@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

フォレンジッカーって何するの?

スキルマップなどを眺めていると、フォレンジッカーって何するの?という疑問が出てきます。

NICCS:Workforce Development ❯ Cybersecurity Workforce Framework ❯ Digital ForensicsのTasksに記載されている項目を参照すると、色々と興味深い項目が多くあります。

https://niccs.us-cert.gov/workforce-development/cyber-security-workforce-framework/digital-forensics

例えば上記URLでは、タスクの一つとして下記項目が出てきます。

Collect and analyze intrusion artifacts (e.g., source code, malware, and trojans) and use discovered data to enable mitigation of potential Computer Network Defense incidents within the enterprise

ネットワーク侵入に関する痕跡(アーティファクト)を収集・解析し、発見した結果をネットワーク防御にも役立てるという趣旨かもしれませんが、実務として考慮した場合にはかなり幅広い内容に分解される気がします。

痕跡の収集についても、例としてマルウェアやトロイの木馬が挙げられていますが、それらに関する収集という点では、インシデント発生前に組織外のオープンな情報に基づく場合もあるでしょうし、インシデント発生後に組織内ネットワークにおいてアーティファクトを発見するという観点もあるように思えます。
ネットワーク侵入に対しては、フォレンジッカーはデジタルデータの取得・解析(マルウェア解析含む)・対策を行う事が求められるという事になりそうですが、これは主に民間でのお話でしょうか?、Tasksの項目には法執行機関に関連すると考えられる項目もありますので、それらは求められる内容も異なるので分けて考えた方がよいかもしれませんね。

タスクの項目として典型的なハードディスクやファイルシステムに関しては下記が項目として出ていますが、この辺りは伝統的な手法ですね。流石にこの辺りは基本的な作業内容なので、例えばマルウェアを解析するにも検体を発見できない、という事になりかねませんね。(見落とすとか自分のスキル不足を痛感する点は別途ありますが...)

NICCS:Workforce Development ❯ Cybersecurity Workforce Framework ❯ Digital Forensics より引用

  • Perform file signature analysis
  • Perform file system forensic analysis
  • Perform hash comparison against established database
  • Perform timeline analysis
  • Perform static analysis to mount an \image\" of a drive (without necessarily having the original drive)"
  • Perform live forensic analysis (e.g., using Helix in conjunction with LiveView)
  • Use data carving techniques (e.g., FTK-Foremost) to extract data for further analysis

項目が混じっているのですが、マルウェア解析系の項目は下記あたりでしょうか。

NICCS:Workforce Development ❯ Cybersecurity Workforce Framework ❯ Digital Forensics より引用

  • Perform static malware analysis
  • Perform tier 1, 2, and 3 malware analysis
  • Perform virus scanning on digital media
  • Use network monitoring tools to capture and analyze network traffic associated with malicious activity

更にその他にも項目としては、サイバー犯罪や訴訟に関連した項目が出てきますが、この辺りは日本のスキルセット項目や実施項目としてはあまり記載されているのを見かけない内容ですね。

タスク内容を見ていると、インシデント発生時には何かと作業しないといけない人達というイメージになりそうですが、日本のスキルマップでは、デジタルデータのコピーを取得する人達というイメージなのでしょうか。

もちろん、例示されているタスクを一人ですべて可能とするのは大変な気がしますので、分業する箇所もあると思われますが、もしかして普通は一人で全部出来ちゃうもんなんでしょうかね。

 <2016/11/20追記>

海外(米国 ベンチュラ郡)での求人(Salary $60,614.86 - $85,017.89 Annually)が偶々 11/10 に DFIR ML で流れていましたが、ここで求められている内容は知識やスキルを確認する点でも参考になりますね。

Sheriff's Computer Forensics Examiner
https://www.governmentjobs.com/careers/ventura/jobs/1564057/sheriffs-computer-forensics-examiner

NECESSARY SPECIAL REQUIREMENTS としては下記が挙げられています。コンピュータ系と、モバイル系の取得・解析ツールについての経験が必要なようですね。

上記 Sheriff's Computer Forensics Examiner のページより引用:

  • Forensic examinations of computers and related peripherals
  • Various software used for investigative computer forensics, (i.e. EnCase, FTK)
  • Various hardware used for the extraction of information from cellular devices (i.e., Celle-Brite, Lantern, XRY)
  • Report writing
  • Product evaluation and procurement

更に知識としては上記のベースとなる項目が書かれている印象です。マルウェアなどに関する知識も求められていますね。わざわざレジストリは項目として記載しているのが興味深いところです。

上記 Sheriff's Computer Forensics Examiner のページより引用:
Knowledge, Skills, and Abilities:

  • Knowledge of information technology including computers and related peripherals. 
  • Knowledge of the principles and procedures used for investigative computer forensics.
  • Knowledge of and the ability to use a variety of software and hardware products used in computer forensics examinations and to extract information from cellular devices.
  • Knowledge of IT security, computer viruses, Trojan horses and malware.
  • Knowledge of and the ability to work with the systems registry.
  • Ability to tolerate exposure to images of a graphic and/or pornographic nature.
  • Must possess good interpersonal skills and have the ability to develop and maintain effective working relations with others.
  • Ability to effectively communicate in written form, specifically report writing.
  • Ability to communicate effectively in an oral manner.

日本の求人においては、この様な形で詳しく要件やKSAが書かれているのは少ないのではないでしょうか。

国内の民間企業における求人情報を検索してみると、なぜかコンサルタント経験などを求めている事が多い気がするのですが、気のせいでしょうか。会計監査法人などは更に簿記なども書かれていますので、業界により求められる知識などが異なりますね。

ちなみに、eDiscovery はまったく上記と異なるスキルセットが必要になってくる部分があり、そちらを希望される方は業界が異なるので注意が必要ですね。