シスコのセキュリティ アナリストの仕事 (翻訳)

    本ページは、英語ページを翻訳したものです。

     

    シスコのセキュリティ アナリストの仕事

     

    Mike Adler

    脆弱性や脅威など、世界中で検出されるセキュリティ 事象は増加しており、数、影響、多様性、複雑性は進化の一途を辿っています。こうした傾向と表裏一体で存在するのが、報告されない、または検出されない事象です。これらは検出を逃れてひっそり隠れながらその出番を待っています。では、私たちが手にしているあらゆるセキュリティ技術は、効果的な保護を提供するのに十分なのでしょうか。まず必要なのは、正しく適用することです。この課題に対する Cisco Security Intelligence Operations(SIO)のアプローチについては、Network World 誌の特集記事「Inside Cisco global security operations(シスコのグローバル セキュリティ オペレーションの内部に迫る)」にて概要が紹介されています。しかし、中核となる人的要素として注目されるべき役割は、ここで取り上げるセキュリティ アナリストです。この記事ではその他にも、この仕事に興味のある方に向けて、IT セキュリティ分野で働くための情報をいくつかご紹介します。

    シスコには、IntelliShield セキュリティ アナリストと呼ばれるフルタイムのセキュリティ アナリストのチームが在籍しており、セキュリティ 事象の分析に 24 時間 365 日対応しています。IntelliShield セキュリティ アナリスト チームは、SIO や外部ソースのデータや情報を調査、分析、統合、相関付けて、自動化された Cisco Security IntelliShield Alert Manager Service を構築します。このほか、IntelliShield セキュリティ アナリストは週に 1 度のサイバー リスク レポート、シスコのセキュリティ ブログやシスコ セキュリティ レポートに貢献するほか、複数のセキュリティ ワーキング グループや組織でシスコを代表する役割を担います。

     

    次の質問と回答は、IntelliShield セキュリティ アナリスト チームとのインタビューから抜粋したものです。IntelliShield セキュリティ アナリストの日常を詳しくご紹介します。

     

     

     

    IntelliShield セキュリティ アナリストにはどのような経歴が求められますか。

    求められる技術的経歴にはさまざまなものがあります。複数のシステムについて幅広い知識のある人は、ぴったりです。技術面では、さまざまなテクノロジーや環境に接してきたシステム管理者やネットワーク管理者などの経験は活かすことができるようです。こうした職種の方は、IT セキュリティ プラクティスのさまざまな側面に直接的または間接的にさらされてきた経験もあります。技術以外では、シスコの幅広いカスタマー ベースに対応する上で、書面/口頭でのコミュニケーションや、さまざまなチームと組んでコラボレーションする経験が役に立ちます。

     

    迅速な対応の秘訣を教えてください。

    主な方法は、チームの上級メンバーによる指導です。また、チーム内で新規メンバーと上級メンバーが継続的にコラボレーションすることで、技能が磨かれ、向上し、スピードへとつながります。このほか、理解し適用する必要のある業界固有の知識やプラクティスもあります。

     

    この仕事で最も気に入っている点を教えてください (この仕事を選んだ理由など)。

    毎日違うことをたくさんやることができる点です。非常にダイナミックだと思います。発生する新規イベントはいつも興味深く、発見された方法を知ることや詳細なレベルでの調査はまるで探偵のようです。また、他の人が気付かなかったセキュリティ イベントに対応するなど、監視することで他の人を助けられる機会があります。

     

    主な日常業務をいくつか教えてください。

    主な業務は、インテリジェンス サイクルを中心に進められます。つまり、収集(ソースの監視と認識)、処理(調査と優先順位付け)、分析(コラボレーションと検証)、レポート、そして収集した情報を現在の業務に合わせることでこのサイクルを終了させます。日常業務には、常時流れる情報、データ、イベントの処理と、変更に対する調整が含まれます。このサイクルでは、Cisco Product Security Incident Response TeamIPS Signature Development Team など、シスコの複数のグループが提供する情報を利用して、その要件をベースにアラートを記述することも含まれます。

     

    1 日はどのように始まるのですか。

    インターネットは眠りません。そのため、まずは前日のフローに戻り、発生したイベントすべてを確認することから 1 日が始まります。典型的な業務には、ソース情報の確認と実施すべきアクションの決定があります。たとえば、脆弱性アラートを書面化する必要があると判断したら、仮スコアを割り当てて作業アイテムとしてマークし、必要に応じて作業アイテムの処理を開始します。

     

    業績を上げるための重要な側面(質的または量的など)を教えてください。

    それは、セキュリティ情報の品質と適時性に注力することです。IntelliShield は膨大な脅威や脆弱性情報を提供するため、このことは課題となっていますが、それでも私たちはこの両方を実現します。アナリストは、適時性と高品質レポートの提供において適度なバランスを取りながら対応しています。適時性がなければ、情報は役に立たなくなります。しかし、イベントを考察する経験および知識の豊かな人材だけが提供できる高い品質を実現するために、十分な時間を取りたいとも考えています。こうした適時性と品質のバランスをとることは常に難題ですが、業績向上の鍵でもあります。

     

    チーム メンバー、またはチームの業務に依存している人たちと仕事をする上で、特に重要な側面はありますか。

    コミュニケーションとコラボレーションは不可欠な要素です。さらに、最新のイベントを把握しておくことも常に意識しています。こうした分野は、他のセキュリティ分析業務に直接関わってきます。

     

    自分の業務を最適化したいと考えている人たちに向けて、皆様の経験を元に何かお勧めすることはありますか。

    インターネットには、不完全かつ不正確で、検証されてもおらず、まったくもって正しくない、悪意のある情報が多くあります。情報を活用するときは、より慎重に見定める必要があります。重大なセキュリティ分析の決定を最初に正確に行うためには、情報やソースの信頼性を確認したり、一般的には複数ソースを検証し、決定を行う前にその情報が信頼できるか判断します。情報は入念に検証し、相当な疑いをもって接してください。分析は一貫性と徹底性をもって書面化します。そして、対象者がアクセスできるようにします。担当のシステムやアプリケーションについて、最新情報を入手してください。多くの不正行為は古いシステムやアプリケーション、またはパッチを当てていないものに対して行われます。

     

    IntelliShield セキュリティ アナリストの業務以外で好きなことは何ですか。

    多彩な才能を持ったこのチームは、仕事も遊びも思い切り楽しんでいます。オフタイムはさまざまなことに没頭しています。たとえば、家族とできるだけ多くの時間を過ごしたり、日曜大工に励んだり、ハーレーダビッドソンでツーリングしたり、ロッククライミングや読書、ボード ゲームやビデオ ゲーム、運動したりと、さまざまです。

    今後の記事では、Cisco Product Security Incident Response Team(PSIRT)のインシデント マネージャ、セキュリティ インテリジェント エンジニアのほか、IPS シグニチャ開発者など、その他の主なセキュリティ管理の仕事を同様の観点から取り上げたいと考えています。