出典:Peter Maszlen(Alamy Stock Photo経由)
デジタルフォレンジクスは、ビジネスからの需要が高まっている急成長中のサイバーセキュリティ分野であり、専門家には特別な準備と頻繁なスキルアップが求められますが、その見返りも大きい分野です。
「非常に魅力的で、非常に需要が高い分野です」とSANS Instituteのリサーチ責任者であるRob T. Lee氏は語ります。元国家安全保障局(NSA)に配属されたサイバースペース戦争作戦士官であるLee氏は、「とてもおいしい分野で、多くの人が求めている」と話します。
フォレンジクスの専門家は、サイバーセキュリティインシデントの調査だけでなく、デジタル証拠のパンくずリストから非常に曖昧な真実を明らかにすることにも誇りを持っています。彼らの発見は、インシデントの理解や対応、そしてそこから学ぶことに不可欠です。役割によっては、法的措置をサポートする証拠を組織に提供することもあります。証拠の収集、攻撃経路の再構築、脅威アクターが使用したマルウェアやTTP(戦術・技術・手順)の分析などを行います。
実務者は、官民両方の分野、法執行機関を含む非常に多様な役割で働いています。多くの場合、DF/IR(デジタルフォレンジクス/インシデントレスポンス)が職務記述書や肩書きに含まれており、インシデントレスポンス、脅威ハンティング、脅威インテリジェンスなど、他の重要なサイバーセキュリティ機能と密接に連携しているためです。
「迅速かつ確実に答えを出す能力が求められ、そのプレッシャーゆえに非常に重要な仕事です」とLee氏は言います。「組織は、この分野で最高のチームを持つために多大な投資をします。」
経験と知識を積み上げる
デジタルフォレンジクスは、エントリーレベルの仕事ではありません。実務者はまず、堅実で幅広く、実践的なサイバーセキュリティの知識を身につける必要があります。大学や民間の研修機関が提供する多くのトレーニングコースは、新人が基礎知識を習得し、より詳細な学習への足がかりとなります。
さらに、エンタープライズシステムやアーキテクチャ、脅威アクターのTTPに関する強い知識が必要です。英国サイバーセキュリティ協議会はさらに厳しい要件を求めており、国際的・国内の法令や規制要件、コンプライアンス義務、ソフトウェアセキュリティ、セキュリティ運用、セキュリティ倫理の知識、製造業や重要インフラ運営企業向けのOT(運用技術)への注力も求められます。また、多数のスクリプト言語や一般的なフォレンジクスツールの知識も必要です。
SANS Instituteは、フォレンジクススキルを2つのグループに分類しています。1つは、クラウドやスマートフォンのフォレンジクス、脅威インテリジェンス、マルウェア解析の知識を要する重要な専門職。もう1つは、ホストフォレンジクス(複数OS)やネットワークフォレンジクス、ランサムウェアやその他のサイバー脅迫戦術への対応を含むインシデントレスポンス関連のスキル群です。SANSは後者から学ぶことを推奨していますが、実際には両者の内容は重なっており、ほとんどの実務者は両方のスキルにしっかりとした基礎を持つ必要があります。
キャリア・デジタルフォレンジクス調査員のBrett Shavers氏は、純粋に技術的ではない異なるアプローチを取っています。彼はDF/IRで働くために必要な5つの能力を挙げています。オペレーティングシステムとファイルシステムの深い理解、ログメモリとタイムライン分析、証拠保全の意識、クリティカルシンキングと証拠の時系列整理、そして弁護士による反対尋問にも耐えうるレポート作成能力です。
フォレンジクスの肩書きと責任範囲は多岐にわたる
フォレンジクスの専門家がこの分野に足を踏み入れると、幅広い責任を担うことになります。SANS Instituteは、フォレンジクス分野に11の役割を挙げています。フォレンジクスアナリスト、フォレンジクス調査員、マルウェアアナリスト、メディアエクスプロイトアナリスト、軍事作戦/法執行機関のエージェント、脅威ハンター、インシデントレスポンスおよびSOC(セキュリティオペレーションセンター)関連の役割などです。
報酬面では、初期段階の給与は控えめです。しかし、非常に専門性の高い役割では、知識と実績が証明されれば、組織にもたらす価値の大きさから非常に高い報酬を得ることができます。
Shavers氏は、幅広い知識よりも詳細な知識を身につけることを実務者に強く勧めています。すべての技術、ビジネス分野、ネットワークにまたがるデジタルフォレンジクスとインシデントレスポンスを完全にマスターできる人はいない、と彼は説明します。
「今ここで神話を打ち砕きましょう。DF/IRの極意とは、DF/IR分野全体をマスターすることではありません」と彼は言います。「重要なのは、何を尋ねるべきか、どこを見るべきか、それが何を意味するのか、どう守るのかを知ることです。深く掘り下げれば、人々はあなたに問題解決を頼ります。あなたは信頼される存在になります。スキルを磨き、信頼を得て、正しい仕事をすること、それが唯一重要な道です。」
フォレンジクスの役職名は企業によって異なり、役職の上下関係も外部の人には分かりにくい人事戦略に左右されます。バンク・オブ・アメリカは最近、「副社長」や「アソシエイト副社長」という一見上級に見える役職でDF/IRの能力拡大を図っています。一方、スーパーマーケット大手のテスコは今夏、サイバーセキュリティ全体で幅広く活躍するDF/IRの専門家を採用しました。
Uberは「セキュリティ調査員」という一見ジュニアな肩書きを好みますが、実際にはかなりの経験と高い報酬が求められます。この職務は、レスポンスやフォレンジクスに加え、インシデントレスポンスのための大規模自動化の開発、戦略の成熟度向上、ジュニアアナリストの指導も担います。Uberが大規模な脅威ハンティングの主導経験やグローバル危機管理能力を求めていることは、同社が直面する脅威や、この役割のビジネス上の重要性を物語っています。
新技術におけるフォレンジクススキルを磨く
人工知能(AI)、拡張現実(AR)、機械学習(ML)などの新技術は、フォレンジクスの専門家にとって助けにもなり、課題にもなります。機械学習の専門家は、MLツールがセキュリティチームだけでなく脅威アクターにも利便性をもたらしている点を指摘します。フォレンジクスの専門家は、証拠処理や結果の迅速化を可能にするこれらのツールを使いこなす必要があります。
また、重要な知的財産を含む可能性のあるAI資産(インフラやモデルを含む)をどう守るかも理解しなければなりません。スマートグラスなどのARデバイスが組織で有用なケースを見せ始めている今、フォレンジクスの専門家もこれらを理解する必要があります。
AIや合成メディアは、「法執行機関やデジタルフォレンジクスの専門家に前例のない機会と複雑な課題をもたらす」と、香港大学コンピューティング・データサイエンス学部のYi Ma教授(7月にインターポールのデジタルフォレンジクス会議を主催)が述べています。
また、モバイルデバイスやディープフェイクについても強い理解が必要です。これらは組織を欺くために頻繁に利用されるからです。現時点で車両の接続性は限定的ですが、自動運転車やコネクテッドカーの増加に伴い、車両フォレンジクスも今後ますます注目される分野となるでしょう。
コンサルティングは急速な学習と長時間労働を意味する
フォレンジクスのキャリアには決まった道筋はありません。Barclay Simpsonのサイバーセキュリティ採用コンサルタント、Parveen Gill氏は、より幅広い経験を得るためにコンサルティングで働くことを勧めています。「コンサルティング経由で多くの案件をこなすのが良い方法です」と彼女は言います。
Lee氏も、Crowdstrike、Unit 42、IBM X-Forceなどの有名コンサルティング会社で多くの経験を積むことのメリットに同意していますが、その反面、長時間労働になる可能性があると警告します。「飛行機に乗ることが多くなります」と彼は言います。
年齢を重ねて落ち着きたい場合は、フォーチュン500企業などの大企業に入ることをLee氏は勧めています。小規模組織のフォレンジクス担当者は、扱うインシデントが少ないため経験を積みにくいと彼は説明します。業種をまたいで異なるフォレンジクス環境に触れることも有益だと提案しています。
「キャリア中盤で家庭もあるなら、現在の役割からフォレンジクス分野に転身し、良いメンターを探すことを勧めます」と彼は言います。また、業界イベントでの「レンジ」への参加も、スキルや知識の最新化に役立つと推奨しています。