セキュリティキャリアをSOCから始めるべき“素朴な”理由：CODE BLUE 2024レポート

最近は多くの若手セキュリティエンジニアがブルーチーム側よりもレッドチームやパープルチーム側に興味・関心を持っている。しかしブルーチームにもいいところはある。KasperskyのシニアSOCアナリストがブルーチームの素朴な素晴らしさを語った。

[高橋睦美，ITmedia]

　一口に「セキュリティに関連する仕事」といってもさまざまな種類がある。企業システムを守る仕組みを作り、運用する業務にはじまり、インシデント発生時の調査や対応、調整を担う業務、PC内に残された痕跡を分析して攻撃手法を明らかにしたり、マルウェアを解析したりといった、より専門性が求められる業務まで幅広い。

　最近は攻撃者の視点に立ってシステムに存在する弱点をさまざまな角度から見つけ出すペンテスターやレッドチームといった業種への関心が高まっているようだ。

　しかし、2024年11月9〜15日に東京で開催された「CODE BLUE 2024」に合わせて来日したKaspersky Labのアレクサンドル・ロトチェンコ氏（シニアSOCアナリスト）は、ブルーチーム、特にSOC業務が重要でありセキュリティ業界を目指す若手エンジニアにはまずそこからキャリアをスタートすることを推奨した。一体なぜだろうか。

本稿は「CODE BLUE 2024」のカンファレンス（2024年11月14日）におけるアレクサンドル・ロトチェンコ氏の講演「モダンSOC：1未満と無限以上」と同氏への個別インタビューの内容を編集部で再構成した。

わずかなミスマッチを基に疑わしい痕跡を探すSOC業務

　ロトチェンコ氏はKasperskyでシニアSOCアナリストとして働いている経験から、「モダンSOC：1未満と無限以上」と題してCODE BLUEで講演し、「SOCアナリストの目によって、既存のセキュリティツールでは乗り越えられない問題を解決できます」と語る。

　同氏はこの講演で、オープンソースソフトウェア（OSS）のエクスプロイトツール「Mimikatz」で「Active Directory」に対してゴールデンチケット攻撃を実行する攻撃シナリオの他、「Windows」の一元管理システム「System Center Configuration Manager」（SCCM）を介して、「WMI」（Windows Management Instrumentation）を経由して悪意ある操作を遠隔で実行するといった手法を紹介する。そして、ログやSQLのダンプからわずかな「ミスマッチ」を見つけることで不正アクセスを検知することが重要だと話す。

　「疑わしい痕跡の中には、ユーザーの正規の行動によって発生するものもあります。従って、自動化されたツールだけでは、本当の侵害と区別するのは非常に困難です。つまりSOCアナリストの目によって状況を明らかにすることが重要です」（ロトチェンコ氏）

　ロトチェンコ氏によると、サイバー攻撃者がMimikatzやペネトレーションテストツール「SharpHound」などを悪用し、攻撃手法を共有しているのと同じように、ブルーチーム側もコードやアイデアを共有し、よりよく守るために情報を共有し、共に協力して「青い壁」を構築するのが重要になるという。

SOCの役割、やりがいとは何か？

　ロトチェンコ氏は「現在のセキュリティソリューションは脅威の予防にフォーカスしたものが中心です。シグネチャを使って既知の脅威を発見することは依然として必要ですが、今のこの危険な世界において、古典的なセキュリティツールでは不十分です」と指摘する。

　つまり、今求められているのは予防から検知へのシフトであり、モニタリングを実施してさまざまなテレメトリー元に通常とは異なる「アノーマリー」（異常）な動きを見つけるSOCこそがその役割を担うのに適任だといえる。

　「SOCの出番がやってくるのは、既存のセキュリティ対策が失敗に終わったときです。セキュリティのさまざまな仕組みがうまく機能しなかったとき、一体何が起きたのか、その後何が起きたのかを明らかにすることがSOCの役割であり、それこそが他のセキュリティ業務と異なる理由です」（ロトチェンコ氏）

　ソーシャルメディアなどを見ると、SOCを含むブルーチーム側の業務よりも、実際の攻撃手法に即してシステムの弱点を攻撃するレッドチームや、ブルーチームとレッドチームとの橋渡し役となるパープルチーム側に興味を持つ人も多いようだ。

　こうした実情に対し同氏は、「確かにレッドチームやパープルチームの業務には、非常にエキサイティングな出来事が待っているでしょう。しかし私はセキュリティ業務の中でも最も価値ある仕事はブルーチーム、特にSOCに待っていると思います」と述べる。

　IT業界全般でも、手順書に沿ってチケットを処理していく運用業務より、開発業務の方が好まれる傾向がある。SOCも決まり切った業務を回す退屈な業務ではないかという印象を持たれがちだ。

　しかしロトチェンコ氏はあえて、「退屈であまり興味深いとは言えない仕事も恐れるべきではないと思います。私自身、ありふれた問題に対処してチケットをこなすこともありますが、そのたびに問題を解決し、世の中のセキュリティに貢献しているという実感を得ています」と述べる。

ブルーチームは自分の可能性を切り開ける価値ある仕事

　ロトチェンコ氏は大学でC#をはじめとするプログラミングを学び、石油企業のロスネフチでエンジニアとして働いた後、Kasperskyに転職した。同社のSOC業務は、日本でいうSOCよりもやや幅広く、リサーチャーとしての業務も含まれる。

　こうした経歴を踏まえて同氏は、これからセキュリティ業界を目指す学生や若手エンジニアには、まず「楽しむこと」を大切にしてほしいと述べた。

　「人によっては、毎日チケット処理をするのは退屈だと思うかもしれません。しかし深く掘り下げていけば、悪意あるバイナリを見つけ、自分なりに調査することもできるでしょう。自分自身で工夫し、興味深い現象、興味深いポイントを見つけてほしいと思います」（ロトチェンコ氏）

　同氏は最後に「確かにレッドチームは、まるでソルジャーのようにしてシステムを支配下に置ける興味深い分野です。しかし守る側はもっとずっと価値のあることだと思います。チケット処理の一日を終えて帰宅できたなら、誰かのビジネスやお金、データを、つまり誰か知らない人を安全にできたことになります。若手の人にはまずブルーチームに加わってほしいと思います」と締めくくった。