エンジニアブログをご覧の皆様、初めましてヨコヤマと申します。
今回は当ブログではまだ記事として出ていないと思われる私が携わっているセキュリティ監視・運用の現場について書いていきます。
私自身の経歴についてですが、もともと新卒でSIerの他社に入社し、サーバ・インフラ系の構築・運用に携わってきました。
その後、転職活動を経てエボルバに入社し、現在のセキュリティ監視・運用に携わっております。
もともと前職の時点で脆弱性について社内の管理部署(俗に情シス)やお客様からも相談を受けたり、実際に対策対応を行ったという経験からセキュリティもできないとまずいなぁと思っていた矢先の本案件でしたので、とても希望とマッチした業務であり現場的にも恵まれていると言えます。
さてセキュリティ監視・運用として何をしているのかというと、
・怪しい通信の分析
・情報収集
・監視設備の稼働確認
大まかに分類すると上記になるかと思います。
1つずつ説明していきます。
①怪しい通信の分析
発生した原因は様々ですが例えば、「聞いたこともないWEBサイトから変なファイルをダウンロードしている」とか「なぜか特定のサイトにアクセスをし続けている」
などといった通信を検知あるいは見つけて分析を行います。
分析の方法自体は環境や事象によりけりですが簡潔にまとめますと、
・不審なファイルをダウンロードしていないか
⇒ファイルはマルウェアなどではないのか?
・なぜその通信が発生したのか
⇒ユーザが意図している通信なのか?
・関連通信に不審な内容が含まれていないか
⇒機密情報やコマンドなどが紛れているのでは?
という観点で見ることが多いです。
分析後、問題あるようなら関係各所に連絡を実施することになります。
よくあるのはユーザがメジャーなソフトウェア(Flashplayerなど)の偽物を
ダウンロードして感染するというのが多いように感じます。
②情報収集
先の①で「検知あるいは見つけて」と書きました。
ではそもそもどのようにして検知あるいは見つけるのかというところです。
あらかじめ検知する仕組みが確立している場合もありますが、
それだけでは新しい攻撃には対応することができません。
セキュリティ監視は特に速さとアンテナ感度の高さが求められます。
そのためいち早く攻撃に対応する日常的に情報収集を実施し、
必要に応じて検知できるようにするというのがこの情報収集となります。
過去の例ではとあるWEBサーバ関連ソフトウェアに関する脆弱性について、
情報収集で見つけたため急いで検知するよう仕組みを確立しました。
するとその日のうちに監視しているサーバが攻撃を受けて、
WEBサーバをインターネット上の第三者に操作されるというインシデントが
発生しましたがこれを早期に検知して通達することができたことがあります。
③監視設備の稼働確認
これまではセキュリティ監視における攻撃の検知についての説明でした。
ところで検知するにあたって設備が必要になるわけですが、
これらは正しく動作しているのでしょうか?
また異常な動作をしている場合にはどうなってしまうのでしょうか?
これらの保証するための各対応についても
セキュリティ監視の一部として一括して行う必要があります。
主立って行っているのは、
・各監視設備の稼働確認
⇒各監視設備が正しく動いているのかを確認するため
・各監視設備の復旧対応
⇒異常時に正常な状態へ復旧するため
確認内容は対象によって様々ですがそもそも通信できているかとか、
正しく使うことができるかとか、いつの間にか検知できない状態になってないかなど
システム的に、または人が直接見て確認しています。
異常があれば事象に応じてソフトウェアのリスタートを行ったり、
ハードウェアの切り替えなどで対応します。
とここまでで大まかに分類した業務内容について書きました。
他には何かあるでしょうか?どうですかねぇ。。
そういえば私はそのセキュリティ運用のとあるチームでリーダーを
やらせて頂いているので個人的にやっている、もしくはやったことを列挙してみます。
・チーム内で出た課題の対応
⇒運用していく中で出た課題について対応したり担当を割り振ったりしています。
・業務の効率化
⇒手順のない業務について標準化を行ったり、
なぜかpythonの開発環境があったのでpowershellと
組み合わせてツール作って楽できるようにしたこともあります。
・チームの品質確認
⇒チームのパフォーマンスを数値でとって結果をまとめることで
振り返りに用いたり、改善するための材料としています。
さて他にもあったり各内容を細かく掘り下げていけば
色々書くことはできるのですけれども、
気づいたら他の記事と同等のボリュームとなっており、
そろそろ読むのが辛い長さになってきました。
ですので今回はここまでとさせて頂こうと思います。
弊社においては比較的変わった珍しい案件であり、
とても貴重な業務となっております。
ネットワークの他に本案件のような業務もあるという
一つの参考として頂ければ幸いです。
最後になりますが、私の拙いブログを読んで頂きましてありがとうございました。