アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

フォレンジッカーのスキルセット?

日本国内においても、デジタル・フォレンジック(以降DFと省略)の人材育成に関するスキルセットとして幾つか資料が出てきています。しかし、それらを比較してみると、求められている内容にはかなり違いがあるようです。

 

(1) 

産業横断サイバーセキュリティ人材育成検討会 最終報告 (平成28年9月14日公開)
http://cyber-risk.or.jp/sansanren/index.html

上記URLでは、A2.産業横断 人材定義リファレンス~機能と業務に基づくセキュリティ人材定義~(要求知識)では、CSIRTの項目として「フォレンジックス」がありますが、内容としては“機器の保全、被害拡大抑止、証跡保全活動”という項目が挙げられています。

対象者としてはかなり広い範囲で知識が求められる事になっていますが、それぞれのポジションにおいて、どの深さまでの知識が必要なのかについての定義は見当たりません。

この資料をベースとした場合、まずはデジタルデータの保全(つまり複製の取得)が出来る事を求めているように読めます。そうした場合、知識として保全があるという事を知っていれば良い人と、実際に複製の取得を行う担当者では求められる技術レベルが異なってきます。

 個人的には被害拡大抑止は、インシデント・ハンドリングやトリアージに関連した項目ではないかという印象も受けます。

 

(2)

CSIRT 人材の定義と確保 Ver.1.0
http://www.nca.gr.jp/activity/training-hr.html

インシデント対応の項目として「フォレンジックス」が登場し、内容としては“証拠保全、システム的な鑑識、足跡追跡。マルウェア解析”が記載されています。

一部の保全関連については産業横断サイバーセキュリティ人材育のスキルセットに近いですが、マルウェア解析、が新たな項目として出てきます。
PDFファイル 34ページでは、役割として①フォレンジック責任者、②業務推進者、③分析者、と定義されており、それぞれについてスキルが列挙されています。ただ、スキルについては役割が何であれ求められている内容としては下記になっています。

ページ34 役割と必要となるスキル(1/3)より引用
・情報セキュリティ監査能力
・マネジメント能力
・OS/ファイルシステム/アプリケーション/プロトコル/攻撃手法等に関する知識
・フォレンジック用ツールに関する知識

興味深いのは、産業横断サイバーセキュリティ人材育のスキルセットよりも幅広く定義されている点でしょうか。

ページ37には「役割毎のキャリアパス」が記載されていますが、前提条件として「セキュリティ技術基礎知識」が定義されています。キャリアパスの注目点としては2年で技術を習得し、3年目からはマネジメント能力の向上とだけ記載されている点でしょうか。

ページ34で求められるスキルセットが、キャリアパスでは1年ないし2年で身に付く事になっているのか分かりませんが、個人的にはかなり短期間で育成が行われる前提に見えます。

 (3)

セキュリティ知識分野(SecBoK)人材スキルマップ2016年版
http://www.jnsa.org/result/2016/skillmap/

NICE Cybersecurity Workforce Framework に原則として準拠と書かれています。
Exceシートに詳細が記載されていますが、手元のPCにExcel入ってないので。。。

 

(4)

NICCS
Workforce Development ❯ Cybersecurity Workforce Framework ❯ Digital Forensics
https://niccs.us-cert.gov/workforce-development/cyber-security-workforce-framework/digital-forensics

KSAsとTaskについてかなり詳細に記載があります。具体的な技術的な項目として何が必要とされるのか?という観点ではこちらのURLの方が参考になる点が多いかと思います。Related Job Titlesとしては、Computer Forensic Analyst、Computer Network Defense Forensic Analyst、Digital Forensic Examiner、Digital Media Collector、Forensic Analyst、Forensic Analyst (Cryptologic)、Forensic Technician、Network Forensic Examinerといった肩書で呼ばれる人たちですね。
KSA(Knowledge, Skills, and Abilities)としては下記が記載されています。実際の作業内容として求められる項目については Tasks に記載されていますが、どちらも実務という観点ではしっくりくる項目が多いですね。


NICCSのページより引用

 

  • Experts in this Specialty Area have the following Knowledge, Skills, and Abilities:
  • Ability to decrypt digital data collections
  • Knowledge of anti-forensics tactics, techniques, and procedures
  • Knowledge of applicable laws (e.g., Electronic Communications Privacy Act, Foreign Intelligence Surveillance Act, Protect America Act, search and seizure laws, civil liberties and privacy laws, etc.), statutes (e.g., in Titles 10, 18, 32, 50 in U.S. ...
  • Knowledge of basic concepts and practices of processing digital forensic data
  • Knowledge of basic physical computer components and architectures, including the functions of various components and peripherals (e.g., CPUs, Network Interface Cards, data storage)
  • Knowledge of basic system administration, network, and operating system hardening techniques
  • Knowledge of common forensics tool configuration and support applications (e.g., VMWare, WIRESHARK)
  • Knowledge of data carving tools and techniques (e.g., Foremost)
  • Knowledge of debugging procedures and tools
  • Knowledge of deployable forensics
  • Knowledge of electronic evidence law
  • Knowledge of encryption algorithms (e.g., IPSEC, AES, GRE, IKE, MD5, SHA, 3DES)
  • Knowledge of file system implementations (e.g., NTFS, FAT, EXT)
  • Knowledge of hacking methodologies in Windows or Unix/Linux environment
  • Knowledge of how different file types can be used for anomalous behavior
  • Knowledge of incident response and handling methodologies
  • Knowledge of investigative implications of hardware, Operating Systems, and network technologies
  • Knowledge of legal governance related to admissibility (Federal Rules of Evidence)
  • Knowledge of legal rules of evidence and court procedure
  • Knowledge of malware analysis tools (e.g., Oily Debug, Ida Pro)
  • Knowledge of processes for collecting, packaging, transporting, and storing electronic evidence to avoid alteration, loss, physical damage, or destruction of data
  • Knowledge of reverse engineering concepts
  • Knowledge of security event correlation tools
  • Knowledge of seizing and preserving digital evidence (e.g., chain of custody)
  • Knowledge of server and client operating systems
  • Knowledge of server diagnostic tools and fault identification techniques
  • Knowledge of the common networking protocols (e.g., TCP/IP), services (e.g., web, mail, Domain Name Server), and how they interact to provide network communications
  • Knowledge of types and collection of persistent data
  • Knowledge of types of digital forensics data and how to recognize them
  • Knowledge of virtual machine aware malware, debugger aware malware, and packing
  • Knowledge of web mail collection, searching/analyzing techniques, tools, and cookies
  • Knowledge of which system files (e.g., log files, registry files, configuration files) contain relevant information and where to find those system files
  • Skill in analyzing anomalous code as malicious or benign
  • Skill in analyzing memory dumps to extract information
  • Skill in analyzing volatile data
  • Skill in collecting, processing, packaging, transporting, and storing electronic evidence to avoid alteration, loss, physical damage, or destruction of data
  • Skill in conducting forensic analyses in multiple operating system environments (e.g., mobile device systems)
  • Skill in deep analysis of captured malicious code (malware forensics)
  • Skill in developing, testing, and implementing network infrastructure contingency and recovery plans
  • Skill in identifying and extracting data of forensic interest in diverse media (media forensics)
  • Skill in identifying obfuscation techniques
  • Skill in identifying, modifying, and manipulating applicable system components (Windows and/or Unix/Linux) (e.g., passwords, user accounts, files)
  • Skill in interpreting results of debugger to ascertain tactics, techniques, and procedures
  • Skill in one way hash functions (e.g., Sha, MDS)
  • Skill in performing packet-level analysis (e.g., Wireshark, tcpdump, etc.)
  • Skill in physically disassembling PCs
  • Skill in preserving evidence integrity according to standard operating procedures or national standards
  • Skill in setting up a forensic workstation
  • Skill in using binary analysis tools (e.g., Hexedit, xxd, hexdump)
  • Skill in using forensic tool suites (e.g., EnCase, Sleuthkit, FTK)
  • Skill in using virtual machines