第一線エンジニアに聞く! 不正侵入検知のスペシャリストになるには 下玉利尚明 2002/10/25
■注目を集める不正侵入検知 ネットワークセキュリティの世界では、現在侵入検知システム(IDS)が脚光を浴びている。セキュリティ対策は大まかに「抑止」「予防」「防御」「検知」「回復」にカテゴライズされ、これまで日本では抑止、予防、防御に力が注がれていた。 しかし、セキュリティの世界に100%はあり得ない。リスクマネジメントの観点からは、100%の安全性を求めるよりも、トラブルが発生する可能性をいち早く検知し、発生した場合に有効な対処法を施すことで回復させることに重点が移行しつつある。 そのような状況の中で、侵入検知を専門とするエンジニアにもスポットライトが当たっている。IDSやファイアウォールによって通過するパケットやサーバなどのログを分析し、何が発生しているのか、また不正アクセスかどうかを判断(場合により対処)するスペシャリストである。この比較的新しいジャンルを目指すには、どのようなスキル、知識、資質が求められるのであろうか? そこで、日本におけるセキュリティ監視の第一人者であるラックの取締役本部長 西本逸郎氏に、そうした点を伺った。 ――セキュリティ・アナリストには、どのようなスキルが求められているのでしょうか。
西本氏 侵入検知のスペシャリストだけではなく、セキュリティにかかわるエンジニア全般に求められるスキルは、「脅威を洗い出せる能力」です。 わかりやすくいえば、想像力や仮説立案力です。ネットワークを構築し、正常なパケットだけが通ればいいようにするのであれば、極端な話ですが中学生でも覚えればできてしまう。問題は不正なパケットが通過しようとしたときに、どう対応するかですね。プロのエンジニアであればさまざまなシーンを想定して、よりセキュアに構築できなければなりません。 最近のエンジニアは仕事が忙しすぎるのか、失敗体験を重ねる余裕がない。失敗しそうになると「こうすればうまくいく」と先輩エンジニアが教えてくれたり、あるいは成功する方法が最初から情報として示されていたりする。納期に間に合わせるのに手いっぱいな状態では、それに頼ってしまいますね。その結果、想像力が鈍ってしまうのです。「失敗する→なぜできないか→原因を探る→さまざまな仮説を立てて検証する」という流れを体験することが難しく、仮説立案力も身に付かない。 多忙なエンジニアにとって、こういった体験を積み重ねるのは時間的に困難かもしれませんが、仮説立案力がなければコンサルティングもできません。コンサルティングのできないエンジニアは、いつまでも「便利屋」です。将来を見据えれば、想像力、仮説立案力を身に付けることは重要です。 ――多くのエンジニアには耳の痛い話かもしれません。それでは、仮説立案力を身に付けるには、どうしたらよいのでしょうか。 西本氏 セキュリティに関するエンジニア、特にセキュリティ・アナリストの場合には、通常のエンジニアとは考え方を180度変える必要があります。通常のエンジニアは、より優れたシステムを構築しようと知恵を絞ります。 ところがセキュリティ・アナリストは、「どうすれば悪いことができるか」を考えるのです。一般的には、セキュリティに関するエンジニアは防御方法を勉強すると考えられがちですが、防御ではなく攻撃方法を考えるのです。あるシステムがあれば、その開発者も運用者も、導入するクライアントも、だれもが思いつかないような攻撃方法を考え出す……。 この発想の転換が大切です。それによって、だれも気が付かなかったリスクを早期に洗い出すことができ、仮説を立案できるコンサルティングが可能になります。 当社では新人エンジニアに、まずは不正アクセス技術を徹底的に教えて勉強させます。攻撃手法を掘り下げてから、どうやったらセキュアに構築したり侵入検知ができるかを学ばせるのです。 ――セキュリティ・アナリストの大前提には仮説立案力があるのですね。それ以外のスキルでは、どのようなものが大切ですか?
西本氏 注意力と洞察力ですね。トップアナリストなら見つけ出せる不正パケットでも、経験の少ないエンジニアでは見逃してしまう場合がよくあります。セキュリティ・アナリストはログを参照しながら、ネットワークがどういった脅威にさらされているのかを判断できなければなりません。TCP/IPやネットワークの知識、サーバやOSのどのバージョンにはどんな脆弱性があり、実装方法のクセは何かなどの知識は大前提で、徹底的に深い知識が必要です。 さらに攻撃手法にも長けていなくては、IDSが検知するイベントが上がってきても、どれがどういった攻撃なのか判断できません。攻撃を仕掛けてくるクラッカーは目的もあって、しかも場合によっては高い技術力を持っています。それに対抗するには日々勉強しなくてはなりません。 また、IDSはエンジニア自身で自分なりの検知パターン(シグネチャ)を作っていきます。発見された脆弱性を調査し、どういった攻撃があり得るのかを想像し、どういった攻撃が多いのかを調査し、それに応じてパターンを作成したり変更したりします。さらに、顧客の同意を得て顧客のサイトに擬似攻撃を仕掛けて、突破できるセキュリティホールを指摘し、クライアントに提案して改善していくといった作業も必要になるのです。 ――西本さんご自身は、具体的にどのような方法で勉強をしてきたのですか? 西本氏 私のスタイルは我流ですから参考になるかどうか(笑)。私は、3カ月間は頑張る、3カ月間はサボるというパターンを繰り返してきました。ちょっと口はばったいいい方になってしまいますが、ここでいう「サボる」とは、仕事だけに追われ勉強をサボる、「頑張る」とは、仕事はきついけど、集中して技術解説書などを読みあさり、勉強を頑張るという意味です。3カ月間も仕事に追われていると仕事に飽きてきて、飢えてきて、何か新しいこと、何か刺激が欲しくなるでしょう? そこで一気に書籍や雑誌を飲み込む(読み込む)のです。そして、読み終えた後はそれを熟成させて、いろいろな人に読んだ内容を話す。この、人に話すという行為が大切だと思います。これで、話し相手から思いもかけない切り返しがあったり質問されたりします。そこでまた調べ直したり、検証・実証することで、ようやく自分のモノになっていくのだと思います。後輩からの質問などにも、できる限り詳しく調べて答えてあげるのは、知識を身に付ける早道だと思いますね。 ――御社では、どのように手法でセキュリティ・アナリストを育てているのですか? 西本氏 当社の新人は、大前提の基礎知識として、UNIX、Windows、インターネット、TCP/IPの基礎を学ばせます。これらの知識については深ければ深いほどいいですね。その後、不正アクセス技術(いわゆる攻撃手法)を簡単に教えて、その後に「セキュアにネットワークやサーバを構築する方法」、その後、インターネット セキュリティ システムズ(ISS)の「Internet Scanner」を中心に使用して、ネットワークやサーバのセキュリティ診断を実施する「セキュリティ検査」の手法、そして「RealSecure」を中心に使用して「セキュリティ監視」を学びます。そこまで学習した後に、セキュリティ構築、検査の実務経験を経て、先ほど述べたセキュリティ・アナリストやテクニカル・コンサルタント、マネジメント・コンサルタントに進むことができるようになっています。「監視」の手法を学ぶ段階では、さらに、不正アクセス技術、攻撃手法を詳細に学び、その攻撃を想定しながらどう監視すべきかを学習していくのです。
――お話を伺っていると、スキルといった観点ではネットワーク、インターネット、OSなど幅広く深い知識が求められ、そのうえで不正アクセス技術を学ぶという発想の転換が必要となるのですね。それらのスキルや知識だけではなく、「こういったエンジニアはセキュリティ・アナリストに向いている」というような資質はあるのでしょうか。
西本氏 エンジニアとしての「正義感」を持っている人です。ネットワークを構築していれば、どこにセキュリティホールがあるのか、脆弱性がどこにあるのか分かってくると思います。そのときに、リスクがあると知りながらもクライアントからの指摘がないという理由で納入してしまう……。そんなことがあってはいけないのです。「こんなものを作ってはいけない!」という強い意識が必要ですね。ある意味では自分との闘いを強いられこともあります。 セキュリティ・アナリストになるには、攻撃手法や攻撃プログラムの作成といった不正アクセス技術、攻撃手法を学べといいましたが、いい換えれば強力な攻撃を仕掛けられるエンジニアほど強固なセキュリティを構築できるともいえます。不正アクセス技術とセキュリティ技術は表裏一体で、そこにエンジニアとしての思想が乗っているのです。思想のない技術は寂しく、危険なものです。セキュリティ技術は、もろ刃の剣で、武器にもなる。そのことをしっかりと認識することが大切です。 ――最後にセキュリティ関連のエンジニアを目指す方々にアドバイスをお願いします。 西本氏 セキュリティ技術といっても幅広い。自分の興味がどこにあるのかを明確にしてください。それによって、セキュリティ・アナリストやテクニカル・コンサルタント、あるいはセキュリティポリシーなどを専門とするマネジメント・コンサルタントに進むのかの道が開けてきます。 資格については、ベンダ系ではシスコやマイクロソフトのMCPなどはセキュリティエンジニアの世界では常識でしょう。そのほかにも情報処理技術者試験の情報セキュリティアドミニストレータなどの資格取得に向けて勉強するのは有効だと思います。ISO 15408、ISMS、BS7799などは、詳細は別として概要はきちんと押さえておくべきですね。 ■西本氏のお薦めのセキュリティ関連書籍 セキュリティエンジニアを目指すうえで、読んでおいてほしい書籍を紹介してほしいとお願いしたところ、次の5冊を推薦してくれた。これからセキュリティ分野の勉強をするうえで、ぜひ参考にしてもらいたい。
|
・ケ・ュ・チマツ、クヲオ貍シ・ケ・ン・・オ。シ
@IT Special ラーニング スキル創造 News5/29 19:34 更新「ITmedia マーケティング」新着記事ファイザーのコンテンツサプライチェーン変革 “コロナ禍で世界を救った”経験はどう生かされたのか? 企業の生成AI活用 なぜ日本は米国に追い抜かれたのか? 「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2024年10月) |