営業や新人向けに普段どういったお仕事をしているかを紹介するための資料。
別途、解析環境の説明もする。
内部向けの資料のため、あまり技術的なことは載せない。
Scope:
- 営業や新人の方に、セキュリティの業務がどういったものか興味を持ってもらう。
- 説明資料作成の練習。←(重要)
Entry:
- 宅内SOCというお仕事
- セキュリティアラートの対応、ログ調査
- 不審なファイルの解析
- 監視ルールの作成、修正
- セキュリティインフラの運用(ちゃんと監視できているか、ハード・ソフト)
- トレンドの動向調査(どういった脆弱性やマルウェアが流行しているか)
Intro:
- 攻撃者の視点に立つ。
攻撃者はどういったことをしてくるか。(実演)
1. フィッシングサイト事例のお話(実演)
(フィッシングサイトは結構簡単に作れてしまう)
2. ユーザを欺く手法のお話(実演)
(ITに詳しくない/油断しているとさっくりやられてしまう)
3. セキュリティソフト/サービスを回避する事例のお話(実演)
(セキュリティソフトだけでは十分ではない)
Main:
ではどうするか。
- 重要なのは可視化
- あらゆるログ(痕跡)を収集する(NWログやら端末ログやら)
- ログを分析するシステムを作る(SIEM)
NWログは揮発性が高く、複数のパケットで意味を持つので、数件のログだけだと調査はしんどい
マルウェア(悪意のあるソフトウェアの総称)を動かした時に、どのようなログが出るのかを調べる。
攻撃者が攻撃をしてきたときに、どういったログが出るのかを調べる。
マルウェアの例
WannaCry(ぴえん)
挙動がわかったら、どういった特徴のログをフィルターすればマルウェア感染がわかるかを考え、そのログが見つかったらアラートとして発砲できるように設定をする。
あとはひたすらPDCA (誤検知を減らす、検知できない部分をカバーできるように更新)
これが結構地味な作業、でも一番重要な部分。
Closing:
普段やっていること
- セキュリティ系の情報収集(セキュリティニュースサイトは毎日見る)
- ITやコンピュータに関するお勉強(常に)
- 攻撃手法に関するお勉強と検証(時間ある時・深刻な脆弱性が出たとき)
- 外部のセキュリティイベントに参加(不定期)
心構え
- どれだけ技術が身についても、攻撃者が常に上位にいるという認識を持つ。技術を過信しない。
- 100%のセキュリティはない。どこかしら不備が出てしまう。どこまでやるか、どの程度許容するか
- セキュリティは一人ではできない、他の人と上手く協力していく。
- 攻撃手法について詳しくなるというのは、その使い方にも責任を持つということ。
- 宅内のシステム構成を把握し、マルウェア感染時に影響の切り分けがすぐできるように。
- 自分のできることを最大限やる(技術が十分でなくても、インシデントが起こったら対応しないといけない)
必要なスキル
- 英語 TOEIC 700以上は欲しいところ(できないと結構きつい。情報収集は英語が多い)
- IT基礎 (Network、コンピュータの構成、プログラミング等 基本はわからないときつい)
- 諦めない心 (途中で挫折する人が多いとか...)
- ITやハッキングに対する興味