エムオーテックス株式会社が運営するテックブログです。

採用情報

対面での夏季就業体験「セキュリティ監視コース」実施レポート

インターンシップ 監視 セキュリティ SOC

対面での夏季就業体験「セキュリティ監視コース」実施レポート

はじめに

こんにちは、エムオーテックスでセキュリティアナリストとして働く林田です。

2日間でセキュリティ監視の現場を対面で体験する短期就業体験を開催しました。 参加いただいた学生のみなさんには、想像もつかないリアルなセキュリティアナリストの最前線を体験いただけたのではないかと思います。
全国から15名に参加いただき、学生のみなさんも運営メンバーも大変充実した2日間でした。セキュリティ監視をテーマにした就業体験を開催したのは今年で4度目となり、運営メンバーも毎年恒例の取り組みとなりつつあります。

本記事は、セキュリティ監視というお仕事に興味を持っていただいている学生のみなさんや、SOC/CSIRTにどんなお仕事があるか気になっている方に向けた記事です。

開催概要

今年の開催は8月28日~8月29日の2日間、対面で実施しました。
「セキュリティ監視コース」は今年も定員を上回る応募をいただき、毎年人気のコースとなっています。

夏季就業体験の雰囲気

本就業体験のポイント

  • 対面で現役セキュリティアナリストから直接学べる
  • 疑似インシデント対応を実践形式で体験できる
  • 普段は意識しにくいサイバー空間の活動を可視化して、実際に体感できる

今年は「セキュリティアナリストとしての達成感を味わう」をテーマに開催しました。 毎年、参加者から「調査が難しかった」との声を多くいただきますが、 これは、通信ログの細部やインターネットに公開されている情報から脅威を追跡するという、セキュリティアナリストならではの醍醐味を体験してほしいという意図によるものです。
2日間という限られた時間で、何をお伝えしてこの醍醐味を味わっていただくか、私たちも悩みましたが、なんとか形にすることができました。

組織のサイバーセキュリティを守る職種は多岐にわたりますが、今回ご体験いただいたのは、SOC(Security Operation Center)*1と呼ばれる、サイバー攻撃の検知・分析・一次対応を行う業務です。
また、Darktrace*2というネットワークの脅威を検知・可視化するNDR(Network Detection and Response)に分類される製品を使って調査いただきました。

対応の全体像

就業体験のプログラム概要

Day1の流れ

  1. オリエンテーション / 先輩社員紹介
  2. セキュリティ監視の概要説明
  3. Darktraceの操作説明
  4. セキュリティアナリストとしての心構え
  5. 練習課題の演習 / 解説

Day2の流れ

  1. アイスブレイク
  2. Day1の復習
  3. 本番課題の演習 / 報告会
  4. 課題解説 / 総括

アイスブレイクで獲得したバンニャたち

コンテンツの見どころ

アラート調査は謎解きゲーム?!

例えば、100万件のログの中から1つの重要な情報を見つけ、攻撃者の動きを把握するには、どのような方法が最適でしょうか?
がむしゃらにログを一つひとつ追うのではなく、効率的に重要な情報を見つけ出す方法を模索したくなるのではないかと思います。 あらゆる推測を重ね、攻撃者の動きを仮説立てて、1つのログにたどり着くことで、仮説を事実に昇華させることができます。 その推論と仮説の精度を高めることこそが、私たちの価値であり、セキュリティアナリストの本質だと考えています。

就業体験では、参加者自身が立てた推論・仮説を元に、該当するログを確認するプロセスを体験していただきました。 仮説立ては運営メンバーが伴走し、通信のログを分析し、整理して攻撃の全容に迫る、というプロセスにセキュリティアナリストの醍醐味があります。
粘り強く調べ、全容を言語化できたときに達成感が味わえたのではないでしょうか。

運営メンバーの伴走型サポート

本プログラムでは「正解を教える」のではなく「正解に至るまでの思考の筋道を一緒に辿る」スタイルを大切にしました。
見慣れない専門用語を一緒にかみ砕き、点となるログを見つけ、点と点を結ぶ作業を伴走しました。 例えば、ファイルをダウンロードしたログとメールを送信したログがあり、なぜメールを送信したのかわからず因果関係に悩む場面がありました。 ダウンロードされたファイルはマルウェアであり、ダウンロード後に端末にて実行された後、外部への感染拡大が目的であると推測されるメール送信が行われています。 上記の流れをログから整理できず苦戦をしている場面がありましたが、運営メンバーがマルウェア感染後に何が起こるかを説明したことで、情報の整理が進みました。

セキュリティ監視のその先

セキュリティ監視は、企業全体のインシデント対応の一部にすぎません。SOC(Security Operations Center)は検知・分析・一次対応を担い、CSIRT(Computer Security Incident Response Team)は組織内での連携・意思決定・復旧・再発防止などを主導します。
就業体験では、SOC視点での検知や分析に加え、CSIRTの視点も理解する機会を設けました。 実際に調査した内容は報告資料として発表します。 その後、別チームが「お客様」役となり、顧客対応を想定した質疑応答も体験しました。
その中で興味深いやりとりがあり、次のような質問がありました。
・「ポート25をブロックする」とあるが、通常のメールはどうやって送信したらよいか?
この問いに対しては「代替のポートを用いてメール送信する」との回答でした。どちらもメール送信の仕組みを理解したうえでのやり取りで、具体的な運用まで踏み込んだ議論を通じて、SOCとCSIRTそれぞれの役割や視点の違いを体感いただけたのではないかと思います。

数字で振り返る2日間

  • 2日間で調査したアラートの総数は27件!!
    4件のマルウェア感染による挙動を検知したアラートの合計27件を調査いただきました。
    アラートの内容を紐解き、調査や情報収集で頭の中がいっぱいになったのではないでしょうか。   

  • 調査を行った総時間は345分!
    1件あたり約13分で調査を実施したことになります。限られた時間の中で、いかに効率よく調査してまとめるかが肝となることを身をもって経験できたのではないでしょうか。  

  • 学生満足度は5が最大評価の中4.8点!!!
    初めて経験する難しい内容だったと思います。そんな内容でも2日間に凝縮し、ハンズオンで経験できた充実度の表れだと思います。

    参加学生の声(一部要約)
     「CTF(Capture The Flag)*3で培った勘が役立ち、楽しみながら体験できた一方で、ログ読解とアラートの関連付けの難しさを実感した。」
    「実環境に近いDarktraceの体験が面白く、セキュリティへの関心が高まるとともに、先輩方の丁寧なサポートから社風の良さも感じた。」

    課題解説の様子

エムオーテックス採用情報について

今回はセキュリティ監視コースについてご説明しましたが、エムオーテックスは多様な人材を募集しています。
エムオーテックスにご興味のある方は、ぜひ下記リンクから採用情報をご覧ください!

www.motex.co.jp

おわりに

SOCやCSIRTに興味があるが、どんなことをやるのか想像がつかない。そんな学生さんにはピッタリな就業体験です。2日間でエムオーテックスの雰囲気を体感でき、実践型でセキュリティ監視を経験できるため、働くイメージを膨らませやすいプログラムになっています。
この「セキュリティ監視」の就業体験に参加したことをきっかけに、エムオーテックスへ入社して活躍されている先輩社員もいます。

あなたもぜひ、セキュリティ監視の就業体験に参加してみませんか?
未来のエムオーテックスで働く仲間を楽しみにお待ちしています。

*1:https://www.lanscope.jp/blogs/cyber_attack_cpcp_blog/20230801_32592/

*2:https://www.lanscope.jp/professional-service/service/product/darktrace/

*3:サイバーセキュリティ技術を競うコンテストです。セキュリティ上の課題を解き、隠された「フラグ」と呼ばれる文字列を見つけて得点を競います