営業からセキュリティエンジニアに転身した私の2024年の目標
はじめに
はじめまして。某SIerでセキュリティエンジニアをしているnakajimeeeeと申します。節目に目標を立てると、その目標を達成しやすくなるという研究結果を耳にしたため、今年の目標をnoteに残そうと思います。また、自分自身を律するという意味でも、このような形で公開することに大きな価値があると考えています。
自己紹介
自己紹介は以下の通りです。現在は、サイバーセキュリティ部隊の中で、脅威情報の高品質化を中心とした業務に従事していますが、将来的には、ペネトレーションテストやレッドチーム演習に従事したいと強く考えています。
経歴
2016年~2017年 画像認識と自然言語処理の研究に従事
2018年~2019年 大学院にて、MEMSの研究に従事
2019年4月 某Sler入社
某省の新規営業
AI/機械学習およびサイバーセキュリティ関連の案件に従事
2020年4月 日本ディープラーニング協会(JDLA)に参画(兼業)
人材育成担当
G検定部会メンバー
2023年 同社のサイバーセキュリティ専門部署へ異動
OSINTチーム
脅威情報(IoC)の高品質化に従事
取得資格
CISSP(Certified Information Systems Security Professional)
情報処理安全確保支援士
統計検定1級
将来的に従事したい業務
ペネトレーションテスト
レッドチーム演習
2024年の目標
将来的に従事したい業務である”ペネトレーションテスト”や”レッドチーム演習”から逆算して、2024年の目標を定めたいと思います。その前に、当該業務にどのようなスキルが必要になるのか、レッドチームに所属する方の記事を参考に洗い出し、自分の現状分析したいと思います。
必要なスキル
Offensive Mindset
攻撃的な考えの理解
Penetration Testing
Vulnerability Research
レッドチームとして独自0day脆弱性の発見
Development
DevOpsを意識した開発
Infrastructure
C2等のインフラ構築
IaCを用いたインフラの管理
Networks and Systems
攻撃対象となるネットワークやシステムの理解
Reverse Engineering
マルウェアを含むアプリケーションやプロセスの分析
Social Engineering
人々の心理的な部分の理解
初期アクセスで使われるフィッシングメール等の作成
Physical Security
ピッキング等による物理的セキュリティの回避
Threat Inteligence
複数のソースから脅威アクターのTTPや動機等の情報を収集
収集した情報から、攻撃シナリオを設計
Detection and Response
攻撃の検知およびインシデント対応を実行するブルーチームの理解
Technical Writing
レッドチーム演習におけるリスクや得られるメリットの記述
レッドチームが業務に使用するツールやプロセスの文書化
コンサルタントとして、クライアントに価値あるレポートの提供
Training and Devriefing
レポートを用いた一連のイベントに対する説明の提供
知識やノウハウをカプセル化し、トレーニング環境へ提供
現状分析
上記で洗い出したスキルは多岐にわたるため、(個人的な意見として)重要性や取り組みやすさ等の観点から、以下5つのスキルをピックアップし、これらのスキルについて、現状分析をします。
Penetration Testing
TryHackMeやHackTheBoxでの経験から、ペネトレーションテストの
流れや基本的なツール等は把握している攻略してきたマシンはLinuxが中心であるため、Windowsマシンの知識が不足している
アンチウイルスをはじめとして、基本的なセキュリティ製品の回避方法についての知識がほとんどない。もちろん、モダンなセキュリティが整備された環境についてはなおさら。
クライアントの環境に対して、テストを実施した経験がなく、サービスの可用性等を考慮した攻撃方法の知識がない
Vulnerability Research
ソースコードが開示されたOSSに対して、以下の脆弱性を発見し、CVEを発行中(開発者との合意は得ている)
(制約がある環境下における)任意のコード実行
Regular Expression DoS
危険な関数が使われていることを起点に脆弱性を探した経験しかない
Detection and Response
ブルチームが使うツールやイベントログ等の知識がほとんどない
どのようなプロセスで攻撃を検知/対処しているか把握できていない
Technical Writing / Training and Devriefing
文章や説明が冗長になってしまう癖がある
メリットデメリット等を簡潔かつ分かりやすく記述するのが苦手
想定読者や聴講者に合わせた文章や説明がやや苦手
目標
上記の分析をもとに、各トピックについて、2024年の目標を設定します。
なお、なるべく定量的な評価が可能なように目標を設定しています。
Penetration Testing
HackTheBoxにて、”Elite Hacker”となる(現在は、Hackerであり、Elite Hackerは二つ上のランク)
Windowsマシンを”30台”攻略する
OSCPに合格する(OSEPにも取り組むが、合格は必須ではない)
Vulnerability Research
OSSのCVEを”10件”取得する
バグバウンティプラットフォーム(HackerOne等)でのブラックボックス環境における”5件”の脆弱性報告
Detection and Response
TryHackMeでのSOC Level 1,2をクリアする
HackTheBoxでのSherlocksをEasy/Mediumをクリアする
Technical Writing / Training and Devriefing
月2件のアウトプット(技術トピックや分量は問わない)
実際のレポートを意識して、エグゼクティブサマリを付ける等の工夫に
より、5分程度で読むことのできるアウトプットにする
最後に
こちらで設定した目標に沿って、日々努力いたします。業務経験がない以上、レッドチーム演習に参画するためには、CVEやOSCP等の客観的な指標が非常に重要と考えているので、そこを”強く”意識した一年としたいです。ここまでお付き合いいただきありがとうございました。何かの参考になれば幸いです。