SplunkのBoss of the SOC(BOTS)キャプチャ・ザ・フラッグ大会は、もともと採用イベントとして始まったわけではありませんが、一部のサイバーセキュリティ専門家にとって、このイベントへの参加がキャリアの進展に役立っています。実際に、Splunkに就職した参加者もいます。
過去10年間、Splunkは.confユーザー会議の一環として、BOTSというブルーチーム型のキャプチャ・ザ・フラッグ大会を開催してきました。参加者は、Splunkのツールを使って現実さながらのプレッシャーの中、シナリオを調査し、インシデントレスポンス(IR)に関する一連の質問に答えます。シナリオは、前年に最も影響のあった実際の攻撃を元に作られています。例えば、BOTSは2022年にLog4J関連のシナリオをシミュレートしました。今年は、予想通り人工知能(AI)がテーマの一つとなり、脅威検知とインシデントレスポンス(TDIR)、内部脅威も取り上げられました。AIの課題としては、大規模言語モデル(LLM)のトラブルシューティングや、ChatGPTを使って完全に作成することなどがありました。TDIRのシミュレーションでは、Splunkが今年エンタープライズセキュリティ製品に加えた変更がテストされました。
Splunkのプリンシパル・セキュリティ・ストラテジストであるTom Smitによると、内部脅威は毎年問題となるため、今年も取り上げられました。「毎年、誰かが『今年は問題にならない』と言いますが、毎年問題になります」と彼は語ります。
今年のBOTSの結果から、LLMはまだ非常に未熟であることが示されました。「少なくともあと数年は仕事がなくならないですね」とSmitは冗談を交えつつ、AIが生成したLLMは非常に単純で基本的、ログファイルの範囲も限られていたと指摘しました。
BOTSの誕生
秋のカンファレンスの設計は、前年の感謝祭ごろから始まります。Smitらは架空の企業のバックストーリーを作り、実際の出来事から詳細を取り入れて様々なシナリオを作成します。それぞれに特定の学習目的があります。3月には、関連するマシンや攻撃、スクリプトの構築を開始します。目的は、ゼロデイ脆弱性の爆発的な拡大、ニュースの見出しになった出来事、新たなエクスプロイトによるセキュリティ上の悩みをシミュレートすることです。
参加者に加え、IT関係者の一部や、インシデントレスポンスに関係のない人々も大会を見学します。
このイベントは.confユーザー会議だけに限らず、Splunkは他社向けにも大会を実施しています。ある年、主催企業は業界のライバル企業を大会に招待し、トップ競合相手が誰かを知るとともに、その人材を自社に引き抜くためだったとSmitは明かします。「正直、こんなことが起きるとは思いませんでした。」
Splunkはまた、社内での人材発掘を目的とする企業にもBOTSを提供しています。たとえば、金融部門で働く社員が意外にもサイバーセキュリティに長けていたり、責任範囲を広げられる人材を見つけたりするためです。
「あるお客様では、ティア1(エントリーレベル)のアナリストが1位となり、ティア3のアナリスト全員を打ち負かしました」とSmitは語ります。「その人はSOC(セキュリティオペレーションセンター)マネージャーに昇進し、最終的にその環境のリーダーになりました。」
BOTSがキャリアを形作った
そして、ケイティ・ブラウンの話があります。彼女はBOTSでリクルートされたわけでも、参加時に仕事を探していたわけでもありませんでした。しかし、イベントでの経験がきっかけでSplunkに就職を希望するようになりました。現在、彼女はSplunkで7年間働き、最近プラットフォームセキュリティ部門のディレクターに昇進しました。
「ブルーチームのCTF大会であるにもかかわらず、非常に強い連帯感があります」とブラウンは語ります。「私はそれまで、インシデント対応でグループと一緒に働いたことがなく、この経験はとても力強いものでした。」
Splunkに入社する前、ブラウンはソニーで働いていました。2014年に北朝鮮のハッカーによるスタジオの侵害を受けた後、グローバルインシデントレスポンスチームの一員でした。彼女の仕事の一部は、さまざまなセキュリティ情報・イベント管理(SIEM)製品を比較検討することでしたが、Splunkを選んだ後はグローバル展開にも携わりました。しかし、BOTS以前はSplunkのツールを使ったことがありませんでした。BOTSの設計者は、ツールの使用経験がない参加者向けにも問題を作成しています。
「私たちにとってSplunkを実際に使うのは初めてで、夢中になりました。毎朝3時に起きて、問題が公開されるとすぐに取り組みました」と彼女は説明します。「そして、私たちは大会全体で優勝しました。」
彼女は今もBOTSに深く関わり、シナリオの作成やアルファ・ベータテストに協力しています。また、コーチとして他社でのBOTS運営もサポートしてきました。2024年3月にCiscoがSplunkを買収し、社内にはさまざまな変化がありましたが、このような伝統を守ることが重要だと感じています。
「私たちは『Splunker』として多くのことを経験してきました」と彼女は語ります。「Ciscoに買収され、状況は変わりましたが、BOTSは変わらず続いています。私たちにとってとても大切なものです。」