職歴について教えてください。
私は中小企業のIT管理からキャリアをスタートし、多くの職務に従事しました。それから、デジタル科学捜査とインシデントへの対応(Digital Forensics and Incident Response、DFIR)コンサルティングに移り、その後に金融サービス部門の企業DFIRとブルーチームの業務を行いました。現在は、Red Canaryでサービスプロバイダ側の脅威分析を行っています。現在の職務では、自社のサイバーインシデント対応チーム(Cyber Incident Response Team、CIRT)に所属し、社内トレーニングプログラムの構築と指導を行っています。サイバーセキュリティの仕事をどのように始めたのですか?
簡単に言えば、私はいつも「コンピュータが得意」でしたが、コンピュータが思ったように動作しないことによく不満を抱いていました。そのように設計されているのか、そうでないのかはともかく、コンピュータは常に決められたパラメータを外れて動作するように見えました。それにもかかわらず、私はさまざまな中小企業で勤務し、ホストとネットワークの問題、管理、そして「初期対応者」のシナリオを取り扱うことになりました。
私の上司の何人かは私の仕事を見て、私がその分野で生得的な技能を持っていると感じたため、この仕事を続けるよう励ましてくれました。私は上司の指導を重視してその仕事を続け、コンピュータ科学捜査に出会いました。私は幸運にも、地元の小さな科学捜査企業に自分の技能を証明する機会を得て、入社しました。私はそこで主導的な役割を果たすようになり、企業のサイバーセキュリティの職位に就いた後で、Red Canaryに入社しました。
御社のビジネスは、サイバーセキュリティについて、どのような課題に直面していますか?
ほとんどの組織は、サイバーセキュリティに関して2つの大きな問題に直面していると考えられます。
- 新しい脅威に対して即座に対応、または先んじる。
- ビジネスの成長に合わせて運用を拡大する。
これらの問題にはそれぞれ複数の側面がありますが、ほとんどはこれらの一般的なカテゴリのいずれかに該当します。どちらの課題にも多くの慎重な努力が必要で、成熟したセキュリティプログラムに裏付けられた、強固な行動計画なしには達成できないものです。
SANSでのトレーニングを選択し、実際のコースと認定を選んだ理由を聞かせてください。
私は最初に、上司の指示に従ってSEC 504:ハッカーツール、技法、悪用、インシデント処理をJim Shewmaker氏から受講し、GCIH認定を受けました。私は過去にSANSやGIACとは別の認定試験を受けたことがありますが、GCIHの場合には、該当分野に関する実践的な知識が、他の認定試験よりもはるかに徹底して求められました。それ以来、他のSANSコースをいくつか受講し、GCFA認定も取得しました。コースの受講と認定の取得の両方によって、SANSとGIACの教育の有効性と価値を確信しました。
SANSコースで学んだことの中で、自分の仕事に直接応用が可能だったものを1つ2つ挙げてください。
私がSANSトレーニングから学んだ最大のことの1つは、現実世界の敵対者が行う実際の攻撃はどのようなものかについての理解です。サイバーセキュリティの脅威という観点からは多くのことが「起こり得」ますが、それらは理論上のもので、実際に起こる可能性が高いわけではなく、これまでに一度も起きなかったものさえあります。SANSトレーニングは現実世界での活動に基づいており、それが違いを生み出しています。
修了したSANSコース
- SEC504: Hacker Tools, Techniques, Exploits, and Incident Handling
- FOR508: Advanced Incident Response, Threat Hunting, and Digital Forensics
- FOR526: Advanced Memory Forensics & Threat Detection
- FOR578: Cyber Threat Intelligence
- FOR610: Reverse-Engineering Malware: Malware Analysis Tools and Techniques
- SEC511: Continuous Monitoring and Security Operations