セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

セキュリティの基本7原則

エッセイ

先日、Philadelphia InfoSec Meetupに参加してきました。今回は、Empower Security AcademyというWashington D.C.をベースとした人がセキュリティの基礎とAPI・Wiresharkについて話してくれました。

www.meetup.com

内容がビギナー向けなコンテンツでしたが、プレゼンテーションの中で触れられていたセキュリティの7原則が非常に新鮮だったのでそのことを書きたいと思います。(当然、セキュリティを仕事としている人であれば知っている内容ですが、7つ並べて見るとその重要性を再認識したため、あえて取り上げてみたいと思います。)

  1. Defense In Depth
  2. Least Privilege
  3. System Hardening
  4. CIA Triangle Triad
  5. Separation of Duties
  6. AAAs of Security
  7. Patch Vulnerable Systems and Software

Defense In Depth(多層防御)

詳しい説明は、多層防御 (セキュリティ) - Wikipediaに任せますが、ひとつの脅威に対して複数のセキュリティ保護対策を組み合わせることで、ひとつの対策が機能しない、もしくは適切に実装されていない場合でも複数の対策のいずれかで防がれるという考え方です。安全工学でも同様の概念があり、深層防御と呼ばれたり、スイス・チーズ・モデルと呼ばれることもしばしばあります。

昔、ペリメータ制御だけに頼ったセキュリティ対策を、チョコレートのM&Mに例えてM&Mモデルなんて呼ばれることもありましたが、これは典型的にDefense In Depthの考え方に反するものです。

Least Privilege(最小権限の原則)

詳しい説明は、最小権限の原則 - Wikipediaに譲りますが、システム・ユーザに対して必要となる最小の権限のみを付与すべきという原則です。これにより、通常の挙動・業務に支障をきたさない一方、万が一悪用されていても正当な業務で行える範囲に被害を局所化できるためです。とはいえ、実際問題として非定型の仕事をしている場合には、一時的に高い権限が欲しいときもあり、それを適切に運用する必要があるため、運用が非常に難しい原則だと考えられます。

System Hardening(システムの堅牢化)

システムの堅牢化に勤めるべきという考え方です。具体的には...

  • 必要最小限のポートのみオープンにする
  • 暗号化されていないメンテナンスポートは使わない
  • デフォルトのパスワードはきちんと変更する

などが挙げられます。最近のシステムは初期設定からある程度のセキュリティは担保されているケースが多いですが、各製品のベスト・プラクティスに従い適切に設定することを推奨します。

CIA Triangle Triad(セキュリティの3原則)

情報処理試験でおなじみの機密性・完全性・可用性です。

  • 機密性(Confidentiality)
  • 完全性(Integrity)
  • 可用性(Availability)

セキュリティ施策を行うときにどこをゴールにすべきかを端的に表現しているもので、コンサルティングをするときに忘れてはいけない原則のひとつだと思います。個人的には、日本は可用性にすこし比重がかかりすぎていると思う一方、日本年金機構の標的型攻撃時に議論にでた「全遮断」の議論をこの原則で捕らえると、「可用性」を捨ててでも「機密性」を維持することを維持を優先すべきだという議論になるかと思います。

Separation of Duties(職務分掌)

簡単に言うと部門・個人の内容・権限・責任などの範囲を明確に定義し、不要に情報を与えたり、権限を与えたりしないことを意味します。これにより、会社の資産を守ったり、内部不正を防ぐことができます。

これを実現する手段がIAM(Identity Access Management)と呼ばれるもので権限・アクセスコントロールなどを整備するソリューションのことを意味します。

AAAs of Security(認証・認可・監査)

この英語の言い回しを知らなかったのですが、AAAとはアクセス・コントロールが兼ね備えるべき3要素を意味します。

  • Authentication(認証)
    • ユーザのアイデンティティ(本人性)を検証すること
  • Authorization(認可)
    • 認証に基づいて、権限を与えられたユーザのみがアクセスできるよう制御すること
  • Auditing(監査)
    • 認証・認可が適切に機能することを検証するため、認証・認可をログとして記録すること

Patch Vulnerable Systems and Software(パッチ・マネジメント)

システム・ソフトウェアは時間がたつにつれて、様々な脆弱性が発見され、セキュリティレベルは時間とともに低下する傾向にあります。そのため、適切にパッチを当てていくことでセキュリティ・レベルを維持することを示した原則です。様々なインシデントの多くも、既知の脆弱性を悪用することで攻撃が成立しますので、パッチ・マネジメントは重要です。

まとめ

今回は、セキュリティの7原則を挙げてみました。もちろん、これ以外にも守るべきことは沢山ありますが、これらの基本原則を忠実に守っていくことがセキュリティを高め、情報を資産を守る上でも重要なのではないかと思います。

(BlackHatに参加せず)BSidesLVに参加してきた!!

カンファレンス・研修

先日、BSidesLVに参加してきました。BSidesLVはBlackHatと同じスケジュールで開催されるカンファレンスです。

www.bsideslv.org

  • BSidesLV:8/2 - 8/3
  • BlackHat USA:8/3 - 8/4
  • DEFCON:8/4 - 8/7

BlackHatは同僚が調査に参加していること、参加費も安くないこと、またBSidesLVの様子を知りたいという好奇心に駆られ、こちらに参加しました。

結論からいうと、非常に面白いカンファレンスでした。BlackHatとほぼ同じスケジュールのため、いい講演はBlackHatに流れてしまい二流の講演しかないと勝手に危惧していたのですが、実際は質の高いカンファレンスでした。

私の個人的意見ですが、BlackHatが質が高い最高峰のカンファレンスという点には全く異論はないですが、内容はかなり学会に近しい印象があります。BSidesLVで話した人に聞いてみたところ、最近のBlackHatは商業化しすぎているというコメントをしている人もいました。一方、BSidesは過去の記事でも記載したとおりツールの発表や事例紹介などが行われ、BSidesの良さを維持していると思います。BSidesLVの参加者に話を聞いても、日々の業務の事例や工夫を知るには、BSidesLVのほうが良いという人が多くいましたし、ハッカー・カンファレンスらしさを求めてあえてBSidesLVを選ぶ人も多数いました。

BSidesLVの魅力:Undergroundセッション

BSidesLVの魅力は、参加費が安くて面白いセッションがある一方、別の魅力があります。それが、Undergroundセッションと呼ばれるセッションです。以下に、セッションの説明を記載します。

Underground - OTR talks on subjects best discussed AFK. No press, no recording, no streaming, no names. Just you and your peers, behind closed doors. Think about it.

今回のBSidesLVでは、ほとんどのカンファレンスが録画されて後で公開されるのですが、Undergroundsセッションだけは録画されず、電子機器の使用が禁止です。それどころか、スピーカーのプライバシー保護のため、スピーカーの名前、場合によっては講演内容すら公開されないという面白いセッションです(最悪の場合、手掛かりは講演タイトルだけです)。その代わり、かなり踏み込んだ内容のセッションばかりです。

その運営たるやかなり厳重で、部屋に入る前に電子機器(PC・携帯電話・スマートウォッチ)はすべて電源をオフにすることが指示され、会場に座れる人数(100名ほど)以上には入れてもらえません。一度、カンファレンスが始まるとドアは閉められ、基本的に出ることも許されません。やむを得ない事情で出る場合は、プレゼンテーションが中断され、スライドが隠された上で係員に誘導され退場します。再入場はもちろん許されません。もし、カンファレンス中に電子機器を使っていたり、電源を切っていないことが発覚したら、プレゼンテーションを中断、スタッフによる違反者探しが始まり、見つかり次第その場で退場させられます。(たぶん、顔を覚えられ、今後のUndergroudセッションへのアクセスも禁止されるようです。)

また、参加者はペンとノートによるアナログな方法のみメモを取ることが許され、当然その内容の公開は許されません。ルールに従い、その内容をここに書くことはできませんが、かなり魅力的な講演が多く、30分前に並んでも入れないカンファレンスもありました。(最初このルールを知らず、いくつかセッションを見逃してしまいました。)

いくつかの講演をピックアップ

いつもの通り、Underground以外のセッションで面白いものをいくつかピックアップして紹介したいと思います。ちなみに、スケジュールとビデオは以下の場所から確認することができます。

bsideslv2016.sched.org

www.youtube.com

Beyond the Tip of the IceBerg

Citrixに勤務する人によるFuzzingの話でした。Fuzzingに関する難しさについて解説をした後、遺伝的アルゴリズムを使って最近のFuzzingに関する話をしていました。主には、AFL(American Fuzyy Lop)というツールを利用した話中心で、RDPに対するFuzzingのデモなどが行われていました。

興味がある人は、詳しくはビデオを見てください。(2:16:00ぐらいから発表されます。)

www.youtube.com

How Commodity Programs Are Evolving Into Advanced Threats

CyberReasonのCISOに関する講演でした。タイトルをそのまま見ると、標的型攻撃ではない無差別型の攻撃がどのように標的型攻撃(APT)に変化するかということを論じるという内容でしたが、とあるブラック・マーケットの分析に比重が行われています。(このマーケットにおいて掌握された端末が売買されているため、それを利用することでAPTに脅威が変化していくという論理展開でした。)

ブラック・マーケットの分析を詳しくみることは少なく、具体的な手法がわかったため非常に面白い発表でした。興味があるかたは上記に貼り付けられている動画の4:15:00ぐらいから発表されますのでご覧ください。

The emerging threats posed by augmented reality gaming

IngressとPokemon Goにまつわるセキュリティ・プライバシー周りの話です。Ingressを中心に通信内容を解析して、どんな問題があるか詳細な分析を行っていました。C2DMが終了後も使われていることを指摘していたり、どんなプライバシデータがサーバに送信されているかが分析しており、その緻密さが目立つプレゼンテーションでした。Pokemon Goのセキュリティを知りたい人は一度見ておくと良いと思います。

上記に貼り付けられている動画の5:15:00ぐらいから発表されますのでご覧ください。

Powershell-fu: Hunting on the Endpoint

最近流行しているPowerShellを使ってThreat Huntingできるフレームワークを作成したという話でした。意外と面白いコンセプトなので、興味がある方はプレゼンテーションの資料をご覧ください。

www.slideshare.net

www.youtube.com

Hunting high-value targets in corporate networks

PCIのペネトレーションなどを実施している人たちが、企業ネットワークからどのように高付加価値なターゲット(クレジットカード)を見つけるかというテーマで解説を行っていました。少し古いですが、同じプレゼンテーションを見つけたので、興味がある人は以下を参照してください。

なお、個人的には、「スキャンして出てきた結果を検証するのはペネトレーションテストとは言わない」といっている点同感できる点で、面白かったです。

www.youtube.com

Building an EmPyre with Python

Veris Group ATD(Adaptive Threat Division)の発表でした。ATDはVerisフレームワークと呼ばれるペネトレーションテスト用のフレームワークを開発したチームでPowerShell関連のツールを中心にかなり色々なツールを開発している有名なグループです。

彼らが開発したツールのひとつにEmpireという比較的アメリカでは有名なPost-Exploitationツールが存在します。

www.powershellempire.com

github.com

今度は、Apple OS Xなどに対応するためにEmpireのPythonl版であるEmpyreを作ったというプレゼンテーションでした。

github.com

細かい点については、資料をよんだほうがわかりやすいので、こちらを参照してください。

www.slideshare.net

まとめ

BSidesLVは非常に面白いカンファレンスでした。普段は東海岸のカンファレンスを中心に参加していますが、西海岸に来ると少し雰囲気も変わりますし、トピックも変わりますのでそういう意味で色々と学びが多いカンファレンスでした。

格言から考えるセキュリティ

エッセイ

今日はすこし趣向を変えて、格言からセキュリティを考えてみたいと思います。

私がセミナーで講演をする際には、よく格言を色々引用することが多いのですが(そしてあまり好まれないのですが)、色々と示唆に含む発言も多いので個人的に好きなものを列挙してみようと思います。

孫子の『兵法』より

彼を知り己を知れば、百戦して危うからず

セキュリティの研修(特に海外)で必ず引用されるといっても良い孫子の格言です。

最近ですと、敵を知るためにCTI(Cyber Threat Intelligence)という概念が現在登場していますし、己をするためにCSC(Critical Security Control)などでも#1と#2にてデバイスとソフトウェアの棚卸しをすることが推奨されています。*1

Kevin Mitnick "The Art of Intrusion"

The adage is true that the security systems have to win every time, the attacker only has to win once.

セキュリティ・システムは常勝を義務づけられ、攻撃者は一度勝つだけで良いという格言は的を射てる。

 この格言、ソーシャルエンジニアリングで有名なケビン・ミトニックの本で紹介されていたもので個人的に好きな格言です。セキュリティ担当者の大変なところは、一度でも情報漏洩が起きてはいけないという前提があるため、非常に難しい立場におかれていることをあらわす格言だと思います。

John Lambert(Microsoft Threat Intelligence Center)

Defenders think in lists. Attackers think in graphs. As long as this is true, attackers win.

防御側は点で考え、攻撃者はグラフで考える。これが成り立つ限り、攻撃者は勝ち続けるだろう。

元ネタは、Microsoft社のThreat Intelligence Centerに投稿されたブログのタイトルなのですが、攻撃者は防御側の想定するような方法で攻撃してくれることはなく、あらゆる手段を使って攻撃をしてきます。それを踏まえた警句になると思います。(ブログ自体はもう少しグラフによる可視化とかの話なのですが)

その観点からすると、RedTeam型の総合型ペネトレーションテストは、防御側が想定しない方法で侵入することを試行するため、有益なのだと考えられます。

blogs.technet.microsoft.com

ビスマルク

Ich ziehe es vor, aus den Erfahrungen anderer zu lernen, um von vorneherein eigene Fehler zu vermeiden.

自分の間違えを避けるため、私はむしろ他人の経験に学ぶのを好む。 

よくセキュリティ事例の研究する際に引用されることが多いのですが、他社のインシデントは研究するに値する非常によいリソースです。インシデントの詳細が公開された際には、ぜひ詳細を取得して自社に対して机上評価を行うことをお勧めします。

かのシャーロック・ホームズもこんなことを言っています。

There is a strong family resemblance about misdeeds, and if you have all the details of a thousand at your finger ends, it is odd if you can’t unravel the thousand and first.

悪事には類型というものがあるので、もし過去の1000件の事件を詳細に知っていれば1001件目の事件を解決できないなんて考えられないよ

さすがに1000の事例研究を個別でしていくのは現実的ではないですが、多くの事例を研究することにより、新しい手口でも未然防止・被害最小化につながる部分があると考えられます。そもそも、新しい手口は往々にして過去の手口の組み合わせである場合や、精緻化したものが多いですので、他社の事例は積極的に活用していくべきだと思います。

Alexander Pope “An Essay on Criticism”

To err is human, to forgive divine

過つは人の常、許すは神の業

あまり聞きなれない格言だと思いますが、もともとはイギリスの詩人アレキサンダー・ポープが残した言葉で、『批評について』というエッセイでに書かれています。この言葉の前半部分は1999年にアメリカの発表された医療事故とその防止策に関する報告書のタイトルとして採用されたため、以後有名になりました。ヒューマン・エラー分析などでは非常によくでてくるキーワードです。

特に最近の標的型攻撃は人間の心理を巧みに利用した攻撃(InfoSec Handlers Diary Blog - Managing CVE-0)が多いですので、そのことを前提とした対策をすべきという意味で参考になる警句です。ヒューマン・エラー分析の手法などは色々と参考になる部分があると考えられます。

PSYCHO-PASS #13 「深淵からの招待」 より

だが考えてもみたまえ。もしシステムが完全無欠なら、それを人の手で運用する必要すらないはずだ。(中略)いかに万全を期したシステムであろうと、それでも不測の事態に備えた安全策は必要とされる。万が一の柔軟な対応や、機能不全の応急措置。そうした準備までをも含めて、システムとは完璧なるものとして成立するのだ。

ソリューション(製品)の強い自動防御の機能などを積極的に活用する一方、インシデントに大して万全を期すためには人の手による柔軟な運用が不可欠です。個人的には、セキュリティ担当者にはシステムが大半の攻撃を防御してくれている間に研鑽に努め、有事の際に柔軟な対応ができるように備えてもらいたいと考えています。

その他:悪魔の辞典

アンブローズ・ビアスの書いた『悪魔の辞典』という書籍をご存知でしょうか? 

新編 悪魔の辞典 (岩波文庫)

新編 悪魔の辞典 (岩波文庫)

 

言葉を痛烈な皮肉やブラックユーモアで再定義したもので、シニカルなユーモアがあって個人的には結構好きなのですが、これのセキュリティ版がないかなと考えています。(ちなみに、ビジネス版はあり、これもかなり面白いです。)

ビジネス版 悪魔の辞典 (日経プレミアシリーズ)

ビジネス版 悪魔の辞典 (日経プレミアシリーズ)

 

ここでは、世の中のセキュリティ研究者が言っている「悪魔の辞典」風定義をいくつがご紹介しようと思います。

PDF

PDF = Payload Delivery Format

マルウェア解析で有名なSANS講師Lenny ZeltserのTwitterで見つけました。(言ったひとは違う人?)確かに、PDFが標的型攻撃に多数悪用されたことを考えると納得ですね。

f:id:security_consultant:20160813104330p:plain

セキュリティ診断と攻撃者について

You don't have to pay for a security assessment - someone is already doing it free. Difference is whether or not Krebs delivers the report.

セキュリティ診断にお金を払う必要なんてない。誰かが既に無料でやってている。違いは、Brian Krebs氏がレポートを書いてくれるかどうかだ。

攻撃コード開発やCTI(Cyber Threat Intelligence)のSANS講師として知られているMalware Jakeの定義です。Brian Krebs氏は、Krebs on Securityというブログでセキュリティニュースをいち早く報道することで有名な人ですが、日本風に言えばpiyolog氏が書いてくれることになるんでしょうね。

f:id:security_consultant:20160813104433p:plain

BYOD

BYOD = Bring Your Own Disaster

Permitting personally owned computing assets on your corporate network can present an unquantifiable risk to your sensitive information. Such system may not have appropriate security controls in place to present malicious activity or malware from gaining access to critical data

nuixというベンダーにもらったトランプにかかれていましたが、面白かったので引用しました。確かに、個人の端末を持ち込ませるなんて...というのは合意しつつ意外と利便性の高い考え方ではあるんですよね。

全く関係ないですが、ペンシルバニア州ではアルコール類の販売が非常に厳しく、よくBYOB(Bring Your Own Bottle)と呼ばれお酒を買って店に持ち込んだりします。

CSO (Chief Security Officer)

CSO = Chief Scapegoat Officer

情報セキュリティ統括担当役員のことをCISO(Chief Information Security Officer)とかCSO(Chief Security Officer)といいますが、情報漏洩が発生してしまった場合、その責任を取って首になるケースも多いことも多いことからChief Scapegoat Officerと呼ばれることも多いそうです。

まとめ

いくつか格言をもとにセキュリティを考えてみましたが、セキュリティという分野は色々な分野の知見を借りてきて対応する必要があると考えられます。心理学・安全学・社会学・組織行動論などの知見を総合的に活用したセキュリティを考えられると面白いと思います。(大学のセキュリティ関連のプログラムを見ていると、その傾向が見受けられて非常に良いことだと思います。)

*1:個人的には、兵法三十六計 - Wikipediaが好きで昔研究していたこともあるのですが、これのセキュリティ版とか作れないかなと思っています。

米国のペネトレーションテスト事情

エッセイ ペネトレーション・テスト

2016/08/13 書き忘れた項目があったため、追記しました

今日は米国流ペネトレーション・テストについての実情についてまとめてみたいと思います。

日本におけるペネトレーション・テストとは?

ざっくりとまとめると、日本におけるペネトレーション・テストは大きく3種類あると考えられます。

  • Webアプリーケーション診断
  • ネットワーク診断
  • 標的型攻撃診断(メール訓練サービス・出口対策検証サービス)

従来からサービスとして用意されているWebアプリケーション診断・ネットワーク診断に加えて、標的型攻撃診断サービスも最近はよく見られます。

色々なベンダーの様子を見ていると、標的型攻撃診断サービスは、一般に2種類のモジュールで構成されており、「標的型メール訓練サービス」と実際にマルウェアなどを使い出口対策の検証までを行う「出口対策検証サービス」があります。

脆弱性診断 vs. ペネトレーション・テスト

「脆弱性診断」と「ペネトレーション・テスト」の単語の定義は、日本では今でも曖昧として使われていることが多いという印象が多いですが、米国の言葉の使われ方を見る限り、手順化された手法で脆弱性の存在を確認することが脆弱性診断、実際にどこまで悪用できるかあらゆる手段で実証することがペネトレーション・テストという言葉だと考えられます。

BSidesLVのあるセッションでも、「脆弱性スキャンをかけて出てきた結果を検証するのはペネトレーション・テストじゃないから」と宣言していたセッションがありましたが、その通りだと思います。

米国流ペネトレーション・テスト

その一方、米国流のペネトレーション・テストはより総合的な評価を実施する傾向にあります。(もちろん価格・やり方によりますが)フルスペックでやった場合、Webアプリケーション診断・ネットワーク診断のみならず、標的型攻撃、ソーシャル・エンジニアリング・物理セキュリティなどあらゆる監査が実施されます。

色々なカンファレンスを通じてベンダーと色々と話す機会があったため、それらの情報を元に米国でのペネトレーション・テストのやり方についてまとめてみたいと思います。(なお、特定のベンダーについて記載したものではなく、色々なベンダーの特徴を踏まえ、一般化した手法として書いています。)

標的型攻撃診断

日本において、標的型攻撃診断として真っ先に思いつくのは、「標的型攻撃メール訓練サービス」などと呼ばれるユーザの開封率などを視覚化してくれるサービスだと思います。これは、所属組織の従業員が持つ標的型攻撃への耐性を検証するだけでなく、従業員への注意喚起を意図したセキュリティ教育(Security Awareness)の一環として行われることが多いと思います。

当然、これらの教育目的を主としたサービスも多数あるのですが、ペネトレーション・テストとして実施する場合は、少し様子が異なります。

話を聞いた多くの企業でも同じように標的型メールを送るのですが、訓練用ではなく実際のインシデントと同じシナリオでテストを行います。具体的には、以下の通りです。

  • 実際のマルウェアを添付したメールを送る
  • 脆弱性が仕込まれたURLを含むメールを送付する
  • フィッシングサイトへ誘導するURLを含むメールを送付する

その後、ユーザがリンクを踏むと、脆弱性を悪用して端末を掌握してC&Cサーバと通信を発生させたり、フィッシングサイトへ誘導してアカウントを抜いたりし、特定のゴールにたどりつけるまで監査を行うなど非常に実践的な内容で行われます。特定のゴールとは、例えば以下のようなものです。

  • (外部から)ドメイン管理者のアカウントを取得できるか
  • (外部から)クレジットカード情報にアクセスできるか

通常、標的型メールを送付する前に、担当者から社員のメール一覧を受領して実施することが一般的ですが、中には事前調査(Reconnaissance)から実施して攻撃を仕掛けるといった本格的な企業もあり、非常に面白いものでした。

なお、いくつかの会社のサンプルレポートなども見せてもらいましたが、取得したパスワードの統計情報を分析したり、何分間でC&C通信が発生して何分間でドメイン管理者のアクセスまえ到達できたかなど、実際のシナリオをそのまま再現している印象を受けるサービスばかりでした。

ソーシャルエンジニアリング

ソーシャルエンジニアリングもひとつの脅威ベクターとなるため、フルスペックのペネトレーション・テストでは頻繁に実施されます。

会社によって様々なケースがありますが、電話をかけて情報の引き出しを行うVishing攻撃を実施する企業もあれば、USB Drop攻撃をして、誰かが端末を拾ったことを理由に端末を掌握することが可能か検証するなど、実践さながらのテストが多くあります。

物理ペネトレーション・テスト

ソーシャルエンジニアリングの一環として、物理ペネトレーション・テストに近いことをやる企業も存在します。実際に、人の後にくっついて入ったり、宅配業者を装ったり、非常口などを利用して物理アクセスコントロールを突破できるか検証するサービスもあります。内部に入れた場合は、プリンタや役員のオフィスにアクセスできるかまで検証を行うケースもあるそうです。ほかにも、社員証(カードキー)の複製可否を検証するサービスをやるといっていた企業もありました。特に面白かったのが、侵入に成功したあと、役員などのPCに特殊な機器を設置して、情報を盗み出せるかまでやっている企業も存在していることでした。

Red Team Opearation / Service

こちらでよく、「Red Team Operation」・「Red Team Service」という単語を耳にします。どうも詳しく話を聞いてみると、上記のような総合型ペネトレーションテストの場合、従来のペネトレーションテストと区別するために、Red Team OperationとかRed Team Serviceと銘打っているセキュリティ・ベンダーも多いみたいです。*1

Las VegasのカンファレンスでもらったCoalfire社の資料に非常にそのイメージを伝えるに適当な図がありましたので、参考情報として張っておきます。(この会社の品質等はわかりませんが、イメージを説明するにはわかりやすい図だと思います。)

www.coalfire.com

まとめ

米国流ペネトレーションテストの様子を色々聞いていると、かなり本格的な内容に驚かされます。日本でも徐々にこのような総合型ペネトレーションテストが実施されるようになるかと思いますので、今後もこれらの動向に注目していきたいと思います。 

*1:Red Teamのイメージに一番近いのは映画『Sneakers』だと思いますが、彼らは自分たちのテストのことをPenetration Testと呼んでいたので、言葉の定義は変わるもんだとしみじみ思いました。

米国でセキュリティ人材としてスキルアップするには?

エッセイ

米国に赴任して以降、米港における人材育成方法にかなり興味を持って色々見ています。今回のエントリーでは、米国におけるセキュリティ人材の育成方法について書いてみたいと思います。

米国の人材育成の特徴

色々な人に話を聞く限り、米国には(日本人が想像するような)OJTという制度は存在しないと言っても良いと思います。日本では、インストラクターに色々指導を受けながら、時間をかけて育成していくことが一般的だと思いますが、そのような長期的育成という概念はありません。(もちろん、OJTという言葉は英語ですし、似た取り組みはあるかと思いますが、日本の師弟制度的な取り組みから見ればかなりドライですし、やってもかなり短期間の取り組みです。)

業務における教育が充実していない理由は、大きく三つの理由が挙げられると思います。

  • 人材の入れ替わりが激しい
  • 仕事内容がが異なるため、教えることができない
  • Job Security
理由1: 人材の入れ替わりが激しい

第一の理由は、アメリカは人材の流動性が高いので、育成して一人前になる頃には転職するなんてことはよくあります。そもそも長期的に在籍することを前提としていないので、育成にもあまり力をいれる文化がないと思います。(当然入社時研修は長くて半日で終わる程度ですし、e-Learningのことも多いです。逆に手間隙かからずトレーニングできるe-Learningの活用が進んでいると思います。)

少し前の統計ですが、ワシントンDCのセキュリティ人材の失業率は-3%だそうです。こちらでは、少しでも待遇がよくなるようであればすぐに転職しますので、かなりの売手市場です。今お世話になっている会社もセキュリティポジションの募集を行っていますが、良い人材を獲得するのはなかなか大変だと感じています。

理由2:仕事内容が異なるため、教えることができない

第二に、アメリカでは仕事内容(Job Description)がかなり厳密に分かれており、それ以外は基本やらないことが普通です。(雑用は雑用専門の人がいますし、雑用から仕事を学ぶなんていう「見て技を盗む」といった古きよき伝統芸のような考え方はありません。)そのため、そもそも同じ業務をしている人がおらず、教えるに教えられないなどの可能性があります。

理由3:Job Security

第三に、アメリカは人材の流動性が高いと述べたとおりですが、自分でキャリアアップのためにやめる場合もあれば、首になることもあります。そのため、自分の仕事がなくならないようにするため、仕事のやり方を共有しない、必要最低限しか教えないという可能性があります。(全員こういうことを考えているわけではないと思いますが、こういうことを考えて動く人がいるのもまた事実です。これをJob Securityの確保といいます。)

米国でスキルアップする機会は?

アメリカにおいてスキルアップする機会は、二つしかありません。(Off-JTという意味では日本と大して変わりません。)

  • 大学・大学院
  • カンファレンス・トレーニング

大学・大学院

専門的なトレーニングを受ける代表的な機会は大学です。
米国では、大学で何を学んできたかはかなり重要視されます。IT関連の職種であればコンピュータ・サイエンスの学位が必須のケースも珍しくありません。(日本のように、文系でSEになるみたいな日本的なことはまずありません。)そのため、キャリアチェンジしたりキャリアアップするために大学で学びなおす人も多いです。大学側もそのことを理解しており、学位以外にも、Certificateと呼ばれる6ヶ月とか1年で取れるミニ学位みたいなものが豊富に用意されているので、それを取得してキャリアチェンジをする人も多く存在します。実際、私の周りで別の分野からセキュリティの世界にキャリアチェンジした人の多くは、セキュリティに関する学位かCertificateを取得して基礎知識があることを証明して転職している人が多いですね。

私が驚いたのは、米国の大学がかなり職業訓練校として機能している実情でした。日本でも以前、文部科学省の有識者会議において、冨山和彦氏が「一部のトップ校を除いて、ほとんどの大学は職業訓練校になるべき」と発言したことを受けて様々な議論が飛び交いましたが、米国の大学の一部は既に職業訓練校になっていると考えられます。(いわゆるアイビー・リーグなどは話が別かもしれませんが)
president.jp

カンファレンス・トレーニング

もう一つの手段は、カンファレンスなどに参加する方法です。ある程度キャリアがある人が最新知識をキャッチアップするために参加したり、新しい人が知識を吸収するために来ます。但し、会社が費用を負担してくれないこともあるため、SANSなどではWork Studyプログラムというプログラムなどが存在します。簡単にいえば、ボランティアをする代わりに安く研修を受けられる制度です。ちなみに、何を学んだかが重要となるのはトレーニングも変わらないため、学んだことを証明する手段として資格が存在し、資格が存在する場合はみんな資格を取ることが一般的です。

その他(資格と職種)

米国では仕事は厳密に細分化されていますが、各仕事ごとにきちんと資格が存在している点が印象的です。例えば、以下の通りです。各仕事に対する専門的知識を持っていることを示すため、各種資格が用意されているという印象です。

内部監査 CISA(Certified Information Systems Auditor)・CIA(Certified Internal Auditor)
PM (Project Manager) PMP(Project Management Professional)
BA (Business Analyst) CBAP(Certified Business Analysis Professional)
BCP(事業継続計画) CBCP(Certified Business Continuity Professional)

まとめ

米国の人材育成状況についてご理解いただけたでしょうか。大学が職業訓練に大きく影響を与えていることは、私にとってはかなり意外でしたが、文化によって育成方法も違うことが非常に良くわかりますし、アメリカにおける人材育成について知ると色々と面白い発見があります。