セキュリティエンジニアの業務内容についてご存知でしょうか?実はセキュリティエンジニアだけでは、業務を特定できません。(「何かしらのセキュリティに関わるエンジニア」までは分かりますが)
セキュリティエンジニアの具体的な業務内容を解説したいと思います。
目次
1.脆弱性診断
脆弱性診断とは、システムなどにセキュリティの欠陥がないか調査する業務です。脆弱性診断は、診断対象によって名称が変わり、以下の種類があります。
1.プラットフォーム脆弱性
プラットフォーム脆弱性診断は、OS、ミドルウェア、ネットワーク機器などを対象に診断します。Nessus、nmap、nikto、hydra、Metasploitといったツールが主に使われます。検出される脆弱性としては、「ミドルウェア等に紐づく固有の脆弱性」、「危殆化した暗号アルゴリズムの使用」、「DNSのゾーン転送が可能」などが挙げられます。
Nessusのpluginは公開されているので、こちらを確認するとどういった脆弱性が報告されるかイメージしやすいかもしれません。
https://www.tenable.com/plugins
2.webアプリケーション脆弱性診断
weアプリケーション脆弱性診断は、webアプリケーションを対象に診断します。Burp suite、Vex、Appscan、sqlmapといったツールが主に使われています。
診断の基準としては、Owasp Top10を参考にされることが多いです。Owasp Top 10は、特に危険度が高い脆弱性についてまとめられたレポートです。Owasp Top 10は不定期に更新されています。
https://owasp.org/www-pdf-archive/OWASP_Top_10-2017(ja).pdf
webアプリケーションの脆弱性診断に興味がある場合は、portswiggerが公開しているWeb Security Academyがお勧めです。脆弱性が組み込まれたwebサーバに、実際に攻撃して学習することができます。
https://portswigger.net/web-security
2.セキュリティの監視
サイバー攻撃は24時間行われるため、常に監視が必要です。一般企業が24時間監視をすることは少なく、外部のベンダーに外注します。その外注先で、SOC(Security Operation Center)と呼ばれる部門が監視をしています。
監視では、IDS、 IPS、SIEM、EDRと呼ばれる製品などが検出するアラートを分析します。誤検知なのか、危険度が高い事項なのかなどを分析します。
3.フォレンジック
フォレンジックとは、サイバー攻撃が行われたと判断した後に、機器のログなどからどういった攻撃(情報の搾取など)がされているか解析する業務です。
セキュリティの監視をしていても、実際にどのような被害に合っているか判断することは難しく、被害に遭った端末の解析が必要となります。
4.セキュリティ製品の導入
IDS、IPS、FW、SIEM、EDR、CASBといったセキュリティ製品の導入の仕事があります。ユーザ企業が自身で導入するというのはあまりなく、Nierに依頼することが多いです。
5.セキュリティの企画
社内SE(ユーザ企業でのセキュリティ部門)の場合は、自社のセキュリティをどのように強化するか検討する業務もあります。自社だけで検討するだけではなく、外部のベンダーに相談する企業もあります。実際に構築するのは外部ベンダーに任せて、プロジェクトの管理や社内の調整が主になると思います。
6.最後に
セキュリティ関連の業務は幅広くあります。自身がしたい業務に合った努力をしないと意味がないので、セキュリティの中でどのような業務をしたいか考えることが大事です。
「SANS」が公開している「Cyber Security Skills Roadmap」は習得したいスキルによって、SANSのどのトレーニングを受講すればいいか記載されています。ト
レーニング費用は高額なので受講するのは難しいですが、トレーニングの内容が公開されているので、具体的にどういった勉強をしたらいいかの参考になります。
https://www.sans.org/cyber-security-skills-roadmap