CompTIA Goldパートナー「トップアウトヒューマンキャピタル」でPenTest+やCASP+の講師も担当しているサイバーセキュリティアドバイザーより、人材育成やスキルアップのコラムをお届けします！

Top Out Human Capital（トップアウトヒューマンキャピタル）
https://www.topout.co.jp/

今回は前回の続きで、サイバーセキュリティ人材育成のフレームワークであるNIST SP800-181(NICE フレームワーク) ※1を取り上げます。特に、NICE フレームワークに定義されている7つのカテゴリー中の「Protect and Defend」の役割のひとつで、ネットワーク環境のサイバーインシデントを調査、分析、および対応を行う「Cyber Defense Incident Responder」に必要な「知識、技術、能力」について説明します。

必要な知識は主に以下の項目です。
・リスクマネジメントプロセス
・サイバー環境における脅威や脆弱性
・データバックアップとリカバリ
・インシデントレスポンスとハンドリング方法論の理解
・サイバー攻撃の各ステージにおける理解
・マルウェア解析コンセプトと方法論の理解

また、必要な技術には、
「マルウェアを特定、収集、封じ込め、動作に関しての報告」、
「マルウェアから防御するための対策技術の理解と導入」
などがあります。
最後に、必要な能力としては、
「侵入検知テクノロジーを使用して、ホストおよびネットワークベースの侵入を検出するための手法を適用する」
などがあります。

2020年7月7日にリリースされたバージョンのNICE Framework Supplemental MaterialのREFERENCE SPREADSHEET※2をベースに少し掘り下げます。
まず、シート名「Table of Contents」の42行目からセキュリティエリア「Incident Response (CIR)」、ワークロール「Cyber Defense Incident Responder」が記載されています。

さらに42行目F列のリンクを選択すると、このワークロールに必要な「知識、技術、能力」を確認することができます。それぞれの項目には、Knowledge、Skills、Abilitiesの頭文字をとったKSA IDが付与されています。
「Cyber Defense Incident Responder」においては、30の知識、８つの技術、２つの能力の合計40項目が定義されていることが確認できます。

このように、幅広い「知識、技術、能力」が必要な「Cyber Defense Incident Responder」について考える際に、いつも例え話にしている「The few. The proud.（誇り高き少数精鋭）」という言葉があります。
これは、米海兵隊のモットーです。米海兵隊は陸海空軍の全機能を備えており、米軍が参加する主な戦いでは、最初に、上陸・空挺作戦などの任務で前線に投入され、その自己完結性と高い機動性を持つ緊急展開部隊です。

サイバー攻撃時の対処において自己完結性と高い機動性を持つには、
・標的型攻撃の全貌を明らかにするデジタルフォレンジック
・攻撃者のくせ、所在を分析するマルウェア解析
・同じ攻撃が発生した際に防御または検知のためのペネトレーションテスト
といった「知識、技術、能力」が必要となってきます。

今回二度にわたって紹介した「Cyber Defense Incident Responder」という役割は、そんなセキュリティエンジニアになるために必要な「知識、技術、能力」を身につけることができる役割のひとつであり、このコラムを機に興味を持っていただけたら幸いです。

※1 NICE Framework homepage (web)
※2 NICE Framework Supplemental Material

（本コラムは、トップアウトヒューマンキャピタルが配信するメールニュース掲載のコラムを一部編集の上掲載しています。）