はじめに
CSIRTとして中途入社してちょうど1年が経ちました。
セキュリティ業界へ飛び込んだ私がこの1年間でやってきた経験をシェアすることで、これからCSIRTを目指す方や、同じような境遇の方の参考になればと思い記事を書きます。
経歴と転職の経緯
これまでセキュリティ分野では、SESとして標的型攻撃メール訓練の実施運用に3年ほど携わってきましたが、本格的なセキュリティ業務(CSIRT)に携わるのは今回が初めてです。
セキュリティに興味を持ったきっかけは、前々職でランサムウェア被害に遭ったことでした。前職のSESから「事業会社で腰を据えて社内のセキュリティ業務に取り組みたい」と考えるようになり、CompTIA Security+やCISSPを取得して基礎知識をつけ、下地がついたタイミングで現在の会社へ転職しました。
この記事で書くこと
普段はCSIRTとしての定常業務(ログ監視、インシデント対応等)も行っていますが、社内の機微情報に関わるため本記事では詳細は割愛します(会社名は今のところ出していませんが、今後出す可能性があるため)
今回は、業務をこなしながら並行して行ったスキルアップや、プラスアルファの活動の例を3か月ごとの時系列でまとめます。
1-3か月
入社直後の立ち上がり期間です。定常業務として先輩の仕事を見て覚えつつ、自己研鑽の時間を多く確保できたため、手を動かす学習に注力しました。
【主な取り組み】
- 自分でVMでWeb
- サーバーを立てる
- Chatgptを駆使して独力でやりきる
- BeEFを使ったテストをしてみる
- SANS GSEC試験の受験
- セキュリティ関連の本を片っ端から読む
- OSごとのセキュリティ技術の理解
- パケット分析ツールのハンズオン
- Hack The Boxを使ったCTF
- Raspberry Piの購入とIDS作成
総評
入社をしてまずはCSIRTとしての業務を見ながら社内セキュリティのリアル・抱えている課題の理解に努めました。原則リモートではありますが、コミュニケーションがオープンな社風だったため、社内SNSを通じて各チームの動きを見ていました。
それから入社早々NCA Annual Conferenceに参加をしました。
こういった業界カンファレンスへの出席も初めてであったため、NCAはもちろん、他の事業会社様の取り組みやセキュリティベンダー様の製品を見たりして「セキュリティ業界」の現状を知りました。
また、【主な取り組み】の通り先輩から教えて頂いた学習法やツールを動かしながら技術的な下地を付けるところから始めました。
もともとセキュリティの資格は持っていたものの、手を動かす経験は少なかったため試行錯誤しながら色々なことに挑戦しました。
特にSANSのGSEC試験の受験を通じて技術的な基礎体力をつけることができました。
無事に合格することができました。
4-6か月
定常業務にも少し慣れ、いくつかの業務を任されるようになりました。
また、セキュリティ人材としての意識も醸成されるようになり、世間のセキュリティ関連の脅威・インシデントといった情報にも自分からアクセスする癖がつきました。
この時期はクラウド周りの学習もしつつ、社内イベントの企画~実施を行いました。
【主な取り組み】
- さくらのクラウド検定の受験
- SANS GCIA試験の受験
- 社内CTFの企画~実施
- Hack The Boxを使ったCTF
総評
前期にSANS GSECを受験・合格しましたので次はどうする?ということでネットワークフォレンジックに興味があったためSANS GCIAの勉強を始めました。
GSECと違い「このツールでここを見ればxxだということがわかる」「パケットのここから攻撃者のxxがわかる」のようなより実践的な学習をすることができ、脱初心者といえるかはさておきWiresharkなどのいくつかのツールの効果的な使い方ができるようになりました。
また、AWSやGCPのような外資系クラウドの資格は持っていましたが、さくらのクラウド検定なる資格の存在を知りこちらも並行して学習・受験しました。
両資格はこの期間中に受験しそれぞれ一発合格することができました。
業務の範囲内ではありますが、機会があり社内でCTFを開催することとなりました。
開催はおろかCTF超初心者の私ですが、先輩の助言をいただきながら15,6問ほど作問・環境構築、実施といった一連の運営を行いました。
技術的なところはChatgpt様様といったところですが、CTFを実施する側に回ることで脆弱性が悪用される仕組み(CTFではFLAGの取得)を学びながら作ることができました。
この他、普段はなかなか触らないDockerやさくらのクラウドを使って環境構築を行ったため、これらのスキルもセットで覚えることができました。
やはり「何かを作ってやり切る」ことが理解への第一歩だと認識しました。
7-9か月
CSIRTとして自身が一次対応を行うなどの判断力も付いてきました。セキュリティ業界への関わりを増やすべく、関連コミュニティ(WG)やセキュリティシンポジウムへの参加の機会も増えてきました。
【主な取り組み】
- ウェブ・セキュリティ基礎試験(徳丸基礎試験)の受験
- Nessusを使った社内サーバの脆弱性スキャンの企画、実施
- CTFイベントの参加
- SANS GCEDの学習
- Docker(主にセキュリティ方面)の学習
- Microsoft Sentinel、Entraの学習
総評
前期でCTFの開催を通じて、「どういうコードが脆弱なのか」「脆弱性を悪用されるとどんな実害が起きうるのか」を学びたいと思い徳丸基礎試験の学習を始めました。主にBurp suiteを使いながら着実に進めていきました。これまでのSANS GSECやGCIAはいわゆる「ブルーチーム寄り」のスキルにフォーカスしていたように感じますが、この辺りからはレッドチームの要素も学び始めました。
また、Nessusを使って社内の脆弱性スキャンの企画、実施をするなど社内脆弱性のリアルを知る良い機会となりました。この両取り組みを通じて脆弱性の理解が進んだと思います。徳丸基礎試験も無事に一発合格できました。
10-12か月
ブルーチームの人材として社内のセキュリティに関して自分なりに考えることが増えてきました。CODE BLUEへの参加など、自社CSIRTの代表として1人でイベントへ参加するようになりました。
【主な取り組み】
- SANS GCEDの受験
- BadUSBの検証
- インシデントハンドリング講習の受講
- SANS GPENの学習
- Active Directory環境の構築・テスト
総評
CSIRT業務を行う傍らでブルーチームとしての平均的知識を底上げしたいと思い、SANS GCEDの学習・受験し合格しました。また、外部ベンダー様の有償の講習を受ける機会を得ることができました。インシデントハンドリングに関する実践的な講習を受けることで「大規模なインシデントが起きたときにどういう振る舞いをしていくか」というリアルな対応能力を強化することができました。
ブルーチームとしての学習は継続し、今後SANSの上位資格の学習も進めていくつもりですが、前期にレッドチーム方面の学習をしていた兼ね合いもありSANS GPENの学習を始めました。
受験までは至らなかったものの、関連する書籍を読んだりハンズオンを通して地力を少しずつ付けていき、社内のセキュリティ改善やアドバイスなどに活かしていきたいと思っています。
おわりに
以上が、私がCSIRT 1年目に経験したことの振り返りです。
恵まれた環境で多くの機会をいただき、駆け抜けるように様々な技術に触れることができました。
2年目は、この1年で蓄えた知識をより実務に還元できるよう、質の高いアウトプットを意識していきたいと考えています。今後もQiitaなどで知見を共有していきますので、どこかで見かけた際はよろしくお願いします。