セキュリティアナリストってどんな仕事? - 「IIJ Technical NIGHT Vol.9」が開催


●SOCって知ってますか
インターネットイニシアティブ(IIJ)は9月11日、エンジニア向けの勉強会イベント「IIJ Technical NIGHT vol.9」を開催した。9回目となる今回は、IIJが誇るセキュリティーオペレーションセンターのアナリストたちが、実際にインシデントを発見・分析するためにどのような取り組みをしているかの紹介がされた。

エンジニア向けの勉強会として、いつもディープな内容が語られるTechnical NIGHTだが、今回は昨今の新型コロナウイルス流行もあって、初のオンライン開催となった。今回は3人の講演者がそれぞれ録画で講演を行い、後半に生中継で質疑応答を兼ねた座談会という流れになった。

司会はいつもの堂前清隆氏…と思いきや、なんとVtuberノリのバーチャル美少女姿で登場。これには視聴者も大ウケだったようだ。

さて、IIJの社内には、セキュリティ本部 セキュリティビジネス推進部の下に「セキュリティオペレーションセンター」(SOC)と呼ばれる部署があり、24時間・365日体制でアナリストが駐在し、IIJが提供しているネットワークサービスに対する攻撃やマルウェアなどの監視と分析を行っている。今回はこのSOCに勤務するアナリスト3人が登場して、実際にどのようにインシデントを見つけ、解析するのか、またどんなツールを使っているかを解説してくれた。

一番手に登場したSOCの古川智也氏は、「あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて ~」と題して、マルウェア「Emotet」を例に、実際の発見手順を紹介してくれた。

マルウェアを検出するにあたり、基本的には各サービスやそこで使用されている機器のログを調べていく。どんなマルウェアでも、マルウェアが指令を受けるためのC2サーバ(指令サーバ)のドメインだったり、マルウェア自身のハッシュ値などの痕跡(IoC)を残す。こうした痕跡を探していくのがリアルタイムでの分析だが、マルウェアは改変も頻繁に行われるので、残す痕跡も変わりやすい。だが必ず複数の痕跡を残すし、改変されても一部はそのまま残されることも多いため、そういった痕跡を見逃さないこと、またあらかじめ複数の分析ルールを作成しておき、検知漏れを防ぐのが重要だという。ここで実際にマルウェア「Emotet」を検出する際に、どのような偽装をしているかや、その見分けかたなどが紹介された。

また外部の脅威情報を収集し、最新のIoC情報にアップデートするのが重要だが、これについては脅威情報サイトのほか、Twitterでの脅威報告が最も速いという。1日のうち、大半をこうしたIoC情報の収集に費やすこともあるそうだ。

●マルウェアのふるまいをAIで検知
続いての講演は「セキュリティとAIと私」と題し、SOCの守田瞬氏が行った。守田氏は通信ログの中からマルウェアが行なっている通信を効率的に見つけ出すために、AI(機械学習)の手法を使って、データ分析を起点とした脅威の検知・分析について研究している。

マルウェアの攻撃はマルウェア自体の更新によって接続先が変わるため、定型化することが難しい。そこで、たとえばC2通信の場合は通信自体の振る舞いから学習させて検知することで、未知の通信先情報であっても検知が有効になるようにしているという。

また、DDoS攻撃の一つである「SYN/ACK Reflection攻撃」については、ウェブサーバーなどをリフレクター(反射板)として、偽装したパケットを送って標的に大量のパケットを送って処理能力を飽和させる攻撃だが、リフレクターを一つだけ監視していても攻撃に気づきにくい。そこで多くのリフレクターの送信ログを元に、攻撃を可視化し、ログの詳細分析による検知ロジックの定式化によって検知処理の自動化を果たしているという。

守田氏はもともと光学シミュレーション(レイトレーシング)の研究から機械学習、データ解析という道筋を経てIIJ入りしたということで、当初はドメイン知識(ネットワークやセキュリティ関連)もなかったが、IIJのSOCでは専門知識を生かしてチャレンジングに活動でき、自分の専門以外にドメイン知識となる技術も習得できるところが魅力だと語った。

●SOCのインシデント調査システムはどんなの?
続いてSOCの熊坂駿吾氏より、「インシデント調査システムが内製すぎる件 ~ CHAGEのご紹介 ~」と題して、SOC内部で使用しているツールの紹介があった。

SOCの中ではアナリストが大量のログを分析してマルウェアの痕跡を探すが、効率的にデータを解析するために、IIJのSOCでは「CHAGE」というシステムが利用されている。この「CHAGE」は、断片的、あるいは関係の薄そうな複数の情報を元に機密情報を引き出す「オープンソースインテリジェンス」(OSINT)という手法を支援するためのシステム。具体的には、攻撃元のIPアドレス(ドメインA)から、次の攻撃元になりうるドメインBを割り出し、ツリー状に表示することができる。

この割り出し自体は既存のコマンドを使ってもできるのだが、CHAGEではこの検索を極めて高速に、数十万件の中から20秒程度で行える。検索で20秒というと、Googleなどと比べてかなり遅く感じられるが、データベース内の検索でほとんどが完了するウェブ検索と異なり、実際にインターネットへ接続しての検索になるCHAGEで10~20秒というのは、かなり高速な部類に入る。

熊坂氏によると、CHAGEの規模の検索を普通に実行した場合、5時間以上かかるという。それを10秒程度に短縮するには並列化が必要で、2,000並列にすれば9.5秒程度まで縮められる。ただしそんな並列検索ができる市販のリレーショナルデータベースは存在しないため、データベースも内製化してしまった。それが「ASKS Framework」という仕組みだ。

講演はここでタイムアップとなってしまったため、詳細はウェブで…ということで、昨年12月に熊坂氏がIIJのエンジニアブログで公開した一連の記事を紹介しておくが、このようにSOCには純粋なアナリストだけでなく、各アナリストの日常の作業を軽減・効率化するためのツールを開発する人材まで揃っており、強力な体制が敷かれていることがわかった。

●楽しめるからアナリストの激務も続けられる

最後に、座談会形式で、Twitterで寄せられた質問に答えるコーナーが設けられた。「SOCで働いていて楽しいことは」、という質問については、各々「分析している最中が楽しく、自分の考えたアプローチが正しかったときが最高」(守田氏)、「ルールが実装されて、実際に脅威を検知できたときがうれしい」(古川氏)、「CHAGEを使ってくれているとわかるとうれしい」(熊坂氏)など、みな自分の仕事が実ったり、役に立った瞬間が楽しいとのこと。

「SOCのアナリストになるにはどうしたらいい?」という質問については、「やりたいこと(データ分析)をやっていたら自然と仕事になった」(守田氏)という。3人ともSOCでの仕事は大変だがやりがいがあると感じられているようで、興味がある・好きな分野だからこそ大変な仕事もこなせてしまうという、エンジニア気質に溢れた回答が印象に残った。

IIJでは本稿で紹介したTechnical NIGHTに加え、「IIJ Technical DAY」や「IIJmio meeting」など、同社のエンジニアとユーザーが交流する機会を随時開催している。昨今は感染症予防の事情もあってウェブ配信で行われているが、逆に距離的な障壁がなくなり、参加しやすくなった面もある。興味のある方はぜひ一度ご覧になってはいかがだろうか。

あなたにおすすめ

ランキング

ランキングをもっとよむ

注目ニュース

注目記事をもっとよむ

あなたにおすすめ