セキュリティは日々進化させるもの。CSCのセキュリティの番人「Cyhorusチーム」を支えるセキュリティエンジニアの役割とは。
CSCでは、最先端のAI技術や世界トップレベルの脅威インテリジェンスの活用により、日々進化し続けるサイバー攻撃に対応するセキュリティサービスの提供を行っています。
今回は、CSCのセキュリティの番人「Cyhorus(サイホルス)チーム」メンバーでもあるセキュリティエンジニアの2人にインタビューを行いました。
ーーCyhorusチームは、どのような活動を行っているのでしょうか?
山村:
Cyhorusチームは、セキュリティエンジニアに加え、インフラエンジニア、各プロダクトのPMや開発エンジニアで構成されたサイバー脅威情報の監視チームです。
このチームが具体的にどのようなことをしているのかというと、「最新のサイバー攻撃の情報収集」と各プロダクトに設定される「シグネチャの作成」です。
収集している情報の種類については、一般的にインターネットで公開されている情報に加えて、提携先企業からの情報やプロダクトで検知したログ情報があります。
内容については、脆弱性情報や典型的な攻撃手法、具体的なサイバー攻撃の事例(攻撃元・攻撃対象・経路・攻撃手段・被害状況など)について主に収集しています。また、サイバー攻撃に関する情報だけでなく、情報セキュリティ関連の政策動向などの情報収集も行っています。
こうして収集した情報をCyhorusチームで分析し、様々なパターンの攻撃に対して、被害を事前に回避できるようなシグネチャを作成し、最終的にプロダクトごとに最適なシグネチャの設定を行っています。
山村:R&D部門及びCyhorusチームに所属し、セキュリティエンジニアとして、主に最新の脆弱性情報の収集や既存プロダクト向けのシグネチャの改善業務に従事。
ーーCyhorusチームの由来は「Cyber(サイバー)」と「Horus(ホルス)」をかけ合わせてできた造語で、「Horus(ホルス)」はエジプト神話に出てくる万物を見通す「ホルスの眼」から引用されたと伺っています。サイバー空間の万物を見通すセキュリティ監視集団ということですね。
ーー具体的な取り組みについて教えてください。
山村:
プロダクトのセキュリティの質向上を目的に発足し、メンバーとしては私たちセキュリティエンジニアやインフラエンジニア、プロダクト側の開発エンジニアなどが参加し活動しています。活動内容としては、定期的にミーティングを開催し、既存プロダクトのシグネチャ作成・運用に関する状況の共有や改善策の検討、新たなプロダクトに関するディスカッションなどを行っています。
ーーセキュリティエンジニアとして、チームの活動にどのように関わっているのでしょうか?
安慶名:
既存プロダクトに関する取り組みとしては、サポートチームから共有される誤検知の報告やユーザーから問い合わせの内容を元に、自分達で手を動かしながら、既存シグネチャの改修や新たなシグネチャの作成を行っています。
なお、作成・改修したシグネチャを実際にプロダクトへ反映させるかどうかの最終判断は、各プロダクトチーム側で行っています。セキュリティに絶対的な正解はない中で、プロダクトの性能やユーザーの特性を踏まえ「どのシグネチャを設定することがユーザーにとって最適か」を考え、状況に応じて柔軟に判断して運用する体制をとっています。
山村:
セキュリティエンジニアのミッションは、プロダクト横断で求められるセキュリティ技術の提供です。具体的には、あらゆるパターンの攻撃に対して検知、遮断できるための「シグネチャの精度向上」と、アップデートされた情報をいかに素早くシグネチャに落とし込めるかという「タイムリーな対応」が特に求められます。
セキュリティは日々進化させていかなければなりません。これからも、攻撃遮断くんやWafCharmが常にセキュリティ精度が高いプロダクトであり続けるために、常に世の中の情報にアンテナを張りながら能動的に情報を取り、迅速にシグネチャという形にして提供していきたいと考えています。
ーー他社との違いや独自の取り組みについて教えてください。
山村:
セキュリティエンジニアの業務は見えない部分が多く、他社との比較は難しいのですが、強いて言うならば、情報源の豊富さや情報収集のスピード、AIの活用などでしょうか。CSCでは、プロダクトで収集したログを含めて約1兆件を超えるビッグデータを自社で保有しており、新たな攻撃手法の発見やシグネチャ作成時の重要な情報として活用しています。
安慶名:
AIに関しては、試行錯誤している最中ではありますが、AIによる攻撃探知技術(Cynueral)を用いて、一般的な攻撃の検知はもちろんですが、未知の攻撃の予測や誤検知の発見などができるような活用方法を追究しています。また、ゆくゆくはエンジニアが調査せずとも、AIが過去の脆弱性情報を瞬時にリサーチしてくれることも期待されています。もし実現したら、私たちの業務の効率が格段に良くなると思います。
安慶名:R&D部門及びCyhorusチームに所属し、セキュリティエンジニアとして、主に新プロダクトに関わるリサーチ・開発業務などに従事。
山村:
所属会社を問わず、セキュリティエンジニアは悪意のあるサイバー攻撃からユーザーの情報を守るという共通の目的の元で働いている人が多いと思います。ビジネスを行っている以上、勝負しなければならない部分はありますが、最終的には攻撃者からお客様のサイトを守れれば良いと思っています。他社のセキュリティエンジニアは、ライバルというより仲間という感覚の方が近いかもしれませんね。
ーーセキュリティエンジニアとして、いい仕事をしたと思える瞬間はありますか?
山村:
自分の主な業務であるシグネチャの改善には終わりがなく、達成感を感じられる瞬間はあまり多くありません。強いて言えば、ログ分析をしていて、新しい攻撃手法を捕捉した瞬間はいい仕事をしたなと思いますね。
安慶名:
様々なツールを試す機会がありますが、プロダクトに反映できそうなツールを見つけたときはいい仕事をしたなと思える瞬間です。
ーーセキュリティエンジニアとしてこれから実現していきたいことは何ですか?
山村:
シンプルにシグネチャの精度向上です。提供サービスによってセイバーセキュリティが確保され、安心、安全なWebサービスを使える社会の実現に寄与できると嬉しいです。
安慶名:
私は開発も好きなので、新たなサービス開発にも関わっていきたいです。前職のセキュリティ診断の経験が活かせるようなWAF以外のセキュリティサービスも作ってみたいと思っています。CSCが持つデータ資産も上手く活かせると良いですね。
ーー最後にどんな人と一緒に働きたいですか?
山村:
セキュリティに興味のある人にぜひ来てほしいです。実は、CSCは前職までにセキュリティを経験した人の割合の方が少ないんです。WAFというプロダクトはいろんな要素が関係しているため、今までの経験や知識を活かせる業務が結構あります。今はセキュリティには詳しくはないけど、自分で考えながら、とりあえず色々なことに挑戦したいという方が合うと思います。
安慶名:
様々なバックグランドの方に来ていただき、お互いの強みで補い合えるようなチームが作れれば良いと思っています。
コロナ禍においても、サイバーセキュリティクラウドは積極採用中です!興味のある方はぜひ、ご応募お待ちしております。