攻撃者目線を知り、真のセキュリティ体制を構築 - LegalOn Technologies 研修事例

藤原： LegalOn TechnologiesのIT＆セキュリティ部門でITガバナンス担当を務めております藤原 糸織と申します。主にコーポレート関係のセキュリティと、開発部門と連携したプロダクトのセキュリティを担当しています。

ITガバナンスグループ内には、セキュリティ監査チームと、ISO27001 (ISMS) などの認証取得をサポートするチームの二つがあり、私は現在、両方のチームに携わっています。

藤原： はい。私個人としては、まずセキュリティ担当になってまだ約1年という状況でしたので、会社としてセキュリティ担当がやるべきことの中に脆弱性診断が含まれているものの、その具体的な実施方法や、診断結果をリスク管理にどう落とし込んでいくべきかが手探りの状態でした。

ウェブサイト等でたくさん調べてはいたのですが、具体的に「脆弱性診断」が裏側で何をしているのか、どのように診断が行われているのかということが全く想像できていませんでした。

そのため、外部の診断ベンダーさんとの会話や、診断が完了した後の開発部門とのやり取りにおいても、ふわっとした抽象的なことしか理解できていないという状況に、私自身も課題感を強く持っていました。

藤原： セキュリティチームから依頼する年に1回の定期脆弱性診断や、新しい機能のリリース・アップデートがある際に必ず行うアドホックな診断を、外部ベンダーに依頼して実施しています。

ただ、プロダクトが増加しているフェーズでしたので、脆弱性診断を全て外部に依頼するのではなく、一部を内製化できる体制を整える必要性を感じていました。開発チームからも「コーディング段階や、プロダクトをそもそも外部に出す前に、自分たちでこの部分だけはチェックしておかないといけないよね」という話が出始めていた時期でもありました。

藤原： はい、その通りです。私個人の課題感と、会社全体、特に開発部門が持っていた課題感が、ちょうど同時期に重なっていたんです。

そのような状況でSecDevLab研修のお話をいただいたので、「これはぜひ受講してみたい」と強く感じました。

藤原： はい。まず私の状況として、昨年セキュリティ担当になると決まりました。

その時点では、セキュリティのざっくりとした内容や、会社でやるべきセキュリティの立ち位置を理解することくらいの知識しか持ち合わせていませんでした。

前提となる考え方や知識が不足していると感じていたので、実は昨年、ある大学のサイバーセキュリティ経営に関する社会人課程を受講したことがありました。

藤原： はい。そこで本当に様々な事業会社のセキュリティ部門の部長のような方々と学び、非常に良い勉強になりました。事業会社側の視点で「守り方」や「事業を推進するためのリスク管理」といったことを学びました。現状のトレンドや脆弱性に関する知識も得られました。

しかし、それを学べば学ぶほど、どうしても「守り」や「事業会社側」の視点に偏ってしまうと感じました。「攻撃者側の心理」や「攻撃者側の技術力」を全く知らないままでは、真に守ることはできないのではないかという思いが募っていったんです。

これが、SecDevLabの研修を受講しようと思う一番のきっかけでした。

藤原： ありがとうございます。事業会社のセキュリティ担当が通常知っているセキュリティ知識だけでは足りないという部分を学びたいと考えていました。

この知識が補える教育を上司にお願いしたところ、「攻撃者目線」で「実際に手を動かす」経験ができるか、というところが、会社として費用を出すにあたっては重要なポイントだとアドバイス頂きました。

藤原： はい、いくつか調べました。ただやはり、「攻撃者目線」で「実際に手を動かす」経験ができるか、という部分をクリアできる研修がなかなか見つかりませんでした。

藤原： はい。やはり一番印象に残っているのは、実際に手を動かしてネットワーク診断を行うことです。

診断担当者と同じ基準で画面を見ることができ、非常に実践的なスキルを習得でき、これはすごく勉強になりました。実際に、ツールやキー操作といった実践的なスキルを習得した上で、今後レポートを見る時の視点が変わるだろうと感じています。

知識的な基礎で学んだ後、ほとんど間を置かずに実践的に手を動かせました。定着率を非常に高められるような構成にしていただいたなと感じています。

藤原： 脆弱性診断以外にも、セキュリティエンジニアに求められるプログラミングスキルも研修に含めていただいていました。

当初はPythonでの学習でしたが、途中で弊社で使っているGoogle Security Operationsの検知ロジックを書く際に必要な別の言語（YARA-L）のほうが重要度が高いことを相談し、即座に方針を転換してもらったことにも感謝しています。

柔軟に対応していただいたおかげで、PythonとYARA-Lの両方を学ぶことができ、両者の違いや、それぞれのプログラミング言語の思想やデータモデルの違いといった根本的な部分まで教えていただけたのは、非常に大きな学びでした。

今後別のプログラミング言語を学ぶことになったとしても、その考え方の部分を教えていただけたという意味で、計り知れないインパクトがあったと感じています。

藤原： あの、すごく楽しかったです！

実際の業務では、Pythonを書く時間があるかというと中々そうではありませんし、Google Security OperationsでYARA-Lの検知ロジックを書きたいと思っても、私の仕事の優先順位上すぐには実現できませんでした。

しかし、「受講したい」と自ら申し出て、その時間をいただいたことで、強制的にその時間、プログラミングや診断技術に向き合うことができました。これは社会人で働いている中ではなかなかできない貴重な経験で、本当にありがたいことだと思っています。

研修の時間は「脳を切り替える時間」にもなり、日々の業務とは違うことを学べるという楽しみが常にありました。

だから、本当にすごく楽しかったです。

藤原： 外部ベンダーの診断レポートを以前よりも格段に深く理解できるようになりました。

藤原： 以前だったら、例えばWeb診断を発注してレポートをいただいたら、その内容をそのまま開発部門に伝達するだけでした。指摘管理シートに落とし込んでも、「こういう結果が来たので、この通りに対応してください」としか伝えられなかったんです。

しかし今では、受領したレポートを、私の方でちゃんと内容を掘り起こし、指摘された脆弱性について「これは危険だからすぐに対応してください」「優先順位は私はこうだと考えているので、こうやって対応してほしい」といった具体的な指示を開発に出せるようになりました。

藤原： また、開発側から「この部分は別の施策でカバーできているので対応しません」といった返答があった場合にも、自信を持ってそれに応じられるようになりました。

開発チームの言っていることや、「これってこういう対応でいいですか？」と聞かれた時に、適切に返答できるようになったという点で、「あ、これは研修を受けたおかげだ」と強く実感しています。

藤原： はい。まだまだ研鑽中ではありますが、その考え方は確実に身についたと感じています。

藤原： 組織全体としては、まず外部ベンダーにお願いしている脆弱性診断レポートを「そのまま鵜呑みにしがちなカルチャー」があったと思っています。それを、「自社の状況に照らし合わせて自社も考える」という風に少しずつ伝えていきたいです。

脆弱性診断というものを、「なぜやっているのか」という本来の目的を、組織全体で共通理解していきたいです。

セキュリティ担当者が「今回はこういう目的で診断しますよ」ということを明確にして診断を進められるようになり、徐々に開発チームが自発的に開発の中でセキュリティチェックをする方向へとシフトしていくことが理想です。

藤原： はい。SecDevLabのサイトの中谷さんプロフィールを見ていただくと、その経歴にまず驚かれると思います。私も最初は「こんなに優秀な方の話を、私に理解できるのだろうか」と、とても心配でした。「私のような初心者では、この方のレベルについていけず、何も分からないまま終わってしまうのではないか」という不安がありました。

藤原： 実際にお会いする前までは、現状の知識レベルでこのレベルのエンジニアの方に教わるのは無理なのではないかと思っていたのですが、実際はすごく親身にレベルを合わせてくださったと感じています。非常に分かりやすかったです。

藤原： インターネット上にはセキュリティに関する知識がたくさんありますが、中谷さんは、「記憶に残るようなお話」をたくさん交えながら教えてくださいました。

スライド資料と、そのお話を合わせて復習するだけでも定着率が上がる、そんな「記憶に残るような素晴らしい研修」だったと思います。

だから、私のように「これまで外部ベンダーに診断を任せきりだったが、内製化を進めたい」「セキュリティ担当になったばかりで、具体的に何をすべきかわからない」といった、同様の課題を抱える他の企業の担当者にも強くおすすめしたいです。

藤原： こちらこそ、ありがとうございました。