【SEC】第3章:実務への参加 ~6ヶ月~18ヶ月で実務経験と初期の問題解決~
基礎知識を学んだ後、次のステップは実際の業務に参加し、セキュリティ運用の現場で経験を積むことです。
本章では、SIEMを活用したログ監視、インシデント対応の初歩、セキュリティツールの運用など、日々の業務で求められるスキルを詳しく解説します。単なる座学ではなく、「どうやって異常を検知し、対応すべきか?」を実践的に学び、即戦力としての力を身につけることが目標です。具体的な手順や行動指針とともに、現場で活かせるスキルを習得しましょう。
3-1. セキュリティエンジニアの「日常業務」に参加する
3.1.1. ログ監視の目的と流れ
セキュリティ運用の基本業務の一つが ログ監視 です。
ただし、ログを眺めるだけではなく、「何が異常なのか?」を判断し、適切な対応を取ることが重要 です。
ログ監視のステップ
- ログの収集
- SIEM(Security Information and Event Management)ツールを使用(例:Splunk, QRadar, ELK Stack)
- フィルタリング(異常を抽出)
- 例:「失敗したログイン試行」「管理者権限での不審な操作」
- 異常なアクティビティの特定
- 例:「深夜2時に海外IPから管理者アカウントでログイン試行 → 不正アクセスの可能性」
- 対応の実施(封じ込め・通知・調査)
- 例:「IPアドレスをブロックし、影響範囲を調査」
📌 「ログを監視するだけでなく、何をもって“異常”と判断するかを理解し、実際の対応までを意識する!」
3.1.2. 実際の異常ログ例
正常なログ(問題なし)
2024-02-15 10:00:12 | User: employee1 | Action: Login | Status: Success | IP: 192.168.1.10
→ 通常の社内ログイン。問題なし。
異常なログ(不正アクセスの兆候)
2024-02-15 02:30:45 | User: admin | Action: Login | Status: Failed | IP: 203.0.113.50
2024-02-15 02:31:05 | User: admin | Action: Login | Status: Failed | IP: 203.0.113.50
2024-02-15 02:31:25 | User: admin | Action: Login | Status: Failed | IP: 203.0.113.50
→ 深夜に海外IPから管理者アカウントのログイン試行 → ブルートフォース攻撃の疑い
📌 「ログを正しく読み取り、異常を見抜く力をつけることが重要!」
✅ 今日からできるアクション
- SIEMツールにログインし、直近24時間のログを確認する
- 「過去1週間で失敗ログインが多いアカウント」を調査し、異常がないかチェックする
- 上司や先輩に「よくある異常パターン」を聞き、メモしておく
3-2. インシデント対応の初歩を学ぶ
3.2.1. 「実際にインシデントが発生したらどうする?」
インシデント(セキュリティ事故)が発生した際に最も大切なのは、「冷静に、正しく対応すること」 です。
インシデントシナリオ
シナリオ:社内のPCがランサムウェアに感染
【状況】
- 社員がフィッシングメールの添付ファイルを開き、PCがランサムウェアに感染
- ファイルが暗号化され、「身代金を支払え」との警告メッセージが表示された
【対応の流れ】
- 初動対応
- PCをネットワークから切断(LANケーブルを抜く or Wi-Fiを無効化)
- 感染したPCのIPアドレス・ホスト名を記録
- 影響範囲の調査
- SIEMやEDRで他のPCに感染が拡大していないか確認
- 影響範囲が特定できるまで同じネットワーク内の端末を隔離
- 復旧作業
- 最新のバックアップがあるかを確認(3-2-1ルールを適用)
- 影響のない状態までクリーンな環境にリストア
- 再発防止
- フィッシングメールの送信元を分析し、同様の攻撃がないか調査
- 全社員に注意喚起を実施(類似の攻撃を防ぐため)
📌 「インシデント対応は“流れを覚える”のではなく、“実際に動けるか?”が重要!」
✅ 今日からできるアクション
- 「もしランサムウェアに感染したら?」を想定し、自分ならどう動くか考える
- 会社のインシデント対応マニュアルを確認し、「不明点がないか?」をチェック
- 上司や先輩に「過去のインシデント対応で苦労した点」を聞いてみる
3-3. セキュリティツールを実際に触ってみる
3.3.1. EDR(Endpoint Detection and Response)の活用
EDR(Endpoint Detection and Response)は、PCやサーバーの異常な動作を検知し、リアルタイムで対応するツール です。
✅ EDRを使うとできること
- 不審なプロセスの検知(例:マルウェアが動作していないか?)
- 端末の隔離(感染したPCをネットワークから自動的に遮断)
- 過去のアクティビティの分析(感染源を特定するためのログ分析)
📌 「EDRは“導入するだけ”ではなく、“どう活用するか?”が重要!」
✅ 今日からできるアクション
- EDRの管理画面を開き、「直近1ヶ月の検出ログ」を確認する
- 「過去のマルウェア検出事例」を調べ、感染の流れを理解する
- EDRの設定を見直し、「どんなポリシーが適用されているか?」をチェックする
まとめ
この第3章では、 「セキュリティ運用の実務経験を積む方法」 を学びました。
📌 今日のポイント
- ログ監視では「異常な動作」を見抜く力をつける
- インシデント対応の流れを理解し、冷静に動ける準備をする
- SIEMやEDRの操作を実際に試し、「どう使うか?」を学ぶ
💡 次のステップ:第4章では、「より高度なセキュリティ技術を学び、専門性を深める方法」を解説します!
今日のアクションを1つでも実践し、実務スキルをレベルアップさせましょう!