SOCアナリストが考える効率のよく新しいスレットや技術にキャッチアップする方法

古川智也 | SOCアナリスト, Internet Initiative Japan

Internet Initiative Japanでの業務内容とその重要性を教えてください。

現在はIIJ SOCのアナリストとして、主に脅威情報の収集やマルウェアの解析を主な業務としています。過去にはSOCのインフラ運用や分析ルール管理なども行っていました。

SOCは監視環境に介在する脅威を検知、対応することを生業とします。このため、どのような脅威が外部にて確認されているのか、脅威の特徴など、常に情報を収集しておくことで、監視環境で同様の脅威を検知、対応できるようにすることが必要となります。しかし、外部組織から共有される脅威情報のみに頼っていると、共有されていない未知の脅威に立ち向かうことが困難になります。このような場合でも対応できるように、例えば未知のマルウェアのような脅威の解析技術が必要となります。

古川さんはSOCのセキュリティアナリストとしてSOCのインフラ運用から分析ルール管理まで広くご活躍されていますが、現在の業務または、セキュリティに携わる一員として直面している課題等あればご共有ください。

マルウェア解析の観点だと、マルウェア解析の難度化が挙げられます。今のマルウェアは難読化やSandbox検知など、解析妨害機能を持つものが少なくありません。解析妨害に立ち向かうには解析妨害に対する知識や技術が必要となります。このため、対応できる人が限られるなど、アナリストの育成が課題となってきます。

日々変化する脅威に対して、どのように個人やチームのスキルをアップデートされていますか?また、スキル向上に課題はありますか?

個人として常にSNSなどから技術情報や脅威情報を収集しており、必要であればその情報で紹介されている技術などについて検証することでキャッチアップしています。また、チームに有用と感じた情報であれば勉強会という形で共有することもあります。しかし、自身でキャッチアップできるものについては、その技術について基礎を習得していないと難しいと感じます。さらに、セキュリティの各分野におけるトレンドや技術は日々進化しているため、常に新しい情報をキャッチアップし続ける必要があります。SANSのトレーニングは基礎的な内容が体系的にまとめられており、常にトレンドに合わせてアップデートされているため、初学者だけでなくある程度知識や経験のある方にもお勧めできます。また、SANSトレーニングはGIAC資格を更新することで、最新のトレーニング教材を得ることができるため、継続的に最新情報を得ることが出来ることも良いポイントだと思います。

SOCセキュリティアナリストとしてSANSトレーニングでお勧めするものはありますか?

SOCでログ分析に携わっている方には「SEC555: SIEM with Tactical Analytics」をお勧めします。SEC555はSIEMでのログ分析についてのトレーニングコースとなります。SEC555では各機器が出力するログの特徴や脅威分析のノウハウなどのセキュリティに関する知識だけでなく、SIEMを運用するための知識についても知ることができます。複数種類のログを分析するため、他のコースと比べると学習範囲が広く、興味の範囲を増やす意味でも受講をおすすめします。

次の目標/受講したいコース等あれば教えてください。

今やWindows以外のOSも攻撃の対象となることが増えているため、Macフォレンジックに関するコースである「FOR518: Mac and iOS Forensic Analysis and Incident Response」や、Linuxフォレンジックに関するコースである「FOR577: LINUX Incident Response and Threat Hunting」 を受講してみたいと考えています。

ご受講いただいたコース一覧

保有しているGIAC一覧