【SEC】第4章:応用技術の習得 ~実務応用力の向上と深掘り~

【SEC】第4章:応用技術の習得 ~実務応用力の向上と深掘り~

実務経験を積み、基本的なセキュリティ業務に慣れてきたら、より高度な技術を学び、応用力を高めるフェーズに入ります。

本章では、ファイアウォールやEDRの運用、ランサムウェア対策の強化、ログ解析の実践など、セキュリティエンジニアとしての専門性を深めるスキルを解説します。日々の業務で発生するセキュリティ課題に対して、自ら考え、適切な対応策を実行できる力を身につけることが目標です。実践的な知識を学び、より高度なセキュリティ対策に取り組みましょう。


4-1. 中級レベルのネットワークセキュリティを理解する

4.1.1. ファイアウォールのルール設定の落とし穴

ファイアウォールの設定ミスは、社内ネットワークへの攻撃の入り口を作る ことになります。
例えば、誤った設定によって外部からの不正アクセスを許可してしまうケースがよくあります。

誤った設定の例

ALLOW ANY FROM 0.0.0.0/0 TO 192.168.1.100 PORT 22

→ これは危険!全世界からSSH(22番ポート)へのアクセスを許可してしまう!

適切な設定の例

ALLOW SSH FROM 192.168.1.0/24 TO 192.168.1.100 PORT 22

→ 社内ネットワーク(192.168.1.0/24)からのみSSHアクセスを許可

📌 「必要な通信だけを許可する」ことが、セキュリティの基本!

✅ 今日からできるアクション

  1. 自社のファイアウォール設定を確認し、「ANY許可」の設定がないか調査する
  2. SSHやRDPなどのリモートアクセス系のポートが適切に制限されているかチェックする
  3. 「どの通信が本当に必要か?」を整理し、不要なポートを閉じる提案をする

4-2. エンドポイントセキュリティの強化

4.2.1. マルウェア感染を想定したEDRの活用

EDR(Endpoint Detection and Response)は、
従来のアンチウイルスと異なり、「リアルタイムで端末の挙動を監視し、異常を即座に検知・対応できる」 のが特徴です。

実際のEDRアラートログの例

[ALERT] Suspicious process detected: C:\Users\admin\AppData\Local\Temp\malware.exe
- Process started from unknown email attachment
- User: employee1
- IP: 192.168.1.50

→ メールの添付ファイルから不審なプログラムが実行されている可能性が高い!

📌 「EDRアラートが発生した際に、どのように調査・対応するか?」を学ぶことが重要!

✅ 今日からできるアクション

  1. EDRのアラート履歴を確認し、「過去1ヶ月の検出イベント」を分析する
  2. 「EDRアラートが発生したら、何を確認すべきか?」の手順書を作成する
  3. EDRポリシーを確認し、「どのプロセスがブロック対象になっているか?」を調べる

4-3. ランサムウェア対策の強化

4.3.1. 3-2-1ルールの具体的な実践

ランサムウェア対策として、データのバックアップは「3-2-1ルール」を適用することが推奨されている。

3-2-1ルールの実践方法

3つのコピーを作成

  • 元のデータ(本番環境)
  • クラウドストレージにバックアップ
  • オフラインの外付けHDDにも保存

2種類の異なるメディアに保存

  • 1つはローカルディスク
  • もう1つはクラウドやテープストレージ

1つはオフラインで保管

  • ネットワークから切り離し、攻撃の影響を受けないようにする

📌 「バックアップがあっても、ランサムウェアによって削除される可能性がある。オフラインの保管が必須!」

✅ 今日からできるアクション

  1. 自社のバックアップ運用を確認し、「オフラインバックアップ」があるか調べる
  2. ランサムウェア対策として「バックアップの整合性チェック」を定期的に実施する
  3. 「バックアップデータが復元可能か?」を実際にテストする

4-4. ログ解析の実践

4.4.1. ログを読んで「何が起こったか?」を推測する

ログ解析は、セキュリティエンジニアにとって不可欠なスキル。
異常な動作を検知するためには、「通常の状態」と「異常な状態」の違いを理解する必要がある。

正常なログ

2024-02-20 08:00:00 | User: employee2 | Action: Login | Status: Success | IP: 192.168.1.30

通常の業務時間内のログインで、問題なし

異常なログ(不正アクセスの兆候)

2024-02-20 02:30:12 | User: admin | Action: Login | Status: Failed | IP: 45.76.123.200
2024-02-20 02:31:05 | User: admin | Action: Login | Status: Failed | IP: 45.76.123.200
2024-02-20 02:31:25 | User: admin | Action: Login | Status: Failed | IP: 45.76.123.200

深夜に海外IPから複数回ログイン試行 → ブルートフォース攻撃の可能性が高い!

📌 「ログを見て、実際にどんな異常が起きているのかを推測することが重要!」

✅ 今日からできるアクション

  1. 過去1週間分のSIEMログを確認し、「通常とは異なるパターン」を探す
  2. ログを読んで、「このアクティビティは正常か?」を考える習慣をつける
  3. 異常なログを発見したら、「どのように対応すべきか?」をまとめる

まとめ

この第4章では、 「より高度なセキュリティ技術を学び、実務に活かす方法」 を学びました。

📌 今日のポイント

  • ファイアウォールの設定を見直し、不要なポートを閉じる
  • EDRを活用し、「感染した後の対応」まで考える
  • ログを読んで「異常な動き」を見抜くスキルを身につける

💡 次のステップ:第5章では、「リーダーシップと高度なセキュリティ対策」を学び、より実践的なスキルを身につける方法を解説します!