セキュリティ監視(SOC)の業務内容とは?エキスパートの視点からご紹介します
「セキュリティアナリスト」という職種をご存じでしょうか?
組織をサイバー攻撃の脅威から守るため、日夜、ログ解析やリスク分析・ソリューションの提案を行う「ITセキュリティの専門家」が、セキュリティアナリストです。
この記事を執筆する私自身も、セキュリティアナリストとして「セキュリティ監視(SOC)」業務に従事していました。
さて、MOTEXでは今年の夏も、アナリストの仕事を学生の皆さんに体験いただく"実践型"の「セキュリティアナリスト体験インターンシップ」を開催。
現役で活躍する「セキュリティ監視(SOC)」のメンバーが企画に携わり、より現場感に近い、本格的なカリキュラムをお届けしました。
西井自身も講師として登壇させていただき、実際に弊社で扱う監視機器「Darktrace(ダークトレース)」を用いて、「セキュリティ監視」の仕事をレクチャーさせていただきました。
(インターンシップは例年開催しているので、この記事を読んでくださった学生さんが、いつか足を運んでくださると嬉しいです!)
この記事では、セキュリティアナリストとして「ネットワーク監視」の業務に携わっていた西井の視点から、真剣に取り組んでくださった学生の皆さんの様子と、2日間のインターンシップの内容についてご紹介します。
MOTEXのセキュリティインターンシップに興味がある学生さんはもちろん「セキュリティ監視の仕事内容」に関心のある方、セキュリティアナリストへの理解を深めたい方は、ぜひ読み進めていただければと思います。
インターンシップの概要と流れ
<セキュリティアナリスト体験インターン>
・期間:2023年8月29日(火)~8月30日(水)
・使用したセキュリティソリューション:Darktrace(ダークトレース)
・インターン概要:セキュリティ監視(SOC)の業務体験
2日間の流れは、以下の通りです。
<アジェンダ>
・1日目
1) オリエンテーション
2)先輩社員講話
3)セキュリティ業界全般の説明
4)セキュリティ監視業務の説明
5)Darktraceの操作方法の説明
6)アラート分析方法の説明
7)アラート調査演習と報告会の練習
・2日目
1)オリエンテーション
2)アラート調査演習
3)報告会
1日目は事前準備として、実際に監視業務で使用するセキュリティソリューション「Darktrace(ダークトレース)」の操作方法や分析方法、あるいはセキュリティアナリストとしての業務内容を、座学で学んでいただきました。
また2日目はグループに分かれて、Darktraceの実機を操作してもらい、学生さん主導でマルウェア感染などのアラート調査を実施、最終的に調査・分析した結果について「報告会」を行うといったカリキュラムでした。
最終課題で用いる検知アラートは、複数のマルウェア感染に関するテストアラートを用意し、よりリアルなセキュリティ監視を体験できる内容となっております。
マルウェアの調査や報告会はチーム制で実施。学生の皆さんには、今回は4人1グループ、計4チームに分かれて活動していただきました。なお、調査や分析中にわからないことがあれば、いつでも気軽に、現役アナリスト(MOTEX社員)に相談できます。
セキュリティ知識や監視方法に関する座学(1日目)
それではインターンシップ当日の様子を振り返っていきます。1日目はオリエンテーション後、事前知識をインプットする場として、座学による研修を行いました。
▼講義内容
1.セキュリティ全般の知識の定着
2.インシデント対応におけるセキュリティ監視について
3.Darktraceの操作方法について
4.セキュリティ監視の方法について
この4点の流れで、MOTEXの社員が講師を務め、学生さんに講義をさせていただきました(西井は「4. セキュリティ監視の方法」パートを担当)。
座学ではセキュリティ監視機器であるDarktraceをもとに、セキュリティ監視の考え方や実践方法について学んでいただきます。またセキュリティにあまり知見のない学生さんもインターンシップを楽しめるよう、セキュリティ全般の基礎知識に関する講習もはじめに実施しました。
それでは少しだけ、座学の様子をご紹介します。
(1)先輩社員講話 インシデント対応業務(CSIRT)
はじめに企業のインシデント対応において”要”となる、SOC(ソック)や SIRT(サート)/ CSIRT(シーサート)という組織について、その役割や結びつきを解説しました。
セキュリティインシデントの対応において、セキュリティ監視(SOC)とSIRT/CSIRTは、密接な関係であることが求められます。有事の際には、インシデントの早期解決に向けて、両者の強い協力体制が必要となるためです。
今回のインターンシップで体験していただいたのは、上記の図のうち、情報システムの監視や分析を実施し、SIRT/CSIRTへ必要な情報をエスカレーションする「セキュリティ監視(SOC)」の業務となります。
(2)セキュリティ監視業務(SOC)
次に、セキュリティ監視(SOC)の具体的な業務内容・サービス内容をお伝えしました。
「どうしてセキュリティ監視・対策が必要なのか?」について、昨今の脅威の事情を踏まえながら具体的に説明を行いました。
▼「Darktrace」を用いたSOCの対応イメージ
① お客様環境に設置した、監視機器「Darktrace」にてセキュリティ監視を実施し、アラート調査・報告を行う
② Darktraceに関する仕様や技術的な要件について、お客様からの問い合わせに対応
③ Darktraceの新バージョン・新機能がリリースされたら、実務で使用できるよう検証を実施
(3)Darktraceの操作方法
「セキュリティ監視の具体的な業務内容」を理解したところで、MOTEXが実際に利用しているセキュリティ監視ツール「Darktrace」の、具体的な操作方法について解説しました。
講師が実際にDarktraceを操作し、基本的な使い方や調査で多用する機能を中心に、操作方法を視覚的に学んでいただきました。
ちなみにMOTEXのアナリストが実務の際、調査でよく活用するDarktraceの機能は以下の通りです。
・Threat Visualizer
通信を3Dグラフィックで可視化する機能。影響範囲の特定などに利用します。
・Breach
検知したアラートを表示する機能。
不審な通信の「概要」や「時系列」を確認する際に利用します。
・Advanced Search
より詳細に「通信内容」を調査する機能。
通信の頻度や細かなパラメータを確認することで、通信が不審であるか判断できます。
(4)セキュリティ監視の方法(セキュリティアナリストの業務)
座学の最終セクションは「セキュリティ監視の方法」について、わたくし西井が講師を務めさせていただきました。
『セキュリティ監視』とは、Darktraceなどのセキュリティ監視機器で確認できる事実情報を元に、攻撃挙動の仮説を導く役割だと考えています。
一般的な攻撃侵攻フェーズをベースに、このアラートはどのフェーズで発生したものか?や、その他の有用な情報はないか?といった情報を整理し、脅威の影響度をお客様へ迅速に連絡することが重要であると考えています。
学生の皆さんに体験いただいた「セキュリティ監視」業務の目的や、実際の報告時に”注意すべきポイント”などを、自身の体験と共に解説しました。
座学を終えたら、チームに分かれて「セキュリティ監視」の実習へ
座学を通じて「セキュリティ監視」の業務内容、Darktraceの大まかな操作方法を学んだところで、いよいよチームに分かれ、セキュリティアナリストの業務を体験してもらいます。
4名1組でチームに分かれ、それぞれで好きなチーム名を決定。
余談ですが、学生さんにプレゼントでMOTEXのマスコットキャラクター「ばんにゃ」を配布したところ、その中に珍しい「トラ柄のばんにゃ」がいたとのことで、「レアねこ」という名前をつけてくれたチームもいました。
「ばんにゃ」を意識したチーム名を考えてくれて、MOTEX社員としてはウレシイ!!
ここからは、Darktraceを実際に運用してセキュリティ監視業務を体験いただいた、1日目後半~2日目の様子について振り返ります。
演習編(1日目)
1日目後半、まずは1つのアラートに限定し、座学の内容を踏まえてDarktraceの実機を操作してもらいました。各チーム1名ずつ講師がつき、機器の使い方や調査方法をレクチャーしました。
復習では、お客様から「不審なExcelファイルを開封したことでインシデントが発生、その影響度を詳細調査してほしい」という緊急連絡を受けたという設定で、課題に取り組んでいただきました。
<1日目の調査課題の例>
「IPアドレスの情報しかない」状況ですが、ここまでの座学内容を踏まえれば、Darktraceを用いて何が起こったのかを説明できる演習となっています。
私は担当のチームを固定せず、全チームの学生さんとお話をさせていただきましたが、その吸収力や理解力の早さに驚かされました。つまずいても少しヒントを提供するだけで内容を理解し、すぐに実践できている様子が印象的でした。
今回のインターンシップも含め、例年勉強熱心で優秀な学生さんが多く「MOTEXの業務に、即戦力として参加してほしい」と感じるほどです!
演習編(2日目)
1日目の座学や演習を受け、2日目はDarktraceを用いた、本格的な実践へ取り組んでいただきました。
<2日目 アジェンダ>
1)オリエンテーション
2)アラート調査演習
3)報告会
以下4つのマルウェアに関する通信データを、Darktraceが検知、そのアラート情報をもとに調査・分析を行うのが、2日目の課題です。
① Emotet ② IcedID ③ Qakbot ④ Dridex
4つのマルウェアは、各攻撃侵攻フェーズ(侵入・基盤構築・偵察/感染拡大・目的遂行)で、それぞれ異常な検知を示しています。
「① Emotet(エモテット)」では検知内容が多く分析が容易ですが、②③④と課題が進むにつれ、各フェーズの検知内容(ヒント)が少なくなっていき、調査の難易度が上がっていく仕様です。
▼4種類のマルウェアと検知内容
今回の演習では、課題①と②は必須で取り組んでいただき、課題③と④は時間に余裕があるチームに取り組んでもらいました。
「難易度の高い課題③④まで取り組めるチームはごくわずかではないか」と予想していましたが、当日は課題③④の調査まで取り組めているチームも多く、優秀な学生さんが揃っていた印象でした。
また「チーム制」をとったことで、メンバーを牽引してくれる学生さんや、仲間同士で協力・教え合う皆さんの様子も見ることができました。
実務においても1人で仕事を遂行することは不可能であり、協力して仕事を完成に導くことの大切さ・必要性について、演習を通じて学んでいただけたように思います。
報告会
調査で明らかになった内容をもとに、チームに分かれて報告会を行いました。
報告会はチームごとに
・セキュリティ監視サービスを提供する「セキュリティアナリスト」の立場
・サービスを受ける「情報システム部門」の立場
の2つに分かれて実施しました。報告を行うチームに対し、別チームが「情シスの立場」として質疑を行う形式です。
サービスを提供する側 / 受ける側という2つの立場を経験することで、それぞれの観点で気づきを得てもらうと同時に、「情報システム部門は何を目的に、セキュリティ監視(SOC)サービスを受けるのか」を理解してほしい、という意図がありました。
▼セキュリティ監視(SOC)の「報告文書を作成するポイント」
報告会では、どのチームも多数の不審な痕跡を検知し、どのような攻撃が発生していたか、自信を持って報告してくださいました。
中には「再発防止に向けての対策案」まで独自に考えて提案してくれたチームもあり、熱心に調査演習に取り組んでいただいた様子がうかがえ、頼もしい報告会でした!
まとめ
2日間のインターンを通じ、多くの優秀な学生さんに参加いただき、私を含めた講師一同、有意義で楽しい時間を過ごすことができました。
インターンを運営した我々も、フレッシュな学生さん達に刺激をいただき、「セキュリティ監視(SOC)」業務を通じて、お客様へより安心・安全な環境を提供できるよう、これまで以上に日々精進する気持ちを再確認することができました。
私達MOTEXがお客様に提供している「セキュリティ監視(SOC)サービス」の意義や必要性を学生の皆さんが理解し、本インターンシップを通じて「セキュリティアナリストになりたい」と感じた方が、1人でもいらっしゃれば嬉しい限りです。
今回参加してくださった学生さんと、いつかMOTEXで一緒に働けることを期待しています!
セキュリティを通して、世界平和の実現へ・・・
