フォレンジックチームを率いるリーダーが考える効率のよいスキルアップ方法

Ichiro Sugiyama Principal | Forensic & Integrity Services (Forensics), Ernst & Young ShinNihon LLC

EY新日本有限責任監査法人での業務内容とその重要性を教えてください。

私は主に二つの役割を担っています。一つがフォレンジックテクノロジー領域のリーダーで、もう一つがサイバーアシュアランスと呼ばれる領域のリーダーです。前者はForensic & Integrity Servicesという、主に不正調査やコンプライアンスリスク対応を行う組織で、デジタルフォレンジックを中心としたテクノロジーを不正調査等で活用するグループを統括する役割となります。そのグループには、不正調査や訴訟対応においてデジタルフォレンジックを活用するeDiscovery(電子証拠開示)のファンクション、サイバーインシデントの対応や脅威インテリジェンスの分析等を行うサイバーセキュリティのファンクション、不正調査やコンプライアンスモニタリング等を目的として企業内の様々なデータの分析を行うFDA(Forensic Data Analytics)のファンクションの合計三つのファンクションが存在しています。それぞれのファンクションが、有事対応や有事前の未然防止においてテクノロジーの活用による業務の高度化の役割を担っており、データ分析の要件が複雑な場合や多様なデータを取り扱う有事対応等、必要に応じて各ファンクションが相互に連携しています

もう一つのサイバーアシュアランスについては、少し特殊な役割を担っています。私が所属する監査法人は当然ながら主として上場企業等の会計監査を行っており、被監査会社による財務諸表の虚偽表示等が起きないように監査を行っております。従来、この会計監査は横領や循環取引等の不正による虚偽表示リスクを取り扱う機会が多かったのですが、最近のランサムウェアのように組織内の様々なデータの毀損や大規模な情報漏えいによる訴訟等、財務報告に影響を与える可能性のあるインシデントが増加しており、サイバーリスクも重要なリスクとして取り扱うようになっています。私は、監査対象の会社にて発生したサイバーインシデントについて、会社が実施したフォレンジック調査の十分性や虚偽表示リスク等の評価を行っているほか、サイバーインシデント発生前の監査対象会社のセキュリティリスクの評価等にも携わっています。

現在の業務または、セキュリティに携わる一員として直面している課題等あればご共有ください。

前述のサイバーインシデントを取り扱う業務においては、サイバー攻撃の手法とその痕跡等を発見する分析技術についての深い理解が必要であり、その理解の対象が日々変化していることや範囲が広範にわたることから、それらのキャッチアップに大きな課題を感じています。また、不正や訴訟においてデジタルフォレンジックを活用する業務においても、日進月歩のデジタルフォレンジック技術に加えて、フォレンジック(保全・分析)の対象となるデバイスやサービスの変化に対するキャッチアップについても同様に課題を感じています。

グループに所属している数十人のメンバーがこのキャッチアップを行う必要があり、効果的かつ定期的なトレーニングの実施や、キャッチアップのための情報ソースの確保が大きな課題となっています。

日々変化する脅威に対して、どのように個人やチームのスキルをアップデートされていますか?また、スキル向上に課題はありますか?

私がデジタルフォレンジックやインシデントレスポンスの学習を始めた当初は手探り状態で、著名なアナリストのブログや英語の専門書籍を探して読み漁っていました。その当時は、自分の強い意志で学習していたので一つ一つの記事や書籍を読むことは非常に有用でしたが、効率性という意味では非常に悪かったです。そのため、自分のスキルアップ方法を他のメンバーに展開することは現実的ではなかったため、網羅的かつ効果的なスキルアップの方法を探す必要がありました。特に効果的という面では、より実務に近い実践型を重視した方法を展開することを考えました。方法を検討していく中で過去の自分を振り返り、SANSのトレーニングが自分の考える最良の方法の一つと考え、可能な限りチームのメンバーに受講してもらうようにしました。また、受講メンバーには極力GIACの認定試験を受けてもらうようにしています。これには二つの狙いがあり、一つは知識の定着を図ることで、もう一つは資格更新の過程で継続教育(単位の取得)が必要であり、更新時に最新のテキストが入手できることが各自の確実かつ継続的なスキルアップに繋がると考えました。

フォレンジックアナリストとしてSANSトレーニングでお勧めするものはありますか?

所属する組織の業務範囲によるかなと思います。不正調査や訴訟支援等を行う機会がある方はFOR500: Windows Forensic AnalysisFOR585: Smartphone Forensic Analysis In-Depth等のデジタルフォレンジック調査で必要となる、アーティファクト分析や保全等を中心に学べるコースがお勧めだと思います。サイバーインシデントへの対応がメインだという方はFOR508: Advanced Incident Response, Threat Hunting, and Digital ForensicsFOR610: Reverse-Engineering Malware: Malware Analysis Tools and Techniques等の解析系のコースを取っかかりとして、余力があればインシデント対応で対峙する攻撃者等について学べるSEC504: Hacker Tools, Techniques, and Incident HandlingFOR578: Cyber Threat Intelligenceも受講されると良いと思います。

次の目標/受講したいコース等あれば教えてください。

最近はランサムウェアインシデントの対応が多いので、ランサムウェアの背後にいる脅威アクターや戦術に加えて、フォレンジック・インシデント対応の実務でどのように対処すべきかまでカバーされているFOR528: Ransomware for Incident Respondersを受講してみたいですね。

あとはFORシリーズで未受講のコースやマネジメント系のコースの受講についても検討しています。また、GIACについて、新設された「GIAC iOS and macOS Examiner (GIME)」がトレーニング受講時になかった資格であり、Appleデバイスを解析する機会も多いので受験を検討しています。


ご受講いただいたコース一覧

保有しているGIAC一覧