- 2021.04.14
- サイバーセキュリティ
「サイバーディフェンス インシデントレスポンダー」に必要な知識、技術、能力とは?
サイバーセキュリティコラム~第4回~
サイバー攻撃時の対処において重要な知識、技術、能力
今回も、クラウドセーフ株式会社の平原氏によるコラムをお届けします。同氏は、以下のコースの講師としても活動されており、お客様個別のご要望にお応えするカスタマイズにも対応いただいております。
- CompTIA PenTest+
- CompTIA Advanced Security Practitioner (CASP+)
- CHFI (Computer Hacking Forensic Investigator)
自己完結性と高い機動力を持つ
今回は前回の続きで、サイバーセキュリティ人材育成のフレームワークであるNIST SP800-181(NICE フレームワーク)(外部リンク)を取り上げます。特に、NICE フレームワークに定義されている7つのカテゴリー中の「Protect and Defend」の役割のひとつで、ネットワーク環境のサイバーインシデントを調査、分析、および対応を行う「Cyber Defense Incident Responder」に必要な「知識、技術、能力」について説明します。 サイバー攻撃時の対処において自己完結性と高い機動性を持つには、 ・標的型攻撃の全貌を明らかにするデジタルフォレンジック ・攻撃者のくせ、所在を分析するマルウェア解析 ・同じ攻撃が発生した際に防御または検知のためのペネトレーションテスト といった「知識、技術、能力」が必要となってきます。
インシデントレスポンスに求められる知識、技術、能力
必要な知識は主に以下の項目です。
- リスクマネジメントプロセス
- サイバー環境における脅威や脆弱性
- データバックアップとリカバリ
- インシデントレスポンスとハンドリング方法論の理解
- サイバー攻撃の各ステージにおける理解
- マルウェア解析コンセプトと方法論の理解
また、必要な技術には、 「マルウェアを特定、収集、封じ込め、動作に関しての報告」、 「マルウェアから防御するための対策技術の理解と導入」 などがあります。 最後に、必要な能力としては、 「侵入検知テクノロジーを使用して、ホストおよびネットワークベースの侵入を検出するための手法を適用する」 などがあります。
インシデントレスポンスは欠かせない存在
2020年7月7日にリリースされたバージョンのNICE Framework Supplemental Material(外部リンク) のREFERENCE SPREADSHEETをベースに少し掘り下げます。まず、シート名「Table of Contents」の42行目からセキュリティエリア「Incident Response (CIR)」、ワークロール「Cyber Defense Incident Responder」が記載されています。 さらに42行目F列のリンクを選択すると、このワークロールに必要な「知識、技術、能力」を確認することができます。それぞれの項目には、Knowledge、Skills、Abilitiesの頭文字をとった KSA IDが付与されています。 「Cyber Defense Incident Responder」においては、30の知識、8つの技術、2つの能力の合計40項目が 定義されていることが確認できます。 このように、幅広い「知識、技術、能力」が必要な「Cyber Defense Incident Responder」について考える際に、いつも例え話にしている「The few. The proud.(誇り高き少数精鋭)」という言葉があります。これは、米海兵隊のモットーです。米海兵隊は陸海空軍の全機能を備えており、米軍が参加する主な戦いでは、最初に、上陸・空挺作戦などの任務で前線に投入され、その自己完結性と高い機動性を持つ緊急展開部隊です。 今回二度にわたって紹介した「Cyber Defense Incident Responder」という役割は、そんなセキュリティエンジニアになるために必要な「知識、技術、能力」を身につけることができる役割のひとつであり、このコラムを機に興味を持っていただけたら幸いです。
2002年大手セキュリティメーカーに転職後、18年以上、サイバーセキュリティ分野に従事し、マルウェアに関する動向や解析、サイバー攻撃、サイバー犯罪時のコンピュータ等に残された痕跡情報調査の分野(フォレンジック)を担当。その中で、多くの政府・企業・団体におけるサイバーセキュリティ事故対応を経験。ITをもっと安全、安心に利用することで企業成長に貢献したいという想いから2017年3月クラウドセーフ株式会社を創業。現在は、損害保険会社、上場企業、大手製造業、スタートアップ企業等のサイバーセキュリティ技術活用に関する技術顧問やセキュリティトレーニングの講師として活動。 【保有資格】 GIAC Certified Forensic Analyst CHFI (Computer Hacking Forensic Investigator) 他 平原氏の主な活動等の詳細はこちら(外部リンク)
筆者紹介
平原 伸昭(ひらはら のぶあき)
クラウドセーフ株式会社代表取締役
トップアウトヒューマンキャピタル株式会社サイバーセキュリティアドバイザー
2002年大手セキュリティメーカーに転職後、18年以上、サイバーセキュリティ分野に従事し、マルウェアに関する動向や解析、サイバー攻撃、サイバー犯罪時のコンピュータ等に残された痕跡情報調査の分野(フォレンジック)を担当。その中で、多くの政府・企業・団体におけるサイバーセキュリティ事故対応を経験。ITをもっと安全、安心に利用することで企業成長に貢献したいという想いから2017年3月クラウドセーフ株式会社を創業。現在は、損害保険会社、上場企業、大手製造業、スタートアップ企業等のサイバーセキュリティ技術活用に関する技術顧問やセキュリティトレーニングの講師として活動。 【保有資格】 GIAC Certified Forensic Analyst CHFI (Computer Hacking Forensic Investigator) 他 平原氏の主な活動等の詳細はこちら(外部リンク)
