長谷川様のご経歴について、簡潔にご紹介いただけますでしょうか。
「長谷川」と申します、この苗字になってはや8年です。旧姓の「市田」で社外活動も多かったので、改姓してしばらくは手続きや説明が面倒でした。大学時代にマルウェア対策を研究したことから2012年新卒でNTTコミュニケーションズに入社させていただき、マネージドセキュリティサービスの新規開発から運用業務に至るまで対応し、さらにセキュリティ機器の性能検証をセキュリティオペレーションセンターの近くで行っていました。その後、マネージドセキュリティサービスを受ける事業会社側の現場のセキュリティインシデント対応をしこたま経験したいという想いから、リクルートテクノロジーズに転職し、Recruit-CSIRT黎明期に都内の現場を駆け廻っていました。自らマルウェア解析やフォレンジック調査も行い、いわゆる「DFIR」業務に明け暮れた毎日でそれが好きでたまりませんでした。何時まででも侵害調査やデータ分析できるように終電を気にする必要のない東京駅徒歩圏内に住んでおりました。その後、所帯を持ち家庭の事情で名古屋に引っ越すことになったので、名古屋から完全なリモートワークができるCylance (入社半年後にBlack BerryがM&Aした会社) に入社し、脅威解析チームの「Principal Threat Researcher」としてマルウェア解析に丸3年没入していました。アセンブラを読みすぎて視力が著しく低下し、また興味深いマルウェアが少なくなったことなどから、今度は自分のスキルの幅を極端に広げようと、思い切って個人事業主となり、”GoAhead”とフルタイム契約させていただいています。
個人事業主として、またGoAheadのTechnical Security Advisorとしても活躍しているかと思いますが、主な業務内容を教えてください。
GoAheadでの肩書きは「Technical Security Advisor」とコンサル寄りですが、対応してきたことは同社のIPインテリジェンス製品 Kobanzameをはじめ、SplunkアプリやWebサイトの開発、最新技術リサーチ、AIシステム評価等も含め多岐にわたります。ここ2年ほど力を入れているのは「スレットハンティング」と「データビジュアライゼーション」です。
スレットハンティングではお客様のSIEM分析環境にアクセスし、脅威となりうる潜在リスクを独自のハンティング手法 「長谷川式ドリルハンティング」で検出し、早期に報告することで被害の拡大を未然に防ぐ手助けをしています。データビジュアライゼーションでは、主にD3やVegaを用いてカスタムチャートを開発し、いくつかはSplunkBaseにて公開しています。
多くのGIAC資格をお持ちかと存じますが、どの資格を取得されているか、また、それらがこれまでのご業務にどのように役立ってきたか教えていただけますでしょうか。
SANSトレーニングの習熟度を認定してくれる資格である「GIAC」を初めて取得したのはもう10年前になります。従来のPractitioner Certificationは取得した順にGCIH、GPEN、GCFA、GXPN、GREM、GMOB、GCFE、GCFN、GCFRの9つを持っています。2023年から導入された新しいApplied Knowledge CertificationはGX-FA、GX-FE、GX-IHの3つを持っており、GSP (GIAC Security Professional)のポートフォリオ資格に達しました。あと一つGX資格を取得すると念願のGSE (GIAC Security Expert)です!2015年のGCIHを取得後からGIAC Advisory Boardに参加しており、何回かメーリングリストにて自分の考えを共有したこともあります。
そこで、合計12個のGIACを持っていることが直接転職に役に立ったかというと、採用に必須と言われたことはありません。しかし、多くの企業のセキュリティ系職種にて採用時の優遇資格に入っています。またAIアンチウイルス会社のCylanceに入社する際は配属先のチームメンバーらがGREM (GIAC Reverse Engineering Malware)を持っているようでしたので、入社後の立ち上がりから活発に議論するためには持っといたほうがよいだろうという名目で取得しましたね。当時はマルウェア解析の資格は少なく、GREMはマルウェア解析の登竜門的な意味を持っていました。
私はGIACについてこのように考えています。Practitioner Certificationについては、取得できたステータスよりも資格取得に至るまでの学習や4年ごとの資格更新時の更新された最新テキストの再学習に価値を感じています。テキストのアップデートでコンテンツが変わり、更新時にはいつも新しい知識を仕入れさせていただいています。一方でコンテンツ更新によって淘汰され消えていったツールやテクニックについて少し寂しいと感じるときもあります。まだApplied Knowledge Certificationについてはまだ保持されている方が少なく、また実務経験を認定する試験のため、取得できたことにステータスを感じ、それが日々の業務の自信につながっています。
SANSではGIAC資格を取得されているかと存じますが、SANS以外ではどのような資格をお持ちでしょうか。また、それらの資格とGIACとの違いについてもお聞かせいただけますでしょうか。
ISC2のCISSPやISACAのCISA、Microsoftのベンダー資格「Security Operations Analyst Associate」のほかにネットワークスペシャリストや情報セキュリティスペシャリスト等のIPAの国内資格も持っています。GIACとの違いは更新版のトレーニングテキストが手に入るかどうかが大きいです。ISC2もISACAもWebサイトやホワイトペーパーなどで追加の学習リソースを用意してくれてはいるものの、多くのホルダーの方々はほとんど見ていないのではないかなと感じています。私はISACA名古屋支部の理事でもあり、しかもCISA教育担当なのですが、正直それらのリソースをあまり読んだことはありません。更新費用は同じようにかかるにも関わらず、GIACは更新時に最新テキストブックを入手できたり、CPEか試験の再受験かも選択できたりと、スキルをブラッシュアップするための再学習しやすい環境・プロセスが手厚く用意されていると感じます。またGIACは複数保持していると2つ目以降は半値で更新できているのもありがたいです。
長谷川様は、ご自身の専門分野にとどまらず、異なる領域のSANSコースを受講されたり、GIAC資格を取得されたりしているとお見受けしますが、Blue Team/Red Team/Forensicといった分野の垣根を越えて技術を習得されている理由についてお聞かせください。
心の底より「DFIR」が大好きなため、セキュリティ事故の現場で必要な限り全てのことに手が動く「Yes, I can」人材になりたいからです。いまは幼い子供が3人おり、DFIRに没入することが難しい家庭状況のため事故対応のお仕事からは距離を置いておりますが、いつか最前線に必ず復帰したいと考えています。GIACをはじめ自己研鑽にて、そのための武器を整えています。かつてセキュリティインシデントの現場に一人だけ取り残されて、あとよろしく、解決したら帰ってきていいから、的な業務経験がありまして、痛感したのは「個」の力の重要性でした。あの時は自分のドメイン知識がうまく刺さって解決できたからよかったものの、誰にも頼れない、インターネットもない環境で、“脅威”を見つけ出す力、これが欲しいです。そのためにはFORENSIC、REDやBLUEといったセキュリティドメインの専門知識のみならず広くIT全般の様々な経験と知識が役に立つと信じています。
補足として、もちろん休息や慎重な確認を考えたらDFIRはチームでやるべき業務です。ただ「個」の力が強いほうが状況把握と調査方針を立てるのが”早い”のも事実で、結果、「ざっくりでいいので今日中にどんな感じか教えて?」と経営層に依頼された際には「個」の調査力、報告力が重要だと考えています。もちろんその大まかな速報を正式な報告書に落としたりする際にはチームで慎重に見落としがないかや、複数の証拠を確認することが大事です。