セキュリティエンジニアの役割は、システムの設計にかかわる上流工程からインシデント対応まで幅広い。事故が起こったら、迅速に状況を把握するスキルが必要。一方で、数多くある業界ごとの規約を理解し、適切に設計するスキルも求められる。

 「おかしなメールを開いてウイルスに感染したようだ」。ユーザーからこう連絡を受けたNTTデータ先端技術の佐藤 玲氏は、新幹線に乗って現地に急行した。セキュリティ事故は、電話やメールだけでは分からない状況が多くある。

 実際、メールを開いたのはデスクトップ仮想化(VDI)経由で接続したPCで遠隔地にあると現地で分かった。そのPCを調べたり、何百Gバイトもあるデータを取得したり、佐藤氏の仕事は現地での作業が中心になる。

 まず状況を調べ上げるが、闇雲ではない。ユーザー企業のシステム構成、重要データの保管場所、アクセス権限などによって、見るべきログや設定は変わってくる。攻撃者の考えを想像し、どういう流れで攻撃してきたのか可能性を探る。状況に応じて、調査する内容が変わってくるのだ。

 調査ポイントを早く見つけ出すスキルは、システムを作った経験がベースにある。どこにどういうログを出しているのか、セキュリティのレベルはどうなっているのかを、迅速に把握しなければならない。

[画像のクリックで拡大表示]

 インシデント対応には、攻撃の事例や手法などの情報収集が欠かせない。佐藤氏は、日本シーサート協議会に加盟している組織などとの情報交換を行っている。