年4⽉1⽇〜2019年3⽉31⽇） 連結営業利益 2,230億円 （2018年4⽉1⽇〜2019年3⽉31⽇） グループ 企業数 344社 （⼦会社および関連会社、2019年3⽉31⽇時点） ⽬指す世界観 「あなた」を⽀える存在でありたい

8. リクルートの事業内容について 8 ライフイベント領域 進学 就職 結婚 転職 住宅購⼊ ⾞購⼊ 出産/育児

   旅⾏ ビジネス⽀援 ⽣活/地域情報 グルメ・美容 ライフスタイル領域 選択・意思決定を⽀援する情報サービスを提供し、 「まだ、ここにない、出会い。」を実現する。

9. リクルートのビジネスモデルについて 9 リクルートには、ユーザーとクライアントという2つのお客様が存在します。 企業と⼈（B to C）、企業と企業（B to B）、⼈と⼈（C to C）、すべての間に⽴ち、

   双⽅にとって最適なマッチングを図る「場」を提供しています。 ユーザーとクライアントを新しい接点で結び、 「まだ、ここにない、出会い。」の場を創造する。

10. リクルートテクノロジーズは、リクルートグループのIT・ネットマーケティング領域の テクノロジー開発を担う会社です。 リクルートグループにおけるリクルートテクノロジーズについて 10 リクルート ホールディングス リクルートキャリア リクルート住まいカンパニー リクルートライフスタイル リクルートジョブズ

    リクルートマーケティングパートナーズ リクルートテクノロジーズ リクルートスタッフィング スタッフサービス・ホールディングス リクルートコミュニケーションズ メディア & ソリューション事業 （株）リクルート ⼈材派遣事業 Recruit Global Staffing B.V. HRテクノロジ― 事業 RGF OHR USA, Inc. その他海外派遣グループ会社 Indeed,Inc.

11. リクルートテクノロジーズの役割について 技術・ソリューションを磨き続け、リクルートの各サービスがもつ価値を最⼤限に発揮 できるようビジネスへ実装。 ITの側⾯からサービスを進化させることを通じて、世の中に新しい価値を提供していき ます。 11

12. リクルートテクノロジーズの事業内容について 将来のニーズを⾒据え、新しい技術のR＆D・ソリューションの開拓を実現。 検証を続け、いち早く活⽤できるレベルに引きあげることで、中⻑期的なビジネス競争 優位を構築していきます。 12

13. Recruit-CSIRTとSOCについて

14. 14 Recruit CSIRTのSOCについて 早期検知 未然防⽌ ▪脆弱性診断、開発者教育 ▪パッチマネジメント（情報収集と展開） ▪早期警戒 被害最⼩化 ▪事故発⽣時の対応⽀援

    ▪現場対応（証拠保全、影響調査など） ▪外部関連機関との連携 ▪セキュリティ監視運⽤ （商⽤インフラ、マルウェア解析、内部不正） ▪監視基盤の運⽤・開発 ▪監視機器チューニング Recruit CSIRTはリクルートグループのセキュリティ監視/事故対応/開発⽀援を ⾏う専⾨部隊です。

15. 15 Recruit CSIRTのSOCについて 早期検知 セキュリティ事故の予兆の検知、および事故発⽣時の対応を 迅速に・効率良く⾏うのがSOCの役割 未然防⽌ ▪脆弱性診断、開発者教育 ▪パッチマネジメント（情報収集と展開） ▪早期警戒

    被害最⼩化 ▪事故発⽣時の対応⽀援 ▪現場対応（証拠保全、影響調査など） ▪外部関連機関との連携 ▪セキュリティ監視運⽤ （商⽤インフラ、マルウェア解析、内部不正） ▪監視基盤の運⽤・開発 ▪監視機器チューニング Recruit CSIRTはリクルートグループのセキュリティ監視/事故対応/開発⽀援を ⾏う専⾨部隊です。

16. リクルートのインフラ環境 SOCの監視対象の環境は⼤きく分けて執務と商⽤の⼆種類 – 執務環境：リクルートグループの社内システム/従業 員端末などがあるインフラ(NW) – 商⽤環境：リクルートのWEBサービスがあるインフラ 16 執務環境 商⽤環境

    標準環境 NW リクルートID サービス向け インフラ 標準商⽤ インフラ 独⾃オンプレ ※複数 独⾃クラウド ※複数 独⾃NW ※複数 セキュア 環境NW • 端末のマルウェア感染 • 内部不正 • WEBアプリ/サーバーソフトウェ アの脆弱性を狙った攻撃 • 不正ログイン

17. Ø リクルートのWEB商⽤環境の24/365のセキュリティ監視、 解析（オンプレ、クラウドともに複数） Ø リクルートのWEB商⽤環境へのセキュリティ施策導⼊ Ø セキュリティ監視運⽤設計、オペレーション検討/改善 SOCにおける担当業務

18. Ø リクルートのWEB商⽤環境の24/365のセキュリティ監視、 解析（オンプレ、クラウドともに複数） Ø リクルートのWEB商⽤環境へのセキュリティ施策導⼊ Ø セキュリティ監視運⽤設計、オペレーション検討/改善 SOCにおける担当業務 セキュリティ未経験だった私と、⽴ち上がったばかりのR-CSIRTが 現在に⾄るまでのお話をします

19. 異業種への転職の話

20. リクルート⼊社前 20 国内の某ホスティング会社のテクニカルサポートに新卒⼊社 WEBサーバート ラブル切り分け VM作成、設定 サポート SSL証明書設定 ⽅法案内 ユーザー向け

    FAQ作成

21. リクルート⼊社前 21 国内の某ホスティング会社のテクニカルサポートに新卒⼊社 WEBサーバート ラブル切り分け VM作成、設定 サポート SSL証明書設定 ⽅法案内 ユーザー向け

    FAQ作成 DDoSによる 障害 不正アクセス被害 の相談 Abuse/警察 対応 OS/MW 脆弱性対応 専⽤サーバー/パブリッククラウド担当だったため、 不適切なサーバー管理によるセキュリティのトラブルを多く⽬の当たりに

22. リクルート⼊社前 22 国内の某ホスティング会社のテクニカルサポートに新卒⼊社 WEBサーバート ラブル切り分け VM作成、設定 サポート SSL証明書設定 ⽅法案内 ユーザー向け

    FAQ作成 DDoSによる 障害 不正アクセス被害 の相談 Abuse/警察 対応 OS/MW 脆弱性対応 専⽤サーバー/パブリッククラウド担当だったため、 不適切なサーバー管理によるセキュリティのトラブルを多く⽬の当たりに 技術⾯でのスキルアップに加え、 安⼼なサービスを管理/運⽤する側に回りたいと考えるように

23. 23 そんな私を未経験で採⽤したのが

24. リクルートのセキュリティ組織の成り⽴ち セキュリティ機器の導⼊・検証・運⽤を⾏うSOCの前⾝。 WEBアプリケーション攻撃や標的型攻撃を検知すべく、 ⼀通りの監視機器を揃える 24 インフラ組織の中にセキュリティ担当部⾨ができる セキュリティ部が発⾜ 2014年 4月 2013年

    10月 リクルートの情報セキュリティ対策の⽅針策定から、 喫緊のインシデント対応を⾏うセキュリティグループが発⾜

25. リクルートのセキュリティ組織の成り⽴ち セキュリティ機器の導⼊・検証・運⽤を⾏うSOCの前⾝。 WEBアプリケーション攻撃や標的型攻撃を検知すべく、 ⼀通りの監視機器を揃える 25 インフラ組織の中にセキュリティ担当部⾨ができる セキュリティ部が発⾜ 2014年 4月 2013年

    10月 Recruit CSIRT発⾜ 2015年 4月 リクルートの情報セキュリティ対策の⽅針策定から、 喫緊のインシデント対応を⾏うセキュリティグループが発⾜ 2014年 12月 安東⼊社

26. 26 当時の状態 この当時の私 • LPIC、CCENT、Oracle Master Bronzeなどイン フラ基礎資格は所有 • セキュリティエンジニア

    って何するの？ • Pcapという拡張⼦を知ら ない • サンドボックスは、箱？ • 何がセキュリティ⽤語で 何がリクルート⽤語か区 別がつかない

27. 27 当時の状態 この当時の私 • LPIC、CCENT、Oracle Master Bronzeなどイン フラ基礎資格は所有 • セキュリティエンジニア

    って何するの？ • Pcapという拡張⼦を知ら ない • サンドボックスは、箱？ • 何がセキュリティ⽤語で 何がリクルート⽤語か区 別がつかない この当時の組織 • 数ヶ⽉前に国内他社で起 きたセキュリティ事故を 受け意識が⾼まっている 状態 • セキュリティを専⾨とす る社員わずか数⼈ • のちにCSIRTのマネー ジャーとなる⼈が同期⼊ 社 • のちにSOCのマネー ジャーとなる⼈が３ヶ⽉ 後に⼊社 ×

28. 28 当時の状態 この当時の私 • LPIC、CCENT、Oracle Master Bronze（などイ ンフラ基礎資格は所有 • Pcapという拡張⼦を知ら

    ない • wireshark触ったことな し • サンドボックスは、箱？ • 何がセキュリティ⽤語で 何がリクルート⽤語か区 別がつかない この当時の組織 • 数ヶ⽉前に国内他社で起 きたセキュリティ事故を 受け意識が⾼まっている 状態 • セキュリティを専⾨とす る社員わずか数⼈ • のちにCSIRTのマネー ジャーとなる⼈が同期⼊ 社 • のちにSOCのマネー ジャーとなる⼈が３ヶ⽉ 後に⼊社 × ⾮常にチャレンジングな状況

29. とりあえずSOCの現場に放たれた 29 そんな状況で

30. 未経験者が⾒たリクルートのSOC現場 その１ IDS/WAF監視対応 30

31. リクルートの商⽤監視 31 IDS Intrusion Detection System WAF Web Application Firewall

    NWF Network Forensics 主にOSやミドルウェアの脆弱性を狙った通信 を検知するシステム ※検知＋遮断する場合はIPS(Intrusion Protection System) 主にWEBアプリケーションの脆弱性を狙った 通信を検知/遮断するシステム 環境内に流れる通信のパケットをキャプチャし て収集、解析するためのシステム • 商⽤監視では以下の３つの監視機器を活⽤

32. • リクルートの商⽤インフラ（WEBサイト）のうち、セキュリティレベル として⼀定の基準に該当するものは、WAF、IDS、NWFを導⼊している • これらのログをSOCで収集/解析し、24/365で監視、解析（⼀次解析に MSSを導⼊） リクルートの商⽤監視

33. IDS/WAFの監視対応 • MSSからのアラート通知が来たら攻撃成否/影響を判断し、 事業への通知や通信遮断を⾏うのが主な任務 33 監視対象サービス 400以上 １ヶ⽉の検知アラート数 約2億件 ※IDS+WAF

    • SOCでWAF/IDSを⽤いて監視をしている規模

34. IDS/WAFの監視対応 34 監視対象サービス 400以上 １ヶ⽉の検知アラート数 約2億件 ※IDS+WAF • SOCでWAF/IDSを⽤いて監視をしている規模 とりあえず電話が鳴ったら出

    てね 私 当時のボス はい！ （いきなりアラート対応…！ できるだろうか…） あと対応フローを⾒直して 作り直してみて はい！ （フロー整備は得意） • MSSからのアラート通知が来たら攻撃成否/影響を判断し、 事業への通知や通信遮断を⾏うのが主な任務

35. 商⽤環境インシデント対応フロー例 （１）攻撃の種類や内容の調査 検知アラートの内容から攻撃の可能性を判断。また、何を狙ったどのよ うな攻撃かを⾒⽴てる。 （２）送信元、送信先の調査 IPアドレスなどの基本的な情報から不審な送信元かどうかを判断。 （３）攻撃成否/影響範囲の調査 ネットワークフォレンジックで通信のリクエストとレスポンスを確認し 攻撃成否と攻撃意図を調査。また前後の通信を確認し影響を判断する。 （４）脆弱性の確認

    脆弱性のあるプロダクト/ソフトウェアの利⽤有無とバージョンを確認。 必要に応じパケットの再送や検査を実施し影響を検証。 （５）ログ、履歴の調査 必要に応じてFWログやApacheログ、認証ログなどとの突合調査。 35 IDS/WAF 検知 NWF 深堀調査 封じ込め/ 回復 → FW遮断、脆弱性の修正、サイト停⽌などのインシデントレスポンスへ

36. 36 着任して間もない頃の対応例 不正なファイルアップロード試⾏の攻撃を検知しました。 攻撃が成功している可能性があります。 不審な送信元IPみたい・・FW遮断をして事業に通知！ 私 事業 担当 MSS 確認しました。問題ありませんでした！

    私 承知しました。ご確認ありがとうございます！ あれ、問題ないと⾔っているけど、本当に問題ないんだろう か？？ →何を根拠に判断すれば良いか分からず、⾃信を持って判断できない

37. • 判断ミス未遂事件 →BlindSQLインジェクションの攻撃を受け、失敗の判断 をしかけたが成功していたことが判明 • 連続MSSQL攻撃事件 →複数のサイトに対してMSSQLの脆弱性を狙った攻撃が 定期的に発⽣。パケットから成否の判定が難しくサイト へMSSQLの使⽤状況を都度確認することに。 37

    こんなケースも 判断のための情報が揃って いない パケットに攻撃成否が 出にくい →攻撃の種類や受け⽅、情報により攻撃成否の判断に迷うケースも多い

38. 38 ちなみに • ITmediaさん記事より https://www.itmedia.co.jp/enterprise/articles/1904/22/news015.html とあるが • 現在は数名のアナリスト+IRメンバで体制が整い、 Slackなどのツールの活⽤もあり⼀⼈での判断をする 状況は発⽣していない

    チームメンバーに感謝！

39. 未経験者が⾒たリクルートのSOC現場 その２ セキュリティ監視導⼊⽀援 39

40. セキュリティ施策を横断組織で推進 • リクルートでは、株式会社リクルート(RCL)と株式会社リクルートテクノロジーズ(RTC)が 共同でセキュリティに対するマネジメント運営を実施しています。 • RCLでは業務セキュリティ、RTC ではシステムセキュリティに関する対応をしています。 40 サービス アプリ

    インフラ ASP セキュリティ 組織 グループ会社事業組織 グループ⼦会社 経営企画 総務 事業部A IT 企画 内 部 統 制 事業部B IT 企画 NB部 IT 企画 経営企画 総務 事業部 C IT 企画 委託先 (⼀般& システム) 委託先 (⼀般& ｼｽﾃﾑ) 指 ⽰ / 管 理 要件共有 施策詳細 グループ会社体制 内部統制責任者 総務 システ ム 内部統 制 全体 責任者 施策 推進者 保有する情報資産の例 リクルートグループのセキュリティ機能 リクルートグループにおけるセキュリティ対策の対象 セキュリティ対策の対象 機能 役割 戦略 全体統括 ⽅針・規定 施策推進 運⽤管理 (CSIRT) 監査 リスク管理 セキュリティ戦略の策定／経営との合意 予算管理 セキュリティ組織全体の管理 業務セキュリティの⽅針・要件の策定 システムセキュリティの⽅針・要件の策定 ソリューションの構築 各社の施策導⼊に対する推進・検討⽀援 インシデント対応 セキュリティ監視（SOC） 脆弱性管理 業務セキュリティ監査・アセスメント システムセキュリティ監査・アセスメント ｾｷｭﾘﾃｨ 実装⽀援 業務セキュリティ実装・検討⽀援 システムセキュリティ実装・検討⽀援 ルール策定 執⾏依頼

41. • セキュリティ施策対象サービスにおいてはWAFとNWFの 導⼊が求められることに • WAFとNWF導⼊におけるSOCの担当範囲のPLを任される 41 セキュリティ施策導⼊ 対象サイト 40超 対象環境

    5環境 （オンプレ/クラウド含む）

42. • セキュリティ施策対象サービスにおいてはWAFとNWFの 導⼊が求められることに • WAFとNWF導⼊におけるSOCの担当範囲のPLを任される 42 セキュリティ施策導⼊ 対象サイト 40超 対象環境

    5環境 （オンプレ/クラウド含む） 再びチャレンジングな采配

43. • 商⽤セキュリティ施策導⼊の流れ 43 セキュリティ施策の導⼊〜運⽤開始まで アプライ アンス導⼊ パラメータ ヒアリング 監視サービス 設計

    実装・ チューニング 本格 運⽤開始

44. • 商⽤セキュリティ施策導⼊の流れ アプライ アンス導⼊ パラメータ ヒアリング 監視サービス 設計 実装・ チューニング

    本格 運⽤開始 SOCの担当範囲 セキュリティ施策の導⼊〜運⽤開始まで 導⼊におけるSOCの役割 監視対象環境に導⼊されたセキュリティ機器で監視開始できるように するのがSOCの役割 ① 監視サービス設計 ② 監視ルールの設定 ③ 監視ルールのチューニング ④ サイト責任者連絡先確認、フロー説明

45. セキュリティ施策の導⼊〜運⽤開始まで ①監視サービス設計 – MSS選定 – 監視基盤の設置、ログ収集回線敷設 – 社内SOCとしての監視サービスレベル、提供内容の検討 ②監視ルールの設定 –

    どの監視ルールをONするか？（監視対象環境に合わせて設定） ③監視ルールのチューニング – ルールをONにした後の検知状況を様⼦⾒(１週間〜２週間) – 過検知したアラートの対応を検討する（無視する/除外する） ④サイト責任者連絡先確認、フロー説明 – サイトの開発者や事業担当の連絡先をヒアリング – サイト担当へSOCによる運⽤のサービスレベルやフローを説明 45

46. • 以降、新規対象の環境が追加される場合は、商⽤監視 チームの定常タスクとして対応 • 現在、対象サービスは60超 46 ２年間のプロジェクトの結果 対象サイト 40超 対象環境

    5環境 （オンプレ/クラウド含む） 対象環境において全て予定通りに導⼊完了！ 無事、運⽤フェーズへ

47. 未経験者が⾒たリクルートのSOC現場 その３監視運⽤の磨き込み 47

48. SOC⽴ち上げ当初の運⽤課題 まずは監視センサーを導⼊・・・ →アラートが⼤量発⽣! 48 24/365の監視体制 ⼤量のアラートへの対応 体制不⼗分 時間がかかる 脅威度の分析・⾒極め SOCとして求められた対応

    １ 2 3 武器はあれど、兵⼠の訓練や戦術がない状態 ナレッジがない

49. SOC⽴ち上げ当初の運⽤課題 浮き彫りになった3つの課題 49 分析スキル/精度 対応スピード 体制 １ 2 3

50. SOC⽴ち上げ時の課題 その1 50 対応スピード 体制 分析スキル/精度 １ 2 3

51. 課題① 対応スピード • 役割分担、対応フローの明確化 CSIRT内で役割分担し、SOCは検知・初動対応に専念する ことで対応がスムーズに 51 アラートごとに連携先が様々で SOCの対応が煩雑になっていた BEFORE

    ʁ ʁ ʁ 事業担当A 事業担当B SOCでの解析・初動対応後、 クロージングまでIRチームが引き継ぎ AFTER ʂ IR SOC 事業担当

52. SOC⽴ち上げ時の課題 その２ 52 対応スピード 分析スキル/精度 １ 3 体制 2

53. 課題② 体制 • 外部ベンダー（MSS）に夜間休⽇も含め た⼀次アラート監視を依頼 ⼤量のアラートをふるいにかけ、疑わしきもののみを⾃社 SOCで調査。 →⼀次調査の⼯程を⼤幅削減。 ⼆次調査以降の対応に時間をさけるように。 53

    ⽣ログ センサーによる監視 MSS R-SOC 100億件以上 数⼗件 件数例：

54. SOC⽴ち上げ時の課題 その３ 54 体制 2 対応スピード １ 分析スキル/精度 3

55. 課題③ 分析スキル/精度向上 • アナリストチームによる詳細調査 SOC内に設けられたアナリストチームで 定型対応外の分析・詳細調査を実施 →分析⼿法の検討・評価も⾏えるようになり、 それらを他メンバーへ共有することで定型化 55 など..

    マルウェア感染経路の深堀解析 早期警戒情報からの予防遮断 各種ログからのハンティング 定型運⽤外の解析 分析⼿法の 検討・評価 定型運⽤化 ・ 他メンバー へ共有

56. セキュリティのスキルアップ 56

57. 57 おかげさまで今に⾄る 2014 2015 2016 2017 2018 2019 セキュリティ監視の前線に⽴てるようになり、 監視をベースにクラウド環境の施策検討など少しづつ幅を広げて精進中

    ⼊社 ⼤規模セキュリティPJ システムC/Oを経験 WAF導⼊PJ SOCにおけるPLを経験 商⽤監視 TL クラウドの 監視検討WG参加

58. • セキュリティ関連業務と⼀⼝に⾔っても多岐にわたる – インシデントハンドラー、脆弱性診断⼠、リサーチャーetc… • セキュリティ⼈材のスキルマップ/ガイドライン例： – SecBoK:情報セキュリティ知識項⽬(JNSA) https://www.jnsa.org/result/2018/skillmap/ –

    iCD:i コンピテンシ ディクショナリ、ITSS:ITスキル標準(IPA) https://icd.ipa.go.jp/icd/ability/attention/security – https://www.ipa.go.jp/jinzai/itss/index.html 58 セキュリティエンジニアって？ ※引⽤元「SecBok全体整理表」 業務遂⾏のための前提ス キルと必須スキルがマッ ピングされている。 例えば「リサーチャー」 の場合、プロジェクト管 理、インシデント対応関 連スキル、攻撃⼿法、ソ フトウェア関連知識など が前提

59. • 関連業務が幅広いため様々なスキルの合わせ技で戦う必 要がある 59 セキュリティは総合格闘技 ※引⽤元 セキュリティ業務を担う⼈材のスキル可視化ガイドライン プラス・セキュリティ⼈材の可 視化に向けて＜β版＞ https://www.jnsa.org/isepa/images/outputs/JTAG_guideline-%CE%B2_190118.pdf

    テクノロジー領域はアプリからNW、 DB、暗号/認証技術までレイヤー問わず ビジネス領域はマネジメント、プロ ジェクト管理から法/制度まで

60. • 関連業務が幅広いため様々なスキルの合わせ技で戦う必 要がある 60 セキュリティは総合格闘技 ※引⽤元 セキュリティ業務を担う⼈材のスキル可視化ガイドライン プラス・セキュリティ⼈材の可 視化に向けて＜β版＞ https://www.jnsa.org/isepa/images/outputs/JTAG_guideline-%CE%B2_190118.pdf

    テクノロジー領域はアプリからNW、 DB、暗号/認証技術までレイヤー問わず ビジネス領域はマネジメント、プロ ジェクト管理から法/制度まで まめつぶくらい ほぼゼロからのスタートの場合、どうすれば・・ AS-IS

61. 61 ほぼゼロからのスキルアップ ⼩さい丸 （ほぼ何もできない） 尖る （特定の強みを伸ばす） AS-IS TO-BE

62. 62 ほぼゼロからのスキルアップ ⼩さい丸 （ほぼ何もできない） 尖る （特定の強みを伸ばす） AS-IS TO-BE セキュリティエンジニアとしては理想的？

63. 63 ほぼゼロからのスキルアップ ⼩さい丸 （ほぼ何もできない） 徐々に⼤きい丸へ （幅広くできる） AS-IS TO-BE

64. 64 ほぼゼロからのスキルアップ ⼩さい丸 （ほぼ何もできない） 徐々に⼤きい丸へ （幅広くできる） AS-IS TO-BE 当時の私はこちらを⽬指そうと考えた

65. スキルアップのために • 体系的知識を扱う外部研修（SANS等） • 外部コミュニティでの情報収集 • 海外カンファレンス参加 65 ナレッジ •

    攻守の演習型の研修（サイバーレンジ、 Hardening） • 脆弱WEBアプリの擬似テスト • マルウェアの静的解析 テクニカルスキル

66. スキルアップのために • 体系的知識を扱う外部研修（SANS等） • 外部コミュニティでの情報収集 • 海外カンファレンス参加 66 ナレッジ •

    攻守の演習型の研修（サイバーレンジ、 Hardening） • 脆弱WEBアプリの擬似テスト • マルウェアの静的解析 テクニカルスキル 海外で肌で感じる刺激は視野を広げる/モチベーショ ンを⾼めるには良い。 カンファレンスで海外のユーザー企業のエンジニアと 交流できると楽しい！

67. スキルアップのために • 体系的知識を扱う外部研修（SANS等） • 外部コミュニティでの情報収集 • 海外カンファレンス参加 67 ナレッジ •

    攻守の演習型の研修（サイバーレンジ、 Hardening） • 脆弱WEBアプリの擬似テスト • マルウェアの静的解析 テクニカルスキル アナリストの同僚にレクチャーを受け、実際に⾃社で 検知されたマルウェアを解析。 ツールの使い⽅、⽬の付け所や勘所、報告の仕⽅など を⾒よう⾒まねで訓練。

68. • ⾃分がもともと得意な領域/活躍できる領域から ⼟壌を固めていく – サポートで培った業務設計、運⽤改善の経験があったので、専⾨ 知識がない状態でもなんとか⽴ち上がることができた – 関連領域が広い分、必ず何かのスキル/知識が活かせる • ⽬指したい⽅向（レーダーチャートの形）と登

    り⽅（必要なスキルと⾝につけ⽅）を考えなが ら進む – 登り始めはどんな業務があるかもあまりよく分からない – とりあえずできるだけ戦場に近いところに⾝を置くのも１つ 68 セキュリティ未経験からの登り⽅

69. 最後に ͋Δ͋Δ $4*35ঁࢠͷ೔ৗ

70. ฏ೔೔தʹى͖ΔΠϯγσϯτ͸ ͚ͬ͜͏ޡݕ஌ 70 Ͱ΋༵ۚ໷ʢಛʹҿΈձͷޙ ى͖ΔΠϯγσϯτ͸ׂͱͭΑ͍

71. 71 Ϛϧ΢ΣΞײછͰώΞϦϯά͢Δͱ ͍͍ͨͯʮԿ΋΍ͬͯͳ͍ʯ ո͍͠αΠτݟ͍ͯͨ͜ͱ͹Εͯ·͢Α

72. 72 Πϯγσϯτ͕͠͹Β͘ͳ͍ͱɺ Ϙεͷإ͕҉͍ʢؾ͕͢Δʣ ͖ͬͱؾͷ͍ͤͰ͢Ͷ

73. 73 ϩάͷอ؅ظ͕ؒ୹ͯ͘߈ܸͷϩά͕ͳ͍ ͱΞφϦετͷإ͕҉͍ ʢ੾࣮ʣ

74. 74 ๨೥ձγʔζϯ͸ ෆਖ਼ಈըฤूιϑτ%-ʹΑΔײછ͕ٸ૿ ฐ͚ࣾͩͰ͠ΐ͏͔

75. ύδϟϚ͸΄΅ϕϯμʔ5 ʢΞϝϦΧͷ99-͸ϫϯϐʔεʹʣ 75 ͳ͚ͳ͠ͷঁࢠྗ

76. ଞ෦ॺͱͷଧͪ߹ΘͤͰ $4*35εςοΧʔΛӦۀ͹Γʹ഑Δ 76 ͦ͜ʹॻ͍ͯ͋Δి࿩ʹͨ·ʹਓ୳͠ͷґཔͱ͔དྷΔ

77. ࣾ಺ϙʔλϧͰ ʮΠϯγσϯτͷϓϩूஂʯͱॻ͔ΕΔ 77 ؒҧͬͯ͸͍ͳ͍ɾɾʁ

78. ʢ$4*35ঁࢠͷ೔ৗ͕ʣ ͓Θ͔Γ͍͚ͨͩͨͩΖ͏͔ 78

79. ご清聴ありがとうございました 79