強いサイバーディフェンスチームの作り方
トレーニングのサイバー人材育成への活用方法
2021年。トレンドマイクロにインフォメーションサービス本部インフォメーションテクノロジー部サイバーディフェンス&インフラストラクチャーサービス課が発足した。グローバル企業であるトレンドマイクロでは、従前、地域を跨ぐグローバルな組織としてInfoSecがインシデントレスポンスを含むサイバーディフェンスの取り組みをおこなっていた。日本地域のインフォメーションサービス本部においては、InfoSecが標準と定めたセキュリティ製品・サービスの導入や、InfoSec配下のSOCチームがアラートを検知した際に、日本地域の社員とのコミュニケーションのサポート等を行っていた。しかし組織・事業の多様化やDX推進の流れの中で、各リージョンの事業と業務に精通したメンバーの対応がより求められるようになり、組織強化としての新チーム発足であった。
組織を発足するにあたり指揮をとったのは、現在も同課のマネジメントをおこなう林 新樹。長く海外のセキュリティ統括部門とのハブを務めており、どういった組織体制が求められているか当時からすでに自身の中では青写真を描けていたという。ただし多くの企業が直面するように、人材確保において外部からの採用は進まなかった。「自身が求める人材要件の応募を出しても1年たっても採用がうまくいかないという状況だった」と林は言う。そこで外部への募集に並行して早々に人員育成による内製化でのチームづくりを決断。それまではトレンドマイクロ社内のインフラ運用を主務としていたチームを、サイバーディフェンス&インフラストラクチャーサービス課として、サイバーディフェンスとインフラ、両方に対応する組織へと作り変えていった。
「幸い、社内には日頃お客様に対応するセキュリティ人材を育成するスキームは豊富にあり、その点においては恵まれていた」と林は言う。日頃の業務の中で覚えていく知識、社内の横断的なセキュリティ演習への参加(レッドチーム演習プロジェクト:詳細は別記事)、外部の研修も積極的に活用するのに加え、サイバーセキュリティ・イノベーション研究所セキュリティ・ナレッジ&エデュケーション・センターから提供されている社外提供トレーニングへの参加は大きな成果となった。
「内容は期待通りだった」と同課メンバーの一人である原は言う。「検知から対処まで一貫して学び、王道の動きについて一通り演習を通じて体験できた。(標的型攻撃 対応・防御トレーニング)」また同じく同課梅川は「サーバの脆弱性、OSのバージョン管理の重要性を再認識できた(インシデント調査トレーニング サーバ版)」と言う。
またインフラエンジニアとしてキャリアを築いてきたメンバーたちは、各トレーニングで得た個々の解析のテクニックもさることながら、トレーニングの全体像が伝える、同社の経験にもとづく知見に高い価値を感じていた。「トレーニングはインシデント対応の一つの正解:ベストプラクティスを提供しており、本トレーニングを体験することで、受講者は自社のセキュリティレベルを測ることができる」と梅川は言う。セキュリティのベストプラクティスがわからない、という声は、日頃ユーザーからトレンドマイクロのへも多くよせられる意見だ。「トレンドマイクロが自身のセキュリティをどのように実施しているのか教えてほしい、とユーザーから我々インフォメーションサービス本部に質問されることもあるが、トレーニングを通じて自分たちのセキュリティ体制は非常に高い水準にあるということを再認識でき、今後自分たちのセキュリティの取り組みについて、もっと発信していきたいと思えるほどに自信が持てた」と語る。
トレンドマイクロにおけるセキュリティ全体の取り組みについて、またVisionOne導入におけるSuccess Storyは以下の記事をご参照ください。
・レッドチーム演習プロジェクト:サイバー攻撃者視点でチェックすることで明らかになる、組織の「ペインポイント」
・セキュリティGO:日本固有の脅威・環境に対応せよ、日本サイバーディフェンスチームの2年にわたる取り組み
・Trend Vision One事例:トレンドマイクロ(株)導入事例
一方で林は今回のチームのトレーニング受講にあたり、一定の知識が得られることはあらかじめ確信が持てていたという。その上でさらに受講効果を高めるために行った工夫が、サイバーディフェンス&インフラストラクチャーサービス課と同じインフォメーションサービス本部に所属するクライアントサポート課との合同受講であった。クライアントサポート課は自身でセキュリティ全体の企画・運用はおこなわないものの、業務用PCで利用されているWindowsやその他のOS及びアプリケーションのバージョン管理など、セキュリティにとって非常に重要な業務を担っている。また全社員向けの総合ヘルプデスクを運用していることから、何か問題が発生した際に社員から真っ先に連絡を受けるため、本部内では最も社員に近い部門である。そのため、前述の「リージョンに精通した」という点において、双方の課にとって良い作用が働くと期待した。
実際にクライアントサポート課メンバーとしてトレーニングを受講した高野は、「自身の業務の範囲の先で、セキュリティを強化するために何を実施するべきか、よりイメージが湧くようになった。トレーニング受講後、一つ一つの事象に対して、裏で大きなことが起きていないかについて推察するアンテナの持ち方が変わった」と言う。サイバーディフェンス&インフラストラクチャーサービス課のメンバーにとっても、クライアントと社員に対する深い知見を持つ高野と一緒にインシデントレスポンスの演習を進めることは、ログ起点とはまた異なる、人起点の目線を養うこととなり、プラスに働いた。
またトレーニング内で得られる知識を、課を越えたセキュリティに携わるメンバー全体の共通言語とできたことも、大きな収穫だったという。
得ることの多かったトレーニング受講だが、受講が即時的に人材育成の完結に結び付くわけではない、と林は言う。今回得た学びをいかに今後の育成につなげていくのかについて、以下のように語る。
「セキュリティは攻撃手法も様々で、調査の手法も千差万別。何か事象が発生した際に、その時点で持っている知識だけで全ての対応をこなすことは難しい。そのため都度情報収集を行い、自分で考える力が重要である。トレンドマイクロの提供するトレーニングは、そういった考える力を養う材料となってくれた」
「同じログを見ても人によって得られる情報量は違う。セキュリティ運用においては、これまでどれだけ異なる技術の経験を積んだかによって、エンジニアとしての能力に開きがでてしまう。チームのメンバーには、今後もログを見て情報収集を行い、自分で考えながら調査することを繰り返す経験をしてほしい。繰り返す調査の中で、養った力が事象の発見につながったとき、トレーニングがセキュリティ人材の育成につながったと言えるのではないか」
サイバーディフェンスはインフラからは切り離せない関係にある。外部からのセキュリティ人材の獲得ではなく、既存のインフラエンジニアチームをセキュリティチームとして育成したトレンドマイクロであったが、そうすることでより強いチームを作ることができたと林は言う。
「セキュリティはセキュリティ製品だけでなく、インフラ込みでやらなければいけないことが多く、インフラと併せて対策することで初めて成功する。内部での人材育成をおこないインフラ起点でセキュリティを考えることができるチームを作れたことは大きな収穫であった。トレンドマイクロという看板を背負うサイバーディフェンスチームとして、我々にはより大きな責務や期待が社内外から寄せられているが、今後も継続して育成活動を行い、期待に応えることのできるセキュリティチームとして成長し続けたいと思う」
"トレンドマイクロという看板を背負うサイバーディフェンスチームとして、期待に応えることのできるセキュリティチームとして成長し続けたいと思う"
林 新樹 氏
インフォメーションサービス本部
シニアセキュリティスペシャリスト兼
インフォメーションテクノロジー部
サイバーディフェンス&インフラストラクチャーサービス課 課長
"トレーニングはインシデント対応の一つの正解:ベストプラクティスを提供しており、本トレーニングを体験することで、受講者は自社のセキュリティレベルを測ることができる"
梅川 博輝 氏
インフォメーションサービス本部
インフォメーションテクノロジー部
サイバーディフェンス&インフラストラクチャーサービス課
"検知から対処まで一貫して学び、王道の動きについて一通り演習を通じて体験できた"
原 智久 氏
インフォメーションサービス本部
インフォメーションテクノロジー部
サイバーディフェンス&インフラストラクチャーサービス課
"トレーニング受講後、一つ一つの事象に対して、裏で大きなことが起きていないかについて推察するアンテナの持ち方が変わった"
高野 義基 氏
インフォメーションサービス本部
インフォメーションテクノロジー部
クライアントサポート課
業種
IT
地域
東京都、日本
従業員
導入トレーニング
※製品・サービスの導入効果は、ご利用企業・組織の方の声に基づくものであり、お客さまご利用状況により効果は異なります。
※記載内容は2023年7月現在のものです。内容は予告なく変更される場合があります。
Get started with Trend today