三十路インシデントレスポンス体験記

Transcript

1. 三十路 インシデントレスポンス体験記 神戸デジタル・ラボ 山下 高範

2. 自己紹介

3. About me 山下 高範（３０） 活動 hardening 2017 fes hadening 2016

   W&L mini hardening micro hardening kintone hack ㈱神戸デジタル・ラボ 情シス → KDL-SIRT コミュニティ 情シスCafe in Kobe

4. ＳＩＲＴとは？

5. SIRTとは？ • Security Incident Response Teamの略 →セキュリティインシデントが起きたら対応するチーム • 弊社のSIRTはC-SIRT（社内）とP-SIRT（プロダクト） の両方を担当

   • SOC(アラート監視)や環境構築、社内教育、ポリ シー作成、社内訓練、脆弱性対応などなど

6. SIRTとは？ 組織体制 セキュリティ部門 情シス部門 ＳＩＲＴ ＳＩＲＴ専任は一人（わたし）

7. 20XX年 圧倒的 セキュリティ人材不足

8. 引用：NICTER Blog https://blog.nicter.jp/reports/2018-01/nicter-2017/ 攻撃は二年前の倍以上

9. 経済産業省：IT人材の最新動向と将来推計に関する調査結果 http://www.meti.go.jp/press/2016/06/20160610002/20160610002-7.pdf

10. 伊丹市 出典：伊丹市の紹介 http://www.city.itami.lg.jp/shokai/sansaku/1396947521271.html ２０万人の規模

11. キャリアパス 経済産業省：IT人材の最新動向と将来推計に関する調査結果 http://www.meti.go.jp/press/2016/06/20160610002/20160610002-7.pdf 企業としてはセキュリティ人材は必要だけど、 その後のこと（キャリアパス）はわからない

12. いったいどうなる？

13. 一人情シスなどが叫ばれる時代に、更にセキュリティ 人材を企業が用意するのが難しい。 • 情シス上がりのセキュリティ担当者が増えてくる 私のような人材 情シス セキュリティ 情シス+α 情シス+α

14. 情シスから SIRTに転身してどうだったか

15. メリット • 社内のネットワークがわかる • もともと情シスとして社員と直接対応をしているの でコミュニケーションが取りやすい • 社員の案件の都合や、各機器などの細かい事情を 知っている

16. 得れる経験 • アラートから学ぶ • 大量のログから目的のログを見つけ筋道を立てて考える • 外部からのスキャンや悪意のあるウェブサイトから流行 の攻撃などが知れる • 社員がどんな流れでマルウェアをダウンロードしてしまう

    のか • 技術の深い理解を求められる • インシデント対応 • 監視環境の構築楽しい(Elasticsearchやsplunk) • フォレンジック訓練 • 診断訓練 • 攻撃者の手法や目的 • インシデントレスポンスのPDCAサイクル

17. インシデントは 突如やってくる

18. インシデントめっちゃ起きる • Postfix(メールサーバ)知っている？ • SIRT着任０日目のインシデント対応 • 鳴り止まない通知（不審な通信検知） • 社内の複数端末でセキュリティソフトが同時に検知 •

    怪しい添付ファイル開いたと報告あり →対応したその日の夜、間違えて自分も開いてしまう

19. デメリット • 情シスのときに必要だった知識では判断できない • やっぱりセキュリティの知識が必要 • セキュリティの分野が広すぎて迷子になる • セキュリティだけやっている人となかなか話が通じない （そうなんだけど実際やるのが難しい的な話）

20. 終わりに • 今後情シスが高度なセキュリティ技術を求められる 日が近いのでは？！ • セキュリティの技術は一朝一夕ではできない • 悲壮感に包まれている情シス兼SIRT人材が増える かもしれない。 •

    だが、やるしか無い！ • 俺たちの戦いはこれからだ！