トレンドマイクロでの業務内容とその重要性を教えてください。
弊社は法人・個人向けセキュリティ対策製品・サービスの販売が主たる業務ですが、実は法人向けインシデント対応サービスも10年ほど提供しています。私の主な役割は、この「インシデント対応サービス」の提案・提供・品質の維持向上・提供に関連するメンバーの牽引です。我々のチームでは、サイバー攻撃の被害に遭われてしまったお客様に対して、弊社製品を有効活用したインシデントの封じ込め・根絶・恒久対策を提供します。また、インシデント対応の中で発見された攻撃者の具体的なTTPsに対して弊社製品での検知可否の確認や、検知できなかった攻撃手法に対するルール作成までを我々のチームで一貫して行います。また、セキュリティ対策製品を開発するベンダの立場として実際に世の中で起きている脅威を日々現場で対応し、その経験を製品にフィードバックする活動は必要不可欠であり、組織として重要な機能であると自負しています。
田中さんはインシデントレスポンスコンサルタントとしてご活躍されていますが、現在の業務または、セキュリティに携わる一員として直面している課題等あればご共有ください。
若手メンバーからインシデント対応チームに憧れを持ってもらえることも多いものの、SANSで学習出来るセキュリティ専門知識以外にも、ITの基礎や顧客環境についての理解や環境の保守・構築経験、社内外コミュニケーションや交渉能力など前提として押さえて欲しい経験や能力が多岐に渡るため、どのようなキャリアを経たメンバーに参加してもらうのが良いか等を日々考えています。また、業務の性質上リソースの予測が難しいのですが、ご相談があった時に安定的にサービスを提供できるようにする為の人員追加や業務効率化なども検討中です。
日々変化する脅威に対して、どのように個人やチームのスキルをアップデートされていますか?また、スキル向上に課題はありますか?
基本的には各個人の得意分野や興味分野をベースに実サービスで得られた経験でスキルをアップデートしています。また、実業務での経験と体系的に学習することを行き来するのが良いと考えており、定期的にSANSのコースを受講したり、自身が経験・学習した内容を社内向けの勉強会として共有したりすることで情報を整理して理解を深めたりしています。
インシデントレスポンスコンサルタントとしてSANSトレーニングでお勧めするものはありますか?
FOR508: Advanced Incident Response, Threat Hunting, and Digital Forensicsは当社でインシデント対応に関わるメンバーには必ず受講してもらうようにしております。SANSでも人気の登竜門コースになっているかと思います。最近受けたコースでは、SEC599: Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain DefensesやSEC699: Advanced Purple Teaming - Adversary Emulation & Detection EngineeringなどのPurple Team系のコースでは攻撃側の観点やコマンド・ツールとそれらを検知・防御するための観点やツールを効率的に学べるため、これらもお勧めです。これらのコースでは、企業で良く対策に用いられるApp LockerやLAPSなどの対策を実装してみるといった演習であったり、Active Directoryに対する攻撃ツール(BloodHound)の演習なども含まれており、こういった検証はなかなか個人で実施しようと思ってもリアリティのある環境準備が難しかったり、まとまった時間が取れなかったりすることも多いですし、「自分が一度やっているかどうか」が顧客対応・提案時の説明の説得力に直結しますので、ぜひ受講されると良いかと思います。
次の目標/受講したいコース等あれば教えてください。
LDR514: Security Strategic Planning, Policy, and Leadership
インシデント対応サービスを契約・発注する立場である企業のセキュリティリーダーの観点を得るために、今まで受講したことがないManagement系のコースに興味があります。
ご受講いただいたコース一覧
- SEC497: Practical Open-Source Intelligence (OSINT)
- FOR508: Advanced Incident Response, Threat Hunting, and Digital Forensics
- SEC560: Enterprise Penetration Testing Course
- SEC599: Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain Defenses
- SEC699: Purple Team Tactics - Adversary Emulation for Breach Prevention & Detection
- FOR518: Mac and iOS Forensic Analysis and Incident Response
保有しているGIAC一覧
- SANS GIAC Open Source Intelligence (GOSI)
- SANS GIAC Certified Defending Advanced Threats (GDAT)
- SANS GIAC Certified Forensic Analyst (GCFA)
2023年のRansomware Summitで「Analysis on Legit Tools Abused in Human-Operated Ransomware」と題して講演しました。ランサムウェア攻撃者に悪用される正規の商用ツールの分析をしました。この講演では、ツールの仕様であったり調査に用いられるアーティファクト、攻撃を未然に防ぐために必要なことについて説明しています。是非ご視聴ください!