はじめに
こんにちは。診断員の秋本です。
皆さん、情報処理安全確保支援士(以下、支援士)という資格はご存じでしょうか。
情報処理技術者試験のうちの1つで、情報セキュリティに特化した資格です。この資格は他の区分と異なり、登録制となっています。登録後は年1回のオンライン講習と3年に1回の実践講習の受講が義務付けられています。また、IPAが行う実践講習の代わりに、民間事業者等が開催する特定講習を受けることもできます。
私は今年で登録後3年目のため、実践講習か特定講習のどちらかを受ける必要があり、先日特定講習のRPCIを選択して受講してきました。
RPCIとは
RPCIのWebサイトより引用
RPCIとは、「Response Practice for Cyber Incidents」を意味する演習です。国立開発研究法人情報通信機構(NICT)が提供している実践的サイバー防御演習CYDER※の大規模な実機演習環境のノウハウを活かし、情報処理安全確保支援士(登録セキスペ)特定講習向けカリキュラムとシナリオを構築しました。本番に近いリアルな環境でのインシデント対応を行う演習になります。情報処理安全確保支援士の重要な役割のひとつである「脅威への対応と対策」に関して実践で学べます。
受講者のみなさんは、仮想組織のネットワークをシミュレートした演習環境上で擬似的に発生させたサイバー攻撃に、最大4人一組のCSIRTとしてチームで対処します。実際に起こり得る攻撃シナリオで、実機を用いてインシデントハンドリングのプロシージャーを1から10まで学ぶことが可能です。
※CYDER: 政府のサイバーセキュリティ戦略等に基づき、国の機関、地方公共団体、重要社会基盤事業者等を対象に実施している実践的サイバー防御演習です。セキュリティインシデントが発生した際の対応手順や事前の備え等について学ぶことができます。
RPCI受講を選んだ理由
私がRPCIを選んだ理由は以下の2点です。
- 普段の業務では触れない領域であること
- オフライン開催であること
それぞれについて詳しくお話しします。
普段の業務では触れない領域である
私は普段脆弱性診断士をしています。脆弱性診断士とは、お客様のWebサイトへ疑似攻撃を仕掛ける側の人間です。一方で、RPCIで体験するインシデントハンドリングは防御側、一般にブルーチームに分類される業務領域です。これは私の想像ですが、支援士の講習にRPCIを選択する方は、社内情シスの方が多いのではないかと思います。実際、私が参加した回はそういった方が多かったです。
にもかかわらず、情シスでもない私が参加した理由としては、見出しの通り「普段の業務では触れない領域である」からです。
情報セキュリティには多角的な視点が求められます。それは脆弱性診断であっても同様で、脆弱性診断士は攻撃のスキルだけあればいいというわけではないと私は考えています。診断士の仕事には、診断結果の報告が含まれています。この報告を受け取るのは主にセキュリティ担当などのブルーチームの方です。そういった方が報告を受け取ることを考えると、脆弱性のインパクトをより分かりやすく伝えるスキルも重要となります。ただし、そのためにはブルーチームの方が脆弱性に対してどんな危機感を持っているか、どのような説明がされていたら対応しやすいかといった知見が必要になるかと思います。
ブルーチーム視点での演習に飛び込むことでそのような知見を養えるのではないかと考え、今回ブルーチーム向け演習の受講を決めました。ブルーチーム向けの特定講習は他にもいくつか選択肢はありましたが、RPCIを選んだのは2つ目の「オフライン開催」が決め手でした。
オフライン開催である
IPAの実践講習もそうですが、特定講習も含めたオンライン開催が多めでした。
昨今の事情も相まって、オンライン開催の方が都合のよい方は多いかと思います(私のように会社全体のリモート移行に伴って地方移住をした等)。私自身、地方に移住した身なので、参加しやすさだけで言えばオンライン開催のメリットを享受できる側です。とはいえ、オンラインではコミュニケーションの難しさというデメリットがあります。
ブルーチーム向けの講習は多くが他の受講者との協力が必要な内容になっています。オンラインでのコミュニケーションに苦労して本題の講習に身が入らないようでは本末転倒であり、そのような事態は極力避けたいと思っていました。RPCIはオフライン開催のため、そういった問題を避けられる点で非常に大きなアドバンテージを持っていると思います。
そんなわけで、ブルーチーム向けの実践的な講習であり、かつオフラインで開催されるRPCIの受講を決めました。
当日の流れ
当日は以下の流れで講習が進んで行きます。
| 時間 | 内容 |
|---|---|
| 10:00~10:30 | オリエンテーション |
| 10:30~15:30 | 実習 |
| 15:30~17:10 | 実習の解答・解説 |
| 17:10~17:45 | 確認テスト |
| 18:00 | 閉会 |
なお、前日までにオンライン事前学習を受けるよう案内されます。オンライン学習はちゃんと取り組むと丸一日かかるようなボリュームです。事前学習を完了させなくても当日の受講は可能ですが、より学びを効果的にするためにも受けておいたほうがよいと思います。
オリエンテーション
オリエンテーションでは、当日の進め方や実習内容の説明、チーム内での自己紹介・役割分担などを行います。
今回の実習は、ある架空の企業において発生したインシデントを、自身がCSIRTの一員になりきってハンドリングしていくという内容でした。その中で、「連絡担当」「ベンダー担当」「情シス担当」の3つの役割が用意されています。参加状況によりますが、1グループ3名程度で構成されているので、メンバーはそれぞれの役割を選んで担当することになります。実習の中ではその担当にのみ閲覧可能な情報が運営から通達されるため、担当間の情報共有が重要だと念押しされたのち、実習が開始されます。
なお、担当とは別にチーム内のリーダー(課題の進行をまとめる等、メタ的な視点)も決める必要があったのですが、案の定じゃんけんで負けた人がリーダーを担当していました(やっぱみんなリーダーやりたくないんだね)。
実習
役割分担が終わると早速実習に入ります。
実習では、運営側から用意されたPCを操作し、HTMLフォームから「このような状況でどう対応すればよいか?」といった課題に回答していきます。この課題は計7問用意されており、グループで協力して同じ課題に取り組んでいきます。
課題の構成ですが、今回の主題となっている1つのインシデントハンドリングに対して、各設問を進めていくことで順を追ってインシデントハンドリングを進めていけるようになっています。より具体的な内容は公開厳禁のためここまでの説明となりますが、大まかにいうとインシデントハンドリングのステップごとに課題が設けられているようなイメージです。支援士の午後2を思い浮かべてもらえればよいかと思います。
ただし、もくもくと論述課題に取り組むわけではなく、回答のために別途手を動かす必要もあります。システム内の機器に侵入の痕跡がないか、どのような経路で認証情報が漏れてしまったのか、といったことは特定のツールを利用して分析していきます。
計7問ありますが、各課題ごとの時間制限は設けられていません。15時30分までのリミットだけが用意されており、その中でどの設問にどの程度時間をかけるかはグループ内で検討します。お昼休憩は1時間用意されているので、可処分時間はおよそ4時間程度となります。ただし、このお昼休憩をいつ取るかもグループ内で決める必要があります。
また、実習の際はチューターの方が会場内を見回っているため、不明点があればいつでも相談が可能になっています。課題に対する直接的なヒントはないですが、考慮不足な点があれば教えてもらえますし、考え方の方向性があっているかの相談も可能でした。
実習の解答・解説
各グループが課題を完了させていようがいまいが、この時間で強制終了となります。
この時間は講義形式で、講師の方が課題の模範解答とその解説をしていきます。各グループの課題に対して掘り下げていくことはせず、全員に共通の内容となっています。
確認テスト
こちらは個人への課題です。グループ内での相談は一切禁止で、フォームに用意された選択式問題をひたすら解いていきます。
内容としてはインシデントハンドリングにフォーカスした支援士の午前2のようなイメージです。
閉会
最後に簡単なアンケートに回答して講習は終わりとなります。
RPCIを終えた所感
受けてよかったな、というのが率直な感想です。
インシデントハンドリングの内容としては期待通りのもので、発生したインシデントに対するハンドリングを順序だてて体験することができました。さらに、短い時間の中でどの対応にどれほどの時間を配分するかといったことも考えなければならず、より現実のインシデントに沿った状況設定がされていた印象です。
限られた時間で、侵入された経路はどこか・どうやって侵入されたのか・どんな脆弱性を突かれたのか、そもそもまず今は何をしなければならないのか、といったことを休む暇なく次々と考えさせられました。慣れていないというか初体験の中でこれほど切羽詰まった状況に立たされれば、いやでも成長するなと感じました…笑
また、受講にあたって求められるスキルレベルも特段高くなかった点は安心しました。支援士の合格基準より高いものは無いので、不安な方は事前学習さえ終わらせていれば問題ないかと思います。
講習内容の活かし方
今後しばらくはインシデントハンドリングを行う立場にはいないので、今回の講習内容を直接活かす場面に遭遇することもないかなとは思います。それでも、以下の点は業務領域に関わらず活かせる学びにつながりました。
インシデントへの耐性
もう怖いものなし、というわけではないです笑
ただ、今回インシデントハンドリングの一連の流れを経験したことで、インシデントに対応するためにどのような情報が必要か、どのような対応が必要かということに触れることができました。万が一自分がインシデント発生に関与してしまった場合、証拠保全・情報共有は今回の講習を受ける以前と比べて、幾分かは余裕をもって対応できるのではないかと思います。それでも現実のインシデントに遭遇した際は落ち着いていられるはずはないのですが、ワクチンの予防接種程度の効果はありそうです。
まあ遭遇しないに越したことはないんですけどね。大丈夫、身構えている時に死神は来ないってアムロも言ってた。自発的な情報共有の重要性
これは日々のリモートワークで重々承知しているつもりでしたが、今回の講習であらためて実感しました。
課題に取り組む、ということになるとどうしても黙々と作業してしまいがちです。ですが、インシデントハンドリングという舞台では、双方向の情報共有・相談を各自の作業と並行して進める姿勢が求められます。普段と環境が変わるだけで、情報共有の姿勢がここまで欠けてしまうのか…と自分の非力さを痛感しました。
ですが、ただネガティブに陥ったわけではなく、グループ内での振り返りでの「どうしても作業に集中しちゃうよね。でもこの講習のおかげで、些細なことでも積極的に共有する姿勢の重要さに気づけました。」という意見に全員が共感し、ポジティブな心持ちで締めくくることができました。同じグループになった方々が善い人でよかったです。
まとめ
今回は特定講習として受けたRPCIの体験記でした。
料金について書き忘れていましたが、事前学習と当日の講習を含めて88,000円(税込み)です。支援士の更新のためでなくても、金額に見合う価値のある講習だと思います(今回の費用は会社負担ですが)。決して安い金額ではないですが、特定講習の受講を考えている方はぜひ検討してはいかがでしょうか。
最後に激レアステッカー(講師談)の自慢をして終わりです。
※本記事は2023年10月時点での筆者の個人的な講習体験に関する情報です。講習に関する正確な情報は、公式サイトをご確認いただくことをお勧めします。
