営業からセキュリティエンジニアに転身した私の2024年の目標


はじめに


はじめまして。某SIerでセキュリティエンジニアをしているnakajimeeeeと申します。節目に目標を立てると、その目標を達成しやすくなるという研究結果を耳にしたため、今年の目標をnoteに残そうと思います。また、自分自身を律するという意味でも、このような形で公開することに大きな価値があると考えています。

自己紹介


自己紹介は以下の通りです。現在は、サイバーセキュリティ部隊の中で、脅威情報の高品質化を中心とした業務に従事していますが、将来的には、ペネトレーションテストやレッドチーム演習に従事したいと強く考えています。

経歴

  • 2016年~2017年 画像認識と自然言語処理の研究に従事

  • 2018年~2019年 大学院にて、MEMSの研究に従事

  • 2019年4月 某Sler入社

    • 某省の新規営業

    • AI/機械学習およびサイバーセキュリティ関連の案件に従事

  • 2020年4月 日本ディープラーニング協会(JDLA)に参画(兼業)

    • 人材育成担当

    • G検定部会メンバー

  • 2023年 同社のサイバーセキュリティ専門部署へ異動

    • OSINTチーム

    • 脅威情報(IoC)の高品質化に従事

取得資格

  • CISSP(Certified Information Systems Security Professional)

  • 情報処理安全確保支援士

  • 統計検定1級

将来的に従事したい業務

  • ペネトレーションテスト

  • レッドチーム演習

2024年の目標


将来的に従事したい業務である”ペネトレーションテスト”や”レッドチーム演習”から逆算して、2024年の目標を定めたいと思います。その前に、当該業務にどのようなスキルが必要になるのか、レッドチームに所属する方の記事を参考に洗い出し、自分の現状分析したいと思います。

必要なスキル

  1. Offensive Mindset

    • 攻撃的な考えの理解

  2. Penetration Testing

  3. Vulnerability Research

    • レッドチームとして独自0day脆弱性の発見

  4. Development

    • DevOpsを意識した開発

  5. Infrastructure

    • C2等のインフラ構築

    • IaCを用いたインフラの管理

  6. Networks and Systems

    • 攻撃対象となるネットワークやシステムの理解

  7. Reverse Engineering

    • マルウェアを含むアプリケーションやプロセスの分析

  8. Social Engineering

    • 人々の心理的な部分の理解

    • 初期アクセスで使われるフィッシングメール等の作成

  9. Physical Security

    • ピッキング等による物理的セキュリティの回避

  10. Threat Inteligence

    • 複数のソースから脅威アクターのTTPや動機等の情報を収集

    • 収集した情報から、攻撃シナリオを設計

  11. Detection and Response

    • 攻撃の検知およびインシデント対応を実行するブルーチームの理解

  12. Technical Writing

    • レッドチーム演習におけるリスクや得られるメリットの記述

    • レッドチームが業務に使用するツールやプロセスの文書化

    • コンサルタントとして、クライアントに価値あるレポートの提供

  13. Training and Devriefing

    • レポートを用いた一連のイベントに対する説明の提供

    • 知識やノウハウをカプセル化し、トレーニング環境へ提供

現状分析

上記で洗い出したスキルは多岐にわたるため、(個人的な意見として)重要性や取り組みやすさ等の観点から、以下5つのスキルをピックアップし、これらのスキルについて、現状分析をします。

Penetration Testing

  • TryHackMeやHackTheBoxでの経験から、ペネトレーションテストの
    流れや基本的なツール等は把握している

  • 攻略してきたマシンはLinuxが中心であるため、Windowsマシンの知識が不足している

  • アンチウイルスをはじめとして、基本的なセキュリティ製品の回避方法についての知識がほとんどない。もちろん、モダンなセキュリティが整備された環境についてはなおさら。

  • クライアントの環境に対して、テストを実施した経験がなく、サービスの可用性等を考慮した攻撃方法の知識がない

Vulnerability Research

  • ソースコードが開示されたOSSに対して、以下の脆弱性を発見し、CVEを発行中(開発者との合意は得ている)

    • (制約がある環境下における)任意のコード実行

    • Regular Expression DoS

  • 危険な関数が使われていることを起点に脆弱性を探した経験しかない

Detection and Response

  • ブルチームが使うツールやイベントログ等の知識がほとんどない

  • どのようなプロセスで攻撃を検知/対処しているか把握できていない

Technical Writing / Training and Devriefing

  • 文章や説明が冗長になってしまう癖がある

  • メリットデメリット等を簡潔かつ分かりやすく記述するのが苦手

  • 想定読者や聴講者に合わせた文章や説明がやや苦手

目標

上記の分析をもとに、各トピックについて、2024年の目標を設定します。
なお、なるべく定量的な評価が可能なように目標を設定しています。

Penetration Testing

  • HackTheBoxにて、”Elite Hacker”となる(現在は、Hackerであり、Elite Hackerは二つ上のランク)

  • Windowsマシンを”30台”攻略する

  • OSCPに合格する(OSEPにも取り組むが、合格は必須ではない)

HackTheBoxのランク

Vulnerability Research

  • OSSのCVEを”10件”取得する

  • バグバウンティプラットフォーム(HackerOne等)でのブラックボックス環境における”5件”の脆弱性報告

Detection and Response

Technical Writing / Training and Devriefing

  • 月2件のアウトプット(技術トピックや分量は問わない)

  • 実際のレポートを意識して、エグゼクティブサマリを付ける等の工夫に
    より、5分程度で読むことのできるアウトプットにする

最後に

こちらで設定した目標に沿って、日々努力いたします。業務経験がない以上、レッドチーム演習に参画するためには、CVEやOSCP等の客観的な指標が非常に重要と考えているので、そこを”強く”意識した一年としたいです。ここまでお付き合いいただきありがとうございました。何かの参考になれば幸いです。

いいなと思ったら応援しよう!