受講の背景
【1回目の受講】上司のアドバイスで1つ上のコースを受講―SECURITY 660
最初にSANSトレーニングを受けたのは、入社2年目の頃です。当時はプラットフォーム診断業務に携わりながら、プライベートでは未知の脆弱性を探す取り組みを行っていました。
上司から「SANSトレーニングを受けてみては?」と提案され、まずは多様なコースカリキュラムの中から自分が受けたいトレーニングを検討しました。企業・組織に介在する脆弱性を検査する方法とエシカル・ハッキングに関するノウハウが学べるトレーニングで、GPEN(GIAC Penetration Tester)認定コースである「SECURITY 560 Enterprise Penetration Testing」を受けようと考えました。
しかし、上司から「未知の脆弱性発見にも取り組んでいるなら、ペネトレーションテストだけのGPENよりも、さらに未知の脆弱性を見つける技術と一歩進んだペネトレーションテストについて学べるGXPN(GIAC Certified Exploit Researcher and Advanced Penetration Tester)のほうが良い」とアドバイスを受け、GXPN認定コースであり、熟練のペネトレーションテスターが行う攻撃を学習できる「SECURITY 660 Advanced Penetration Testing, Exploit Writing, and Ethical Hacking」を受講しました。
【2回目の受講】コンサルタントとして、マルウェアに関する知識を身に付ける―FORENSICS 610
入社3年目になると、脆弱性に関する知識を評価されコンサルティング部門に配属されましたが、当時はマルウェアに関する話題が非常にホットな時期でした。しかし当時の私はマルウェアについては詳しい知識を持っていなかったため、お客様から「うちって大丈夫なの?」とご相談をいただいても即答できないこともありました。
さらにロシアによるウクライナへの軍事侵攻や、電子メールを介して感染する遠隔操作型のボットマルウェアである「Emotet」が再び急増したことにより、マルウェアへの注目度の高まりや、攻撃手法の変化を実感していました。
もちろん独学を進めてはいましたが、もっと体系的に学ぶ必要があると考え、2回目のSANSトレーニングは、マルウェア解析に使うツールと解析に関わる技術を詳細に学べる「FORENSICS 610 Reverse-Engineering Malware:Malware Analysis Tools and Techniques」を受講したいと自ら上司に伝えました。
【3回目の受講】SANSトレーニング最高難易度コースを受講―SECURITY 760
プライベートで行ってきた未知の脆弱性を探す取り組みは、現在も継続しています。そのため2回目のトレーニングを受講してから、次の機会があればペンテスター向けの最高位コースである「SECURITY 760 Advanced Exploit Development for Penetration Testers」のトレーニングを受けたいと考えていました。
「SECURITY 760」は、アプリケーションのリバースエンジニアリングによる脆弱性の発見、リモートユーザーアプリケーションとカーネルのデバッグ、ワンデイエクスプロイトに対応するためのパッチ解析など、複雑で難解な脆弱性に対応する技術を学べるトレーニングです。受講者が少ない上位コースは開催頻度が低いため、開講されるまで2年程待って受講することができました。
受講の効果
セキュリティ技術者として引き出しが増えたことにより自信も
これまでに3度のSANSトレーニングを通じて学んだ知識は、決してその時々の業務に直結しているものばかりではありませんでしたが、ライフワークのように取り組んでいる未知の脆弱性を探すための取り組みに役立っていますし、セキュリティ技術者として引き出しが増えたという手応えを感じています。トレーニング受講後は、マルウェアに関するお客様からの質問にもその場で答えられるようになりました。
組織における活用のポイント
SANSトレーニングと並行した拡張的な学びが重要
セキュリティ技術者の育成は業界全体の大きなテーマです。SANSトレーニングは高度な技術者を育成する上では非常に有効である一方で、受ける側の主体性がなければ「高額なトレーニングを受けた」という事実だけに留まってしまう可能性もあると感じています。
SANSトレーニングは情報量が多く、難易度も高いトレーニングです。それゆえに講義やハンズオンを通して体系的に高度な技術を学ぶことができますが、学んだことを自分のものとして確実に会得していくためには、受講後の拡張的な復習や実践、実際に業務に応用できるのかがとても重要です。
トレーニングでの学びを業務に最大限生かすためには、受講者自身が主体性を持って取り組めるテーマについて受講できるコースを選択することが大事だと思います。
とはいえ、セキュリティに関わる全ての方が、明確に興味のある領域を持っている訳ではありませんから、セキュリティ人材の育成を担っている組織としては、セキュリティ未経験者や経験の浅い方が主体的に取り組みたいと思えるようなきっかけづくりも必要かもしれません。
今後の展望
次はクラウドに関するトレーニングを受講したい
私が未知の脆弱性探しに取り組み始めた理由の一つは、実際の技術力をもっと高めたいと思ったからです。攻撃手法が高度になっていく中で、資格取得によって得た知識を使って、実際に応用できる技術力を身につける必要があると考えました。そこから実際に取り組んでいく中で、様々な診断や脆弱性、領域について理解を広げ、技術の面白さに気付くことができました。また、AWS、Azure、GCPといったクラウドコンピューティングを活用する企業が増えてきているので、機会があれば、次はクラウドに関するトレーニングを受けてみたいと考えています。
※本文中の組織名、職名、概要図は2023年6月時点のものです。