セキュリティキャリア: CSIRT の一日
多くのサイバーセキュリティプロフェッショナルと同様に、私のコンピュータに対する情熱は子どもの頃に始まりました。初めて DOS コマンドを学び、ゲームを実行して、ディレクトリを移動し、そこには他に何があるか興味津々だったことを覚えています。「そこ」とはオペレーティングシステムでもあり、ハードウェアそのものでもありました。私はその仕組みに興味を持ちました。初めてダイヤルアップ接続が登場し、オンラインで情報を探し、独学で勉強できる可能性が出てきたことで、私の好奇心は爆発的に高まりました。
高校生のときは、いくつかのプログラミング言語とネットワークを学びました。ある日、上級生が私のところにやってきて、CD に入ったゲームを私に手渡しました。そのゲームは私のコンピュータでは実行できませんでした。数日後、オンラインで友人と話をしているときに、私のコンピュータがおかしな動きを始めました。CD プレイヤーが開いたり閉じたりし、壁紙が代わり、突然友人からのメッセージが書かれたテキストボックスが開いたりするようになりました。
当時は、そのようなマルウェアがインストールされることすら知らなかったので、この事象の発生と関連付けることはありませんでした。私はその仕組みに感心し、理解したいと思い、コンピュータのセキュリティ面に着目するようになったのです。
卒業後、私はネットワーク管理者、システム管理者として働きました。そしてその後、最初のサイバーセキュリティアナリストの職に就きました。長年にわたってセキュリティオペレーションセンターで働いた後、最終的にサイバーセキュリティインシデント対応チーム (CSIRT) のインシデントレスポンダーとして Salesforce に入社しました。
ご想像のとおり、サイバーセキュリティには多種多様なリスクと検出が含まれます。では、何をインシデントとみなし、どのように対応しているのでしょうか?
ご注意ください。ここからは若干技術的な内容になります。
始めに、Salesforce での情報セキュリティインシデントの定義は、Salesforce とそのサードパーティが送信、保管、処理するデータに対する想定外または違法な破壊、損失、変更、不正な開示またはアクセスにつながる、確認されたセキュリティ違反または合理的に疑われるセキュリティ違反とされています。
基本的には CSIRT が 24 時間態勢でこのような情報セキュリティインシデントの検出、エスカレーション、対応を担っています。簡単に聞こえますよね。ただ、これには数多くのことが関係していて、私たちのみでできることではありません。
CSIRTは、「クラウドプロバイダの最先端のセキュリティレスポンスセンターとして、世界最高水準の対応能力を提供する」というビジョンを達成するために、世界中のチームと密接に連携しています。それは、Salesforce 最大のコアバリューである「信頼」を守ることです。そのために、世界各地でフォローザサンサービスモデル (時差を利用して各地域のチームが交代で働き、24 時間態勢で対応する) を採用し、さまざまな国の地域チームが活動しています。異なる時間帯の地域チーム間 (アジア、欧州、米州など) で業務終了時に引き継ぎを行い、24 時間 365 日のサポートを提供しています。
備えの重要性を過小評価すべきではありません。
Salesforce は、世界最大かつ最も重要な企業、政府、組織の多くに不可欠なサービスを提供するプロバイダとして、そのすべての業務にセキュリティを組み込んでいます。そのためには、組織全体で信頼とセキュリティの文化を築き、ユーザーが何に気を付けるべきかを教育し、何らかのインシデントが発生した場合でも迅速に対応できるように準備しておくことが必要です。
Salesforce では、セキュリティに対して多層防御のアプローチをとっています。別の言い方をすれば、技術、プロセス、人の 3 つの層で構成されたアプローチで、単一障害点の可能性を排除しています。とはいえ、万が一の事態に備えて、1,400 人以上のセキュリティのプロフェッショナルと数十種類の最先端のセキュリティツール、プロセス、アプローチで、あらゆるセキュリティ脅威を予防、検知、対応できるようにしています。
しかし、私たちのチームは、ツールやテクノロジーだけではありません。実際、CSIRT のメンバーにとって最も重要なスキルは、コミュニケーション、問題解決、そして何よりも組織に関連しています。インシデントレスポンダーの役割で、私の典型的な一日は、地域チームが関連するインシデントを確認し、次のチームが成功するように設定する引き継ぎミーティングから始まります。必要な情報を全員が把握することで、サイロ化を防ぎ、状況に応じてより適切な意思決定を行うことができます。
チームワークが夢の仕事を実現します
さて、私たちがシフト中にまったく新しいインシデントを知ったとしましょう。人が報告したものであれ、システムが検出したものであれ、まず最初に行うのはトリアージです。トリアージでは、事象の分類と優先順位付けを行います。そして、事象がインシデントと分類された場合、カテゴリーと重大度が指定されます。
そこから、インシデントマネージャーやコマンダー (対応戦略の策定と指導、オペレーションの管理、インシデントレスポンダーのグループへの活動の委任を行う責任者) が計画を作成します。その後、インシデントの調査、封じ込め、修復を行う 1 名以上のインシデントレスポンダーを任命します。
インシデントレスポンダーとして、インシデントに対応し技術的な分析や調査を行うのが私の役割であり、仕事は数々の疑問に対する答えを探すことです。何が起きたのか。いつ起きたのか。誰が影響を受けたのか。誰が、何が、その事件を引き起こしたのか。どこで (物理的または仮想的に) 発生したのか。また、どのように起こったのかなどの答えを見つけます。
最後のステップは、インシデント後の活動の開始です。このステップでは、根本原因分析が行われ、インシデントの原因を特定して明らかにします。調査では通常、ホストやネットワークのフォレンジック、ログ解析 (テラバイトからペタバイトのデータ)、マルウェアの調査、多くの関係者との共同作業などを行います。そして、シフトの終わりには再度引き継ぎミーティングを行い、次の地域がプロセスを継続できるようにします。
プレッシャーが大きいかと言えば、ときにはそうです。やりがいがあるかと言えば、良い意味であります。技術的かと言えば、まさにそのとおりです。サイバーセキュリティの職場で時代に遅れないようにするには、継続的なトレーニングが欠かせません。この分野では最新情報を常に把握できるさまざまな機会が提供されています。
私の個人的な方法としては、多種多様な資格 (CCNA、CCNA Security、ISACA CISM、EC-Council CEH、(ISC)2、CISSP、CSA CCSK)、さまざまなコースと独学用教材 (動画、書籍)、ニュースフィード、ポッドキャスト、カンファレンスへの出席などがあります。これはノンストップの学習ジャーニーでり、サイバーセキュリティの修士号と SANS SEC504 コース (GIAC GCIH 認定資格取得を目指しています) を通じて、今でも学びを続けています。
サイバーセキュリティの最新動向に関してスキルアップを希望する方は、サイバーセキュリティ学習ハブをご確認ください。このハブでは履歴書に記載できる資格を取得できます。ガイド付きの学習パスではセキュリティプロフェッショナルから詳しい話が聞けるほか、サイバーセキュリティコミュニティ全般とつながることができます。
Salesforce では、私たちがサービスを提供する多様なコミュニティを反映し、誰もが充実した本物の自分を発揮しようと感じられる職場作りに取り組んでいます。私たちの価値は、単に紙の上の言葉ではありません。私たちは日々そのことを、実践を通して学び、成功を評価し、絶えず進化していきます。私たちは共に、世界の状況を改善する使命を担っているのです。
このすばらしいチームの一員になりたい方は採用情報をご覧ください。Salesforce は皆さんのような情熱を持った人を求めています。