攻撃関連の問題は一切なし? 分析にフォーカスしたセキュリティ競技会をRSAが実施:SOCやCSIRT担当者に必要なスキルを体験
EMCジャパン RSA事業本部は2015年9月29日に、「RSA Security Analytics/ECAT ワークショップ」を開催した。Capture The Flag(CTF)と呼ばれるセキュリティ競技会の一つだが、攻撃や脆弱性に関する問題ではなく、セキュリティインシデントの分析、調査に特化していることが特徴だ。
もしあなたが思わぬところで火事に遭遇したら、どう行動するだろうか? 頭では消火手順を理解しているつもりでも、その場で正確に状況を判断し、速やかに対処するのは意外と難しいことではないだろうか。
情報漏えいや不正アクセスに代表される「セキュリティインシデント」についても同じことが言えるだろう。インシデント対応に向けてSOC(Security Operation Center)やCSIRT(Computer Security Incident Response Team)といった体制を整備し、対応マニュアルを定め、準備を整えたつもりでも、いざ事故が起こってみるとその通りにいかないことも多い。しかも時間は限られている。そんな時に生きてくるのは経験だが、実際に事故を起こしてノウハウを蓄積するわけにもいかない。
そこで、手を動かしながらインシデントの検出と解析のプロセスについて学べる場を、EMCのセキュリティ部門、RSAが提供している。この取り組みを推進している米RSAのテクノロジーコンサルタントディレクター、ジェフリー・コック氏にその狙いを聞いた。
攻撃は一切なし、分析にフォーカスしたCTF
EMCジャパン RSA事業本部は2015年9月29日に、「RSA Security Analytics/ECAT ワークショップ」を開催した。ワークショップと銘打っているが、二人一組のチームで問題を解いて得点を競う「CTF(Capture The Flag)」形式を採用し、ゲーム感覚でインシデントレスポンスに必要な検出、解析のノウハウを学べるプログラムとなっている。
セキュリティに関する「トリビア(雑学)」やバイナリ解析、ネットワークパケット解析のスキルを競ったり、チームのマシンを巡って攻防を繰り広げたり、さらにはサーバーを守る技術を競ったりと、さまざまな形式のCTFが世界各地で実施されている。それも、従来主流だったセキュリティカンファレンスに付随した大会だけでなく、ベンダーや教育機関がセキュリティスキルの向上を目的に実施するケースも増えてきた。
RSAが実施しているワークショップのCTFは、後者に属するものだ。ただし大きな特徴がある。「攻撃は一切なし。デジタルフォレンジック(鑑識)や攻撃の検出、分析にフォーカスを絞っている」(コック氏)という点だ。脆弱(ぜいじゃく)性を見つけ出し、攻撃手法を理解することに重点が置かれるCTFが多い中、ユニークな取り組みといえる。
2015年は国内の多数の組織や企業が標的型攻撃を受けたことを明らかにした。その報道の中でしばしば目にしたのが「どの情報がどれだけ流出したかは『調査中』」といった文言だ。確かに、不正アクセスによる被害状況の把握や原因究明は困難な作業だ。肝心の証拠を消さないよう注意しながら、多数のログを確認していく必要がある。足跡をたどろうにも肝心な過去のログが保存されておらず、はっきりしたことが分からないままに終わることも珍しくないという。
RSAのCTFは、この調査プロセスに必要なスキルを身に付けることを目的にしている。SOCや組織内CSIRTの担当者、あるいはこれからインシデントレスポンス体制を構築しようと考えている人々に学習の機会を提供し、「『何が起こったのか』『影響を受けたのは何か、誰か』『どの情報が外部に転送されたのか』といった事柄を分析し、回答を導き出せるよう支援していく」(コック氏)。
加えて、用意された問題は、過去に発生したインシデントを参考にして作られている。コック氏は、「偵察に始まる『サイバーキルチェーン(攻撃者の一連の行動)』の各段階に対し、セキュリティアナリストとして望ましい行動習慣を身に付けることを狙っている」と説明した。
問題は過去のインシデントを参考に
9月に行われたワークショップでは、一時間のチュートリアルの後、七組十四名が二時間に渡ってCTFに取り組んだ。「スピアフィッシングメールが送られてきたが、本当の送信元はどこか」「この添付ファイルを開いてしまった人は何人いたか」「どのファイルが外部に転送されたか」といった問題が、いくつかの難易度に分けて用意されていたという。競技終了後には振り返りを通じて攻撃の各ステップで何が起こるのかを解説し、理解を深めた。
コック氏によると「セキュリティは難しそうで、あまり面白くなさそうというイメージを持っている人もいる。そこで、あまりハードルを高くせず、ITの基本的な知識があって時間をかければ解ける問題も用意し、楽しみながら学べるようにした」そうだ。事実、今回のCTFには「この種のイベントに参加するのは初めて」という参加者も含まれていたそうだが、RSAのスタッフのアドバイスも得ながら解き進めていったという。
EMCジャパン RSA事業本部 マーケティング部部長の水村明博氏によると、「最初はどの参加者も黙々とPCに向かっていたが、時間が経つにつれ、チーム内で会話を交わしながら問題に取り組んでいた」そうだ。
インシデントレスポンスを円滑に進めるには、技術以外の能力も必要だ。「チームとして協調し、コミュニケーションを取り、メモを取る。そして時間を厳守する。こういった事柄もアナリストとしてとても大切なスキルセットだ」(コック氏)
同社ではこのCTFを、米国の他、シンガポール、マレーシア、タイ、中国といった国々で実施してきた。今後は国内でも、半年に一回ペースで定期的に実施していければと考えているという。さらに、各国の代表による地域大会や、相関分析のようにより深い調査能力を必要とする「上級バージョン」の実施も検討している。
人に加え、プロセスとツールの整備も
コック氏は「セキュリティ人材不足は世界的な課題だ」と指摘しながらも、さまざまなレベルでその解消に向けた取り組みが進んでいるとも述べた。例えばRSAでは、世界各地の大学やシンガポールのポリテクニックといった学術機関向けに情報セキュリティ教育プログラムを提供したり、政府機関向けにトレーニングを実施したりするという形で、人材育成を支援してきた。今回のCTFを通じて実戦に近い経験を積むことも、セキュリティ人材、中でも最も企業の現場で必要とされているSOCやCSIRT担当者不足を解消する一助になると期待しているという。
同時に「インシデントレスポンスには、適切な人材と適切なプロセス、適切なテクノロジが必要だ。人材が確保できたとしても、次は調査プロセスを構築することが重要になる。そのプロセスは、継続でき、反復可能で、しかも説明責任を果たせるものでなくてはならない。また『Capture The Information』を行い、状況を可視化するツールも必要だ」とし、取り組むべき課題はまだまだ残されているとも述べている。
Copyright © ITmedia, Inc. All Rights Reserved.