先日発売された『Software Design 2025年3月号』をもって、全8回構成の『基礎からわかるDetection Engineering』の連載が終了しました。
本日(2月18日)は、『Software Design 2025年3月号』の発売日です。
— SoftwareDesign (@gihyosd) 2025年2月18日
先日よりお伝えしていた、「コードエディタ大研究」を総力特集でお送りします。
・拡大版大特集「コードエディタ大研究」
[Part1]人気のエディタの魅力を深掘り
[Part2]エディタを極める理由
・特別企画「containerd… pic.twitter.com/0TAbKJvFA9
2024年8月号から連載を開始したのですが、あっという間に駆け抜けた8か月+αでした。
本ブログでは、簡単に振り返り( をしたいと思います。
どんな連載をしたの?
連載の概要は、以下の通りです。
Detection Engineeringの定義やプロセス、「Detection as Code」の具体的な実装方法、検知ルールの評価技法、CI/CDへの統合などDetection Engineeringを考える上で必要な要素を解説できたと感じています。
|
第1回 |
Detection Engineering の理論と概論 |
Detection Engineeringの定義、必要性、特徴を説明するとともに、脅威インテリジェンス、パープルチームなど、関連する概念と比較してDetection Engineeringの位置づけを説明しました。 |
|
第2回 |
Detection Engineeringプロセス |
Detection EngineeringプロセスであるDR-DLCプロセス(特定、方針策定、作成、テスト、リリース、展開、実行、モニタリング)の各フェーズを紹介しました。 |
|
第3回 |
Detection as Code――YARA |
YARAの文法・応用手法について、具体例を使いながら説明しました。 |
|
第4回 |
Detection as Code――SIGMA |
SIGMAの文法、応用手法について、具体例を使いながら説明しました。 |
|
第5回 |
検知ルールの評価と |
良いDetection Engineering Programを示す3種類の指標を示すとともに、「検知」に関連する各種概念(検知スペクトラム、検知ドリフト)、検知ルールの3種類の拡張技法について説明しました。 また、3M+Cフレームワークとその特徴について説明し、メトリクスとモニタリングについて解説を行いました。 |
|
第6回 |
検知ルールの評価と |
TTPsとMITRE ATT&CKフレームワークを説明するとともに、メンテナンス、継続的検証について解説しました。また、Detection Engineering Programを改善するための成熟度メトリクスの紹介を行いました。 |
|
第7回 |
CI/CDパイプラインによる自動化 |
Detection EngineeringでCI/CDパイプラインが必要になる理由を示すとともに、具体的な実装手法やハンズオン事例を示しました。 |
|
第8回 |
Detection Engineeringのまとめと補論 |
Detection Engineeringの理論を総括するとともに、MITREが発表した「Summiting the Pyramid」理論について説明しました。 |
執筆のきっかけは?
もともと、Detection Engineeringについて興味があり、海外書籍や海外講演を中心に研究を進めていたところ、Software Designの編集者の方より、連載の機会をいただき、執筆することができました。
研究をしていく中で、「この本/講演のこの部分は重要だな(あるいは、納得できないな)」とか「この考え方Aと考え方Bは一緒に整理したほうがわかりやすそうだな」とか色々と整理できたため、試行錯誤しながらDetection Engineeringについて体系的に言語化できたことは非常にありがたい機会でした。
執筆の大変さは?
雑誌連載は今回初めてだったこともあり、実際の執筆の大変さは想像以上でした。
NFLabs.のブログと同じように、筆者も「まぁ連載といっても1ヵ月スパンだし全然余裕あるでしょう」と高を括っていましたが、本当に大変でした(このブログを事前に読んでもなお、高をくくっていました。締切ギリギリになり、関係者の皆様本当にすいませんでした)。
大変だった理由は、個人的には大きく3つあります。
(1)限られた執筆時間
第一に書籍などと比較して執筆時間が短いことが挙げられます。改めて本・論文・講演などを見直しながら記載したため、締切を踏まえると執筆に充てられる時間はどうしても限られてしまいます。また、上記のNFLabsのブログでも詳しく解説されていますが、基本的に記事が書き終わると次の記事の準備を始めないといけないので、学生の実験レポート提出モードになっていました*1(小学生みたいな感想ですが、「週刊連載を持つ漫画家・小説家って本当にすごいんだな」と改めて思いました)。
(2)限られた紙面
第二に、8~10ページの紙面に一つのテーマについて過不足なく盛り込むことの難しさです。雑誌の特徴として、紙面が限られている、図・表を挿入できるスペースも限られたという制約がある中で、テーマを正確に伝えるのは特に難しい作業でした。特に仕事が落ちついて余裕があるときほど、色々盛り込みたい内容がでてきてしまい、大量に書きすぎて、後々整合性を担保しながら泣く泣く削る、何が伝えたいかぼやけた文章が多いなど、校正作業が大変でした。
(3)世間の関心度?
「記事を書くからには、読んでもらいたい」というのが執筆者全員の本音だと思うのですが、Detection Engineeringという分野にどこまで世間で関心を持たれているのか著者自身もわかっていない部分があり、ぼっち・ざ・ろっく!のワンシーンにもあるように「雑誌の読者に不快感を与えたで賞」*2をいただかないか正直不安でしたが、雑誌の最後にある「Reader's Link」(感想・お便りコーナー)で「おもしろい」といった反応をいただけたことは筆者としては非常にうれしい限りでした。改めて、感想寄せていただいた皆様、ありがとうございます。
おわりに
今回初めて連載記事に取り組んでみましたが、あっという間の8か月でした。Detection Engineeringはこれからも関心がもたれる分野だと思いますので、ぜひこの記事が皆様の参考になれば幸いです。
また、Detection Engineeringの概要については、『2025年 TMCIT × 大和セキュリティ DFIR忍者チャレンジ 開催』で講演した資料を公開しておりますので、興味がある方はこちらもご覧ください(そして、更に深く知りたいことはぜひ記事を読んでください!)
また、最後に、本連載の執筆にあたり編集、デザイン、校正など、様々なサポートをしていただいた技術評論社様にはたいへんお世話になりました。この場を借りてお礼申し上げます。
*1:毎回かなりドタバタだったので、改めて松尾先生が書かれた論文『なぜ私たちはいつも締め切りに追われるのか』を読み直そうと思います。
*2:元ネタ:https://x.com/mangatimekirara/status/1582206339102650368
