セキュリティアナリストは大量のサイバー攻撃を1秒でも早く解決するため、その“武器”となるマウスやキーボードの選定・買い替えには余念がない。今回は趣向を変えて、セキュリティアナリストがどんなマウスやキーボードを使っているかをご紹介したい。

セキュリティアナリストのPC周りの例
セキュリティアナリストのPC周りの例
[画像のクリックで拡大表示]

1分1秒を争うセキュリティアナリスト

 筆者は現在、社内の研究開発部門に勤めるが、それ以前の7年間は顧客組織のネットワークを監視・防御するラックのセキュリティ監視センター「JSOC(ジャパン・セキュリティ・オペレーション・センター)」で、セキュリティアナリストとして在籍していた。セキュリティアナリストとは膨大なログを解析してサイバー攻撃やマルウエア(悪意のあるソフトウエア)感染が疑われる通信などを見つけ出し、その後は原因を特定したり影響範囲を洗い出したりして、セキュリティ侵害の解決に向けて支援する技術者である。

 サーバーへの攻撃もPCのマルウエア感染も日常的に発生するなか、JSOCはまさにサイバーセキュリティの最前線の一つといえるだろう。JSOCではセキュリティアナリストが2交代の24時間体制で勤務し、約850の企業・団体のセキュリティを遠隔から監視している。顧客組織が持つIPS(不正侵入防止システム)やIDS(不正侵入検知システム)、ファイアウォールといったセキュリティ機器から送られてくるセキュリティログは1日当たり6億~8億件にのぼる(2016年6月時点)。

 これら膨大なログはまずJSOCのシステムが集約する。セキュリティアナリストは集約されたログの内容を目視で確認したり相関関係を分析したりする。サイバー攻撃やマルウエア関連通信の特徴と一部似通った正常な通信が増える中、セキュリティ機器の過検知や誤検知ではないのか、正常通信なのかなどを判断する。「確かに顧客への攻撃である」と判断した場合は、攻撃の有効性を調査するために顧客のサーバーなどにアクセスして調査するケースもある。

 顧客サーバーへの調査はサイバー攻撃の増加や悪質化に伴い、頻繁に発生している。攻撃が成功している、もしくは成功の可能性が高い場合や、マルウエア感染の可能性が疑われる場合は、重要インシデントとして顧客に電話やメールで連絡するとともに、インシデントの被害極少化や事故対応に向けた支援も提供する。過去の例では、顧客のWebサーバー上にバックドアが設置されていたケースや、管理者アカウントと思しき情報が外部に送信されていたケースもある。重要インシデントは言うまでもなく、情報漏洩につながる可能性があるため、1分1秒でも早く顧客に連絡し、攻撃者が次の手を繰り出す前に早期対応してもらう必要がある。

 勤務中の12時間、分析と対応支援がひっきりなしに続き、セキュリティアナリストはデュアルディスプレーを余すところなく使ってブラウザーや専用ツールを配置し、常にマウスやキーボードをカチャカチャと操作し続けている。こうした中、分析品質と対応速度をそれぞれ高めるべく、様々な工夫を施している。数ある工夫の中から今回は「分析に集中できる環境作り」に関する工夫を取り上げたい。具体的には、「高機能・高性能」「身体への負担の軽減」「製品の組み合わせによる創意工夫」の三つの観点で“最前線で戦うための武器”であるマウスやキーボードをどう選んでいるかを解説する。