新着情報

【CAPP Partnerより/サイバーセキュリティコラム】 「サイバーディフェンス インシデントレスポンダー」に必要な知識、技術、能力とは? (トップアウトヒューマンキャピタル)

2021/04/23

topout_logo.jpgCompTIA Goldパートナー「トップアウトヒューマンキャピタル」でPenTest+やCASP+の講師も担当しているサイバーセキュリティアドバイザーより、人材育成やスキルアップのコラムをお届けします!

Top Out Human Capital(トップアウトヒューマンキャピタル)
https://www.topout.co.jp/

筆者紹介:

平原 伸昭(ひらはら のぶあき)クラウドセーフ株式会社代表取締役

2002年大手セキュリティメーカーに転職後、18年以上、サイバーセキュリティ分野に従事し、マルウェアに関する動向や解析、サイバー攻撃、サイバー犯罪時のコンピュータ等に残された痕跡情報調査の分野(フォレンジック)を担当。その中で、多くの政府・企業・団体におけるサイバーセキュリティ事故対応を経験。ITをもっと安全、安心に利用することで企業成長に貢献したいという想いから2017年3月クラウドセーフ株式会社を創業。現在は、損害保険会社、上場企業、大手製造業、スタートアップ企業等のサイバーセキュリティ技術活用に関する技術顧問やセキュリティトレーニングの講師として活動。

【保有資格】
GIAC Certified Forensic Analyst、CHFI (Computer Hacking Forensic Investigator) 他

平原氏の主な活動等の詳細はこちら


今回は前回の続きで、サイバーセキュリティ人材育成のフレームワークであるNIST SP800-181(NICE フレームワーク) ※1を取り上げます。特に、NICE フレームワークに定義されている7つのカテゴリー中の「Protect and Defend」の役割のひとつで、ネットワーク環境のサイバーインシデントを調査、分析、および対応を行う「Cyber Defense Incident Responder」に必要な「知識、技術、能力」について説明します。

必要な知識は主に以下の項目です。
・リスクマネジメントプロセス
・サイバー環境における脅威や脆弱性
・データバックアップとリカバリ
・インシデントレスポンスとハンドリング方法論の理解
・サイバー攻撃の各ステージにおける理解
・マルウェア解析コンセプトと方法論の理解

また、必要な技術には、
「マルウェアを特定、収集、封じ込め、動作に関しての報告」、
「マルウェアから防御するための対策技術の理解と導入」
などがあります。
最後に、必要な能力としては、
「侵入検知テクノロジーを使用して、ホストおよびネットワークベースの侵入を検出するための手法を適用する」
などがあります。

2020年7月7日にリリースされたバージョンのNICE Framework Supplemental MaterialのREFERENCE SPREADSHEET※2をベースに少し掘り下げます。
まず、シート名「Table of Contents」の42行目からセキュリティエリア「Incident Response (CIR)」、ワークロール「Cyber Defense Incident Responder」が記載されています。

さらに42行目F列のリンクを選択すると、このワークロールに必要な「知識、技術、能力」を確認することができます。それぞれの項目には、Knowledge、Skills、Abilitiesの頭文字をとったKSA IDが付与されています。
「Cyber Defense Incident Responder」においては、30の知識、8つの技術、2つの能力の合計40項目が定義されていることが確認できます。

このように、幅広い「知識、技術、能力」が必要な「Cyber Defense Incident Responder」について考える際に、いつも例え話にしている「The few. The proud.(誇り高き少数精鋭)」という言葉があります。
これは、米海兵隊のモットーです。米海兵隊は陸海空軍の全機能を備えており、米軍が参加する主な戦いでは、最初に、上陸・空挺作戦などの任務で前線に投入され、その自己完結性と高い機動性を持つ緊急展開部隊です。

サイバー攻撃時の対処において自己完結性と高い機動性を持つには、
・標的型攻撃の全貌を明らかにするデジタルフォレンジック
・攻撃者のくせ、所在を分析するマルウェア解析
・同じ攻撃が発生した際に防御または検知のためのペネトレーションテスト
といった「知識、技術、能力」が必要となってきます。

今回二度にわたって紹介した「Cyber Defense Incident Responder」という役割は、そんなセキュリティエンジニアになるために必要な「知識、技術、能力」を身につけることができる役割のひとつであり、このコラムを機に興味を持っていただけたら幸いです。

※1 NICE Framework homepage (web)
※2 NICE Framework Supplemental Material

(本コラムは、トップアウトヒューマンキャピタルが配信するメールニュース掲載のコラムを一部編集の上掲載しています。)