【SEC】第3章:実務への参加 ~6ヶ月~18ヶ月で実務経験を積む~

【SEC】第3章:実務への参加 ~6ヶ月~18ヶ月で実務経験と初期の問題解決~

基礎知識を学んだ後、次のステップは実際の業務に参加し、セキュリティ運用の現場で経験を積むことです。

本章では、SIEMを活用したログ監視、インシデント対応の初歩、セキュリティツールの運用など、日々の業務で求められるスキルを詳しく解説します。単なる座学ではなく、「どうやって異常を検知し、対応すべきか?」を実践的に学び、即戦力としての力を身につけることが目標です。具体的な手順や行動指針とともに、現場で活かせるスキルを習得しましょう。

3-1. セキュリティエンジニアの「日常業務」に参加する

3.1.1. ログ監視の目的と流れ

セキュリティ運用の基本業務の一つが ログ監視 です。
ただし、ログを眺めるだけではなく、「何が異常なのか?」を判断し、適切な対応を取ることが重要 です。

ログ監視のステップ

  1. ログの収集
    • SIEM(Security Information and Event Management)ツールを使用(例:Splunk, QRadar, ELK Stack)
  2. フィルタリング(異常を抽出)
    • 例:「失敗したログイン試行」「管理者権限での不審な操作」
  3. 異常なアクティビティの特定
    • 例:「深夜2時に海外IPから管理者アカウントでログイン試行 → 不正アクセスの可能性」
  4. 対応の実施(封じ込め・通知・調査)
    • 例:「IPアドレスをブロックし、影響範囲を調査」

📌 「ログを監視するだけでなく、何をもって“異常”と判断するかを理解し、実際の対応までを意識する!」

3.1.2. 実際の異常ログ例

正常なログ(問題なし)

2024-02-15 10:00:12 | User: employee1 | Action: Login | Status: Success | IP: 192.168.1.10

→ 通常の社内ログイン。問題なし。

異常なログ(不正アクセスの兆候)

2024-02-15 02:30:45 | User: admin | Action: Login | Status: Failed | IP: 203.0.113.50
2024-02-15 02:31:05 | User: admin | Action: Login | Status: Failed | IP: 203.0.113.50
2024-02-15 02:31:25 | User: admin | Action: Login | Status: Failed | IP: 203.0.113.50

→ 深夜に海外IPから管理者アカウントのログイン試行 → ブルートフォース攻撃の疑い

📌 「ログを正しく読み取り、異常を見抜く力をつけることが重要!」

✅ 今日からできるアクション

  1. SIEMツールにログインし、直近24時間のログを確認する
  2. 「過去1週間で失敗ログインが多いアカウント」を調査し、異常がないかチェックする
  3. 上司や先輩に「よくある異常パターン」を聞き、メモしておく

3-2. インシデント対応の初歩を学ぶ

3.2.1. 「実際にインシデントが発生したらどうする?」

インシデント(セキュリティ事故)が発生した際に最も大切なのは、「冷静に、正しく対応すること」 です。

インシデントシナリオ

シナリオ:社内のPCがランサムウェアに感染

【状況】

  • 社員がフィッシングメールの添付ファイルを開き、PCがランサムウェアに感染
  • ファイルが暗号化され、「身代金を支払え」との警告メッセージが表示された

【対応の流れ】

  1. 初動対応
    • PCをネットワークから切断(LANケーブルを抜く or Wi-Fiを無効化)
    • 感染したPCのIPアドレス・ホスト名を記録
  2. 影響範囲の調査
    • SIEMやEDRで他のPCに感染が拡大していないか確認
    • 影響範囲が特定できるまで同じネットワーク内の端末を隔離
  3. 復旧作業
    • 最新のバックアップがあるかを確認(3-2-1ルールを適用)
    • 影響のない状態までクリーンな環境にリストア
  4. 再発防止
    • フィッシングメールの送信元を分析し、同様の攻撃がないか調査
    • 全社員に注意喚起を実施(類似の攻撃を防ぐため)

📌 「インシデント対応は“流れを覚える”のではなく、“実際に動けるか?”が重要!」

✅ 今日からできるアクション

  1. 「もしランサムウェアに感染したら?」を想定し、自分ならどう動くか考える
  2. 会社のインシデント対応マニュアルを確認し、「不明点がないか?」をチェック
  3. 上司や先輩に「過去のインシデント対応で苦労した点」を聞いてみる

3-3. セキュリティツールを実際に触ってみる

3.3.1. EDR(Endpoint Detection and Response)の活用

EDR(Endpoint Detection and Response)は、PCやサーバーの異常な動作を検知し、リアルタイムで対応するツール です。

EDRを使うとできること

  • 不審なプロセスの検知(例:マルウェアが動作していないか?)
  • 端末の隔離(感染したPCをネットワークから自動的に遮断)
  • 過去のアクティビティの分析(感染源を特定するためのログ分析)

📌 「EDRは“導入するだけ”ではなく、“どう活用するか?”が重要!」

✅ 今日からできるアクション

  1. EDRの管理画面を開き、「直近1ヶ月の検出ログ」を確認する
  2. 「過去のマルウェア検出事例」を調べ、感染の流れを理解する
  3. EDRの設定を見直し、「どんなポリシーが適用されているか?」をチェックする

まとめ

この第3章では、 「セキュリティ運用の実務経験を積む方法」 を学びました。

📌 今日のポイント

  • ログ監視では「異常な動作」を見抜く力をつける
  • インシデント対応の流れを理解し、冷静に動ける準備をする
  • SIEMやEDRの操作を実際に試し、「どう使うか?」を学ぶ

💡 次のステップ:第4章では、「より高度なセキュリティ技術を学び、専門性を深める方法」を解説します!
今日のアクションを1つでも実践し、実務スキルをレベルアップさせましょう!