ID:27920さん

# 概要 以下の４種類のセキュリティ診断を行ってきました。 1. Web/APIアプリケーション診断（Web診断） 2. ネットワーク診断（NW診断） 3. PCIDSS対応クラサバ診断 4. ペネトレーションテスト（ペネトレ） 5. その他（コンテナ診断やlot診断の診断項目作成・検証など） # スキル - セキュリティ手動診断およびツールに対する全般知識 - PCIDSSに準拠した診断 - 日英でのレポート作成能力 - オンサイトやメールなどの顧客対応力 - 成長に対する強い意欲 # 担当業務 - 診断対象の選定 - 診断 - レポート作成 - 顧客対応 ## 診断対象の選定 対象サイトで診断する必要があるかどうかの判断する ## 診断 診断対象の特性（csrf対策、セッション管理、処理の仕方など）を分析し、それに応じた診断の実施やPoCの作成する ## レポート作成 発見した脆弱性に対してCVSS（危険度）をつけて、その脆弱性による悪用方法や改善案などを簡潔にまとめる ## 顧客対応 診断前後で発生する問題（情報の過不足）について顧客に確認しました。また、オンサイト（客先常駐）では、一人だったので顧客との調整など営業的な役回りもこなしました。 # 苦労点 ## ブラックボックステストによるアプリ内部構造の不明確さ 診断時には外部からアプリに対して攻撃をするため、アプリ内部の構造を予想しながら診断をする必要がありました。そのため、診断の初めにはアプリの情報を得るための情報収集を行い、挙動を常に予想しながら診断することを心掛けていました。 ## 新規診断サービスの立ち上げ コンテナに対する診断の項目を作成するにあたり、コンテナの特徴や攻撃手法など全く知らない状態だったので、実際に環境を作成し、ツールの検証を行ったり、公式のベストプラクティスを参考にしながら診断項目の作成を行いました。 # 実績(2019年)： - Web診断：800リクエスト - NW診断：10IP - クラサバ診断：4サイト（100画面） - ペネトレ：5IP

# プロジェクト背景 旧SOC環境の物理機器の老朽化によるサービス停止の懸念があったため、クラウドへの移行することになりました。また、インフラのセキュリティに不備もあり、要件定義などからSOC環境を再定義することにしました。 # 担当工程 要件定義・基本設計・詳細設計・テスト・構築 # 担当箇所 ## Linux Server（CentOS7） - 全サーバー - セキュリティ要件定義 - ログ管理の要件定義から構築まで - Active Directoryとの認証連携 - プロキシサーバーの要件定義から構築まで - squidによるプロキシ設定 - ブラックリストの設定 ## Windows Server 2012R2 - 全サーバー - セキュリティ要件定義 - ログ管理の要件定義から構築まで - Active Directoryとの認証連携 # 苦労したポイント ## LinuxとWindowsの認証連携（AD）の実装 複数の技術（PAMやkerberosなど）が組み合わさっているのでエラー原因を特定しづらかったため、１つずつエラーメッセージを分析し解消していきました。 ## ログ管理の要件定義 親会社のセキュリティ基準をSOC環境に合わせるために、NISTといった公式リファレンスを参考にし、ログ管理にはどういった要件が必要なのかや実運用でログ分析するためにはどんなログを取得することが望ましいかなどについて考えました。

以下の２つの業務を主に行いました。 1. 通信分析 2. マニュアル整備 # 1. 通信分析 ## 業務内容 - WAFを利用したセキュリティ監視 - インシデント対応 - レポート作成（月次・インシデント時） - 顧客対応 ## 業務の流れ ### 前提 顧客環境にアラートポリシーを設定したWAFを設置し、常時ログを取得しながら、監視を行う。 ### 業務概要 取得したログをモニターで監視しつつ、アラートポリシーに違反した通信に対して、splunkなどを使って詳細に分析を行う。 ログ分析の結果、緊急度が高いものや疑わしいものに関しては、即時で顧客の運用担当に連携し、対応を行う。 また、誤検知の場合はポリシーのチューニングなどを行い、より精度の高いアラートメールの取得に努める。 # 2. マニュアル整備 ##　業務内容 - 新規マニュアルの作成・既存マニュアルの修正 - エスカレーションの体制整備 - アラート分析の知見の共有 ## 業務概要 必要と思われるマニュアルや体制などを予測し、チームで連携をとりながら、体制を整えいく。 特に、夜間対応などは人数が限られてくるため、マニュアルは再現性が高くかつわかりやすい内容を記載する必要があった。 # 苦労したポイント 短時間で正確な分析とレポートの提出を求められる場面が多いため、普段からログの分析や勉強・検証などを行っていました。自分に足りない知識や経験などから逆算して、どんな技術やスキルを身につければ良いのかを考え、勉強に生かしました。