サイバーセキュリティは「侵入前…
インシデント対応のイロハと必要かつ適切な対策は前回紹介しましたが、知識を身に付け、守りを固めても、“いざ”という時に機能しなければ意味がありません。インシデント発生に備えて、実践力を養うことが重要です。この実践力を高める効果的な教育プログラムが「IIJセキュリティ教習所」(以下、セキュリティ教習所)です。文字通り、自動車教習所のような技能研修でインシデントと向き合います。「知っている」と「できる」では雲泥の差。そして「できる」人材でなければ、組織を守ることはできません。セキュリティ教習所の研修内容を紐解き、実践力を高めるポイントを詳しく紹介します。
インシデント対応にはCSIRTの整備が必要であることは前回紹介しましたが、それと並んで大切なのがSOCです。インシデントハンドリングのプロセスは「検知」から始まるからです。
SOCなどの「検知」する体制・仕組みを自組織で整備・運用するのは、CSIRT以上にハードルが高くなります。異常を素早く検知するためには、24時間365日の監視が欠かせないからです。その後のトリアージやCSIRTとの連携も必要になるため、高い専門性や高度なスキルも求められます。自社リソースで対応することは難しいため、外部のアウトソーシングサービスを活用するのも現実的な解決策と言えるでしょう。
しかし、アウトソースしたら、検知以降のプロセスをすべて代行してくれるわけではありません。例えば、トリアージの結果、インシデント対応に踏み切るかどうか。最終的な判断はお客様側に委ねられている場合が少なくありません。実際の対処もお客様側がリードする形が主流です。すべてを任せたつもりになっていると、重要な判断を求められたり、期待通りに対応してもらえず、必要な対策が後手に回る恐れもあります。また、頭で理解していても、経験がないと実際の判断や対処を適切に行うのは難しいでしょう。
IIJはインシデント対応の不安を解消するための教育プログラムを提供しています。それが「セキュリティ教習所」です。多様なセキュリティサービスの提供を通じて培ったIIJの知見とノウハウを基に設計したものです。疑似攻撃実習によってインシデント対応の経験値を高め、適切な判断・対処が行える人材を育成します。
政府は「サイバーセキュリティ経営ガイドライン」の中でサイバー攻撃に備えて「緊急時の対応体制」の構築を推奨しています。一方で、スキルを持つセキュリティ人材は慢性的に不足している上、現場で対応にあたるセキュリティ人材は“実戦経験”もほとんどありません。セキュリティ教習所は実践力の高い知識・スキルの習得を求めるニーズを具現化した教育プログラムです。
セキュリティ教習所というネーミングには、自動車教習所のように「知識」と「技能」の習得を図り、セキュリティスペシャリストとして先頭に立つ人材を育成したいという想いが込められています。「実践的な疑似経験学習環境」でログの見方、セキュリティ対策の考え方、インシデント発生時の適切な初動対応方法などのセキュリティ知識を学び、実際の現場で対処するために必要となる技能を「課題解決型現場研修」で身に付けます。自動車教習所の路上教習のように実践力の高い知識・スキルを習得できる研修プログラムです。
IIJはお客様のSOC活動を支援する「IIJ C-SOCサービス」を提供しています。その中で活躍しているアナリストが研修のチューターとして指導にあたります。第一線のアナリストと直に接し、その知見に触れられることも大きな特徴です。
セキュリティ教習所の「インシデントハンドリング実践コース」では参加者同士で数名のチームを編成。仮想組織において攻撃者から不正なアクセスを受けた、というSOCレポートの受信からインシデント対応がスタートします。そしてチームで役割を決め、ログ解析、インシデントの特定・対処といった初動対応を実施。組織内の影響度合い調査、封じ込め、根絶までのシナリオを実践します。さらに経営層や関係者への報告方法、再発防止策も検討します。
インシデント対応は、実際にインシデントが発生しないと発動する機会はありません。「インシデントハンドリング実践コース」に参加すれば、実環境を模した実践的な研修で経験を積むことができます。
経験を積むことで見えてくるものもあります。実際のインシデント対応では何が重要になるか。自組織の状況に置き換えて気づきを得られます。例えば、インシデント対応プロセスのどこがボトルネックになっているのか。どんなマニュアルの整備が必要か。経営層と連携してインシデントハンドリングを行う際も、セキュリティの専門用語ばかりでは状況や危機感が正しく伝わらない可能性もあります。どんな“言葉”で伝えれば説得力が増すか。これも経験がなければ学べないことです。
この研修経験をもとに自組織の対策や体制を振り返ることで、インシデント対応のプロセスや体制の改善に必要なヒト・モノ・カネを知ることもできます。セキュリティ投資の優先順位も付けやすくなるでしょう。
「インシデントハンドリング実践コース」は情報処理安全確保支援士の特定講習に認定されています。参加者のスキルアップにもつながります。提供開始から約10ヵ月で、すでに受講者は100名を超えました。「ツールやログの見方を学べた」「マニュアルの必要性を痛感した」などの声が寄せられており、実践的な内容は高く評価されています。
今回紹介した研修内容は「インシデントハンドリング実践コース」ですが、このほかにも標的型攻撃を想定した研修コースもあります。現在提供しているコースはセキュリティ対策として中位レベルのものですが、今後は基礎的なコースやアナリスト向け専門コースなども拡充していきます。集合研修では参加が難しい方のためのオンライン研修も検討しています。
研修はSOCレポートの受信からスタートしますが、IIJ C-SOCサービスを利用していないお客様も受講可能です。お客様がSOCサービスを利用していない場合、インシデントのトリガーとなるSOCレポートが届かないため、自組織でログを確認し、読み解かなければなりません。この作業は大変な手間です。SOCがどのような役割を担っているかを体験する上でも研修の参加は大きな意義があります。
セキュリティリスクの巧妙化・高度化に伴い、侵入前提の対策が常識になりつつあります。それとともにインシデント対応の重要性がますます高まっています。そしてその対応は多岐にわたります。“いざ”という時に備え、経験を積み、実践力を養うことが重要です。IIJはセキュリティ教習所を通じて、実践的なインシデント対応能力のスキルトランスファーを推進し、お客様のセキュリティレベルの向上を支援しています。