SANS GCDAに合格しました

 2019年7月にSANS Cyber Defence Japan 2019で開催されたSANS SEC555 “SIEM with Tactical Analytics” を受講し、2019年11月に対応する試験である SANS GCDA (GIAC Certified Detection Analyst) にギリギリ (合格ライン79% / 得点率79%) で合格しました。GCDAは世界中でも600人強 (2019年12月時点) しか保有者がいない、SANSの中でもかなりマイナーな資格です。

なぜSANS SEC555の受講を希望したのか

 学生の時代からセキュリティを学問として学び、その知識を生かしつつ業務をこなしている今の若手とは異なり、管理人は様々な仕事を経験した上でセキュリティを終生の業務分野として選び、40歳を過ぎてからジョブポスティングシステムを利用して当該業務に就きました。趣味の延長線上でいろいろなツールを利用してみたり、それに関わる記事を書いたり、はたまたセキュリティ記事の翻訳をやったことなどもありましたが、前述のような若手が持つセキュリティに関わる基礎知識 (特に暗号の理解やデータ分析に必要となる数学的素養) やそれを形にするために必要となるプログラミング能力が圧倒的に欠落しています (独学で学習を試みたこともありましたが力及ばず…) 。

 CTFで華麗にバイナリを解析してフラグを得たり、独自ツールを開発して海外のカンファレンスで発表したりすることに対する憧れはありますが、自分の市場価値を高めることを目的に研修を受講するとなると、今からその分野に切り込むのは合理的とは言えません。自分の現在の職場にゴロゴロいるペシャリストを見ていると、彼らと同じ分野で競うのはぶっちゃけ非現実的であるとすら思えます (話についていける程度の知識を習得する努力はしますが) 。

 なので、研修で何かを学ぶのであればライバルが少ない分野にしようという観点からSANSの研修コースを吟味した結果として選択したのがSEC555でした。” SIEM with Tactical Analytics” の副題の通りSIEMを利用した分析手法を学ぶコースですが、検知アルゴリズムの考え方などは純粋な技術力がなくても何とかなりそうです。日々の業務にもSIEMが関係しているので業務にも役立ちますし、何より周りを見渡してもその分野の知識を体系的に学んだという人は誰もいないようなので、これならば…と思った次第です。

SANS SEC555のコース内容

 誤解を恐れずに端的に言うと、OSSで構成されたSIEMを活用し、ハンズオン形式で様々なログ分析手法をケーススタディを通じて学ぶ、という内容です。コースは月曜日~土曜日の全6日間ですが、SANSの他のコースと同じように最終日はメダルを賭けたハンズオンベースのCTF (のようなもの) のみなので、実質5日間ということになります。

 最初は座学で、SIEMとは何ぞやというところから講義が始まりますが、すぐに配布されるVMイメージの中に構築されているLogstash, Elasticsearch + Kibana (ELK) の利用が始まり、以降座学 → ハンズオンを通じた学習 → 演習を繰り返してゆくことになります。個人的な体感ですがハンズオンパートの進行ペースはそれなりに早く、Linuxの基本的なコマンド操作や設定ファイルの編集に不慣れだと、かなり苦労することになるでしょう。管理人は日々の業務でSplunkを使っていたのでElasticsearchも何となくわかりましたが、DBや全文検索エンジン関連の経験の有無も理解度への影響はあったと思います。

 管理人が参加した回がたまたまだったのかもしれませんが、業務でLogstash & ELK環境を利用している参加者がいて、そこがCTFではやたら強かったです (当たり前ですね…) 。GCIHに続き、今回もメダルは獲れませんでした…

GCDAの試験内容

 管理人は合格ライン79%で得点率79%という、あともう1問間違えていたら落ちていたという状況でなんとか合格しましたが、実はプレテストはもっといい数字が出ていました。本番の5日前に受けたときは81%、前日に受けたときは83%で、心の中では本番も多少の余裕をもって通るだろうと思っていただけに、本当にあせりました (GCIHはプレテストが69% & 71%、本番で87%だったので真逆の状態) 。

 GCIHの時と同じく、今回もIndexは配布テキストの中に準備されていたので、インデックス付けは意識せずに1週間ほどをかけて全5日分のテキストを通読 & 気になる点はメモを取ってそれを持ち込んだのですが、それでは不十分でした。全体的に細かな知識よりも考え方を問われることが多かった (と記憶している) GCIHに比べ、CDGAは内容がよりテクニカルであったということもあり、細かな知識を問われたのが印象的でした。

 もしこれからGCDAを受けるという人がいたら、テキストに含まれる何かの一覧 (SyslogのSeverityやFacility、WindowsのEvent IDなど) がどこに掲載されているかを別途インデックスしておくことをお勧めします。たとえばWindowsのEventIDの場合、”何の”EventIDかによって確認すべき場所が変わってきます。それをテキストに含まれるインデックスから辿るのは簡単ではなく、時間がなければ運任せで選ぶしかなくなってしまいます。管理人はそれで確実に数問は落としました。

どのような人がSEC 555を受けるべきか

 実際に受けた感想としては、以下の条件の該当数が多ければ多いほどお勧めということになります。

  • ネットワーク機器 (IDS, IPS, FW, Proxy…) が管理下にあり、ログ収集 / 転送設定の投入ができる
  • ADが導入されており、エンドポイントのログを収集するためのポリシーを配布することができる
  • 超高価な商用SIEMを導入する予算はない、あっても自分の手でSIEMを構築してみたい
  • 監視対象の機器やネットワークの利用傾向をある程度把握している
  • SIEMの導入 & 維持にかける時間があり、周囲からそれに関する理解も得られる可能性が高い

 ちなみに管理人は、前述の通りSIEMの出力をチェックする立場にはありますが、自分でSIEMを構築・設定する立場にはありません。とはいえ、どのようにすれば検知効率を向上させることができるかを考える上で、SIEMがそもそもどのような仕組みのものかを体系的に学び、どのように検知を行っているのかをハンズオン形式で学習できたのは大きな成果だったと思っています。

 また、コース自体はSIEMという切り口ではありますが、もっとざっくり言えばネットワークやホストなどから収集されるログをどのように分析するのかということがテーマになるので、SIEMがある環境でないと役に立たない内容化と言えば、決してそうではありません。ログはあるがどのような観点で分析したらいいかわからない、という悩みを抱えている方にも役に立つトレーニングだと思います

Leave a Comment