専門家としての職歴と、サイバーセキュリティにおける現在の役割について教えてください。
私は、技術の世界でいくつかの異なる職務に就きました。フロントラインサポート、品質保証、エンジニアリング、開発、侵入テストを経験しました。私は古典的なコンピュータサイエンスの経験はないため、信頼できる技術人材になるのは難しく、いらいらすることも多かったのですが、最終的には充実した経験でした。現在の職務である、Pulsar Securityの技術サービス担当ディレクターの地位では、本当に素晴らしいチームとともに作業できる幸運に恵まれています。私は、ソフトウェア開発とセキュリティサービスの取り組みを指揮しています。
組織は、サイバーセキュリティについて、どのような課題に直面していますか?
もちろん技術的な課題は数多くありますが、私たちが直面している主な障害はすべて人員に関連するものです。つまり、クリエイティブな人材を引きつけ、トレーニングし、維持するための最善の方法を決定すること、多層的なセキュリティプログラムを完全に理解し実装するためクライアントと共同で作業すること、お互いにいたちごっことなることが多い、攻撃と防御の技術を扱うこと、そして多数の人々を教育することです。
自分の能力を育成するためと、会社のトレーニングプログラムとして、SANSのトレーニングを選択した理由を聞かせてください。
きっかけは、その年に参加するカンファレンスを決めようとしていた時でした。ほとんどのカンファレンスは素晴らしいものでしたが、参加したことによってそれほど多くの技能を得ていないことに気付きました。そこで、私はより実用的で利益のあるものに時間を費やすことにしました。このような分野において、SANSに匹敵するものはほとんどありません。私は、SEC560:ネットワークの侵入テストと倫理的ハッキング、SEC542:Webアプリの侵入テストと倫理的ハッキング、SEC573:Pythonによる情報セキュリティの自動化、SEC660:高度な侵入テスト、悪用の書き出し、倫理的ハッキングなど、侵入テストに関するSANSコースをできるだけ多く受講することにしました。私は当時、SANSの公約を知りませんでしたが、今から考えれば、その公約が本当であると心底から同意できます。
[注:SANSは、トレーニングから職務に戻ったその日から、トレーニングで得た技能を活用できると公約しています。]
従業員のトレーニングプログラムとポリシーを作成する作業を担当したとき、新しい技能と技法をすぐに身に付けられるような、実践的なトレーニングを優先することに決めました。SANSの侵入テストコースが選ばれた理由は、当社のコアビジネスと重なっていることと、新しい従業員を迅速に育成する点で最大の投資対効果が得られることです。
従業員、チーム、組織はSANSのトレーニングからどのようなメリットを得ていますか?
私たちは、全社員のうちかなりの割合をSANSのトレーニングに送りました。当社は、経験が少ない、またはまったくない新しいエンジニアを採用し、最初からトレーニングを行うことを普通に行っており、これにはいくつかのSANSのコースも含まれます。これは安くはありませんが、長期的には価値がコストを上回ります。
当社の組織は、SANSのトレーニングから明確な技術的メリットを得ています。たとえば当社は、PenTest Hackfest Summit & Trainingでコース作成者のMark Baggett氏により行われるSEC 573:Pythonによる情報セキュリティの自動化を受講するために3人の従業員を派遣しました。そのうち2人は技術的な経験がわずか数か月でした。これにより、従業員たちはプログラミングに習熟し、能力の向上により、現在の環境では手作業で行っているタスクの一部をPythonで自動化できるようになったため、一気に技能を強化できました。
また、SANSトレーニングの無形のメリットも同様に重要だと考えています。当社がSANSに参加するのは、授業の質が世界最高レベルで、受講生は同じ種類の人々、すなわち自分たちの能力を拡大し、新しい技能を習得して、組織に転換を引き起こそうとしている人々だということを理解しているからです。このような環境に没入することで、当社が世界で最も才能のあるサイバーセキュリティ実践者の何人かと共同作業や競争を行えるという信念を強化してくれるため、非常に大きな利点があります。これは私たちの組織にとって、特に私たちが技術について標準的でない道をたどってきた人たちの採用を試みていることを考えると、非常に価値あることでした。
従業員がトレーニングによりGIACの認定を取得することを奨励していますか?推奨している場合、理由は何ですか?
私たちは、従業員がGIACの認定を目指すことを全面的に推奨(実際のところは要求)しています。認定は、技能や能力のすべてを証明するものではありませんが、その人物が何を学習したかを明確にするための優れた方法で、認定を獲得することは、特に経験の少ない人々にとって信頼を築き上げるため役立ちます。また、認定済みのセキュリティ実践者のチームを持つことは、潜在的なお客様やパートナーから組織への信頼を得るため役立ちました。
御社はSANSの無料リソースを使用していますか?
私たちは研究中心の組織で、SANS Reading Roomは必要に応じてギャップを埋めるための優れたリソースです。私たちが最も頻繁に利用している無料リソースはISC StormCast Podcastです。私たちのチームのメンバーのほとんどはポッドキャストを熱心に聞いています。Johannes Ullrich氏による毎日の最新情報は、サイバーセキュリティの世界で何が起きているのかを常時把握しておくために役立っています。
SANSでの今後のトレーニング計画について教えてください。
私のチームは、SEC560、SEC504、SEC660に受講生を派遣しています。SANSのトレーニングは、新入社員とベテラン社員の両方についてトレーニング計画の中核的なもので、今後も間違いなく推進していきます。
修了したSANSコース
- SEC503: Intrusion Detection In-Depth
- SEC504: Hacker Tools, Techniques, Exploits, and Incident Handling
- SEC505: Securing Windows and PowerShell Automation
- SEC506: Securing Linux/Unix
- SEC511: Continuous Monitoring and Security Operations
- SEC542: Web App Penetration Testing and Ethical Hacking
- SEC560: Network Penetration Testing and Ethical Hacking
- SEC566: Implementing and Auditing the Critical Security Controls - In-Depth
- SEC573: Automating Information Security with Python
- SEC575: Mobile Device Security and Ethical Hacking
- SEC599: Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain Defenses
- SEC617: Wireless Penetration Testing and Ethical Hacking
- SEC642: Advanced Web App Penetration Testing, Ethical Hacking, and Exploitation Techniques
- SEC660: Advanced Penetration Testing, Exploit Writing, and Ethical Hacking
- FOR500: Windows Forensic Analysis
- FOR508: Advanced Incident Response, Threat Hunting, and Digital Forensics
- FOR518: Mac and iOS Forensic Analysis and Incident Response
- FOR572: Advanced Network Forensics: Threat Hunting, Analysis, and Incident Response
- FOR578: Cyber Threat Intelligence
- FOR610: Reverse-Engineering Malware: Malware Analysis Tools and Techniques
- AUD507: Auditing Systems, Applications, and the Cloud
- LEG523: Law of Data Security and Investigations