注目のセキュリティ研究者:世界を股に掛ける組織の保護を支援する Yuri Kramarz
カタールのワールドカップから東アジアのロボット製造までさまざまな分野の経験を積んだインシデント対応担当者
Yuri “Jerzy” Kramarz は、カタールで開催されるワールドカップの支援企業や、セキュリティカンファレンスの Black Hat
、国の重要インフラなど、あらゆるものの保護を支援してきました。
大規模環境のサイバーセキュリティに精通している Kramarz ですが、世界各地のさまざまな規模の企業や組織の仕事にも、引き続きやりがいをもって取り組んでいます。
最近のインタビューでは、「企業の安全性を高めることに心底やりがいを感じています」と語っています。「最終的な対応内容は 2、3 種類に落ち着きますが、最初にいくつかのソリューションを組み合わせた後、お客様の意見を伺い、それを踏まえて実際の対応内容を組み立てていくことになります」。
Kramarz は Cisco Talos インシデント対応チーム(CTIR)のインシデント対応シニアコンサルタントを務めていて、現在はカタールに拠点を置いています。CTIR が提供する一連のサービスの一環として、さまざまな演習、インシデント対応計画の作成、サイバー攻撃が発生した場合の復旧などについてお客様に説明するのが彼の仕事です。英国からカタールに異動してからは、主に、11 月に開幕予定のワールドカップに向け、カタールのさまざまな地元団体の準備に力を注いでいます。カタールは、国際的なサッカートーナメントのために 170 万人以上が同国を訪れると見積もっています。さまざまなスタジアムやイベント会場に 1 日平均 50 万人が訪れることになります。参考までに、世界銀行の推定では、現在のカタールの人口は 290 万人です。
ということは、同国の企業やネットワークは、かつてない量のトラフィックに対処しなければなりません。また、ランサムウェア攻撃で声明を出したり金銭を稼ごうとしたりしている攻撃者たちの注目も確実に集めることになるでしょう。
「大規模な国際イベントの間のお客様の保護については、それぞれのお客様の職務、テクノロジー、機能に応じ、まったく別の角度で準備を進める必要があります」と Kramarz は述べています。
どんな大規模イベントでも、さまざまなデバイス、システム、ネットワークを相互接続し、訪問者やファンにさまざまなホスピタリティ設備が提供されますが、そうした設備はサイバー攻撃の標的となる可能性があります。イベントに参加するすべての国は、イベントに伴うリスクを理解する必要があります。また、展開される可能性のあるさまざまな敵対行為を考慮してこれらの設備を保護しなければなりません。
Kramarz はセキュリティ分野の仕事でおよそ 12 年のキャリアを持ち、アジア、中東、ヨーロッパ、米国などさまざまな地域で働いてきました。従来型の IT や ICS/OT 環境でのレッドチーム演習(標的への攻撃をシミュレーションしてセキュリティ上の潜在的弱点を洗い出す作業)や、脆弱性調査、ブルーチームの防御を指揮してきた経験があります。これらすべてのスキルを活かせるインシデント対応は、彼にぴったりの分野と言えます。
Kramarz は 2011 年にセキュリティコンサルタントとして Portcullis Security 社に入社し、2015 年にシスコが同社を買収した後は、シスコのさまざまな部署で仕事に従事してきました。レッドチームの一員だった頃に課されていた仕事は、エクスプロイトを開発したうえで、その後に残される可能性のある痕跡について考えることでした。つまり、現時点のセキュリティ構造の欠陥部分を明らかにすることを仕事としていたのです。
「ペイロードを設計しようとするたびに、どのような痕跡がシステムに残るかをフォレンジック的な観点から把握する必要がありました」と語っています。「CTIR に配属される前の 10 年間も、事実上インシデント対応を行う必要があったのです」。
CTIR はプラットフォームを問わず対応しているため、Kramarz の経験の幅広さはその点でも役立っています。他の企業のテクノロジーやソフトウェアを利用しなければならないケースは珍しくありません。たとえば今年初めに開催された Black Hat カンファレンスでは、シスコチームの一員として、ラスベガスのオンサイトネットワークのセットアップと防御を担当しました。
「問題が発生する前に攻撃者の動きを確実に阻止できるよう、さまざまなテクノロジースタックをすべてチェックする必要がありました」と述べています。「チェックから始め、その後これらのテクノロジーを使用して何が起こっているかをリアルタイムで検出できるようにしました。さらに、Cisco SecureX を使用して対応機能の一部を統合しました。緊急時には、何かを展開するために数日間あるいは数週間もの時間をかけることはできません。効果的なインシデント対応を提供するためには、その場のすべてのテクノロジーについて学んでおく必要があります」。
さまざまなタイムゾーンのさまざまな時間帯に働くのも、Kramarz は慣れたものです。彼にとって特に印象深かったインシデント対応事例は、待機中だったある日の真夜中に要請が来て対応したときのものでした。ある大手複合企業がランサムウェア攻撃を受けたのです。彼をはじめとする CTIR チームが即座に対応し、ランサムウェア攻撃を特定して根絶。最終的に、システムを無事オンラインに戻すことができました。
「これをきっかけとしてそのお客様とは良好な関係を築き、現在に至っています」と語っています。
インシデント対応は深夜に及ぶ場合もありますが、さまざまな時間帯に勤務でき、必要なときには休暇も取れる Cisco Talos の柔軟性には感謝していると言います。現在はゴルフで息抜きをしていて、どの国の人とも語り合える共通の話題になっているようです。ゴルフ以外の趣味は、さまざまなオープンソースプロジェクトに取り組むことです。
インシデント対応の分野に参入して以来、それまで以上に対人スキルを駆使することが重要になっています。CTIR がインシデント対応をチームスポーツ化しようとしているためです。
「心がけているのは、機嫌よくいること、そして毎朝鏡に映った自分に対して『お客様のために最善を尽くそう』と声をかけることです」と Kramarz は言います。「レポートには、自信をもって署名できるようにしたいと思っています」。
ワールドカップが終わったら、重要インフラと運用技術の保護に引き続き注力することになるようです。課題はお客様ごとに異なると Kramarz は指摘しています。運用技術の多くが 20 年または 30 年以上前のテクノロジーである場合もあるほか、お客様にはそれぞれの問題に対応した独自のソリューショ
ンが必要だからです。
「ある国で起きたインシデントでは、被害を受けたデバイスは数台しか製造されなかった機種でした。そのため、デバイスの機能やハッキング可能な相手を解明すべく、10 年も前に作られたバインダー綴じの紙のマニュアルを調べなければなりませんでした」と語っています。「Unix や Windows などの標準的なオペレーティングシステムの場合、証拠を得る方法は分かっていて、そのために役立つツールもあります。ですが、ICS/OT 環境ではそうした方法もツールもない場合が珍しくないため、この分野ではイノベーションが重要になります」。
Kramarz をはじめとする CTIR チームのメンバーの協力が必要な場合は、こちらからご連絡ください。Talos インシデント対応チームは、実践的な机上演習、トレーニングのための最先端のサイバーレンジなど、セキュリティチーム向けのさまざまなプロアクティブサービスを提供しています。
本稿は 2022 年 10 月 03 日に Talos Group
Tags:
