今回ご紹介する Talos の脅威ハンターは、数年間政府機関で働いた後、ダーク Web に潜入して脅威を追跡するようになりました。
子どもの頃、Jacob Finn は刑事になりたかったと言います(獣医になりたいと思ったこともあったようですが、迷う時間はたっぷりありました)。
その Finn は現在、Talos で刑事の仕事をしています。と言っても、犯罪現場を徹底的に捜索して手がかりを見つけながら犯罪者を追跡しているわけではありません。代わりに、ダーク Web フォーラムの情報を読んで分析を行い、一般公開されているインテリジェンスを利用し、ネットワークテレメトリを駆使しながら、攻撃者が次に何を狙うのかの兆候を探っているのです。
Finn は Talos 脅威インテリジェンス脅威防御チームで戦略アナリストとして働いています。仕事の内容については、「3 万フィートの上空からサイバー脅威の状況を見渡すこと」だと言い表しています。Finn の仕事の大部分は、脅威の評価と警告をまとめたレポートを書くことです。この情報は、インテリジェンスパートナー、お客様、サイバー攻撃の被害者に提供されます。また、サイバーセキュリティ エコシステム全体の官民連携を支持する主要人物としての顔も持っています。
民間企業で働くようになってからも、Finn は常に公共の領域に片足を突っ込んでいます。つまり彼にとってはうってつけの環境だということになります。
2 期目を迎えたエリック・ガルセッティロサンゼルス市長の下でサイバーセキュリティ政策参事官として勤務したことが、Finn のサイバーセキュリティのキャリアのスタートでした。このときは、ロサンゼルスと同様のセキュリティ問題を抱える他の大都市との新たな情報共有協定の締結に取り組み、サイバーセキュリティ関連の政策について市長にアドバイスを行ったほか、防御能力の向上を政府に強く訴えかけました。
2019 年にエリック・ガルセッティロサンゼルス市長の代理でパネルに登壇した Finn(中央)
ところが Finn は、「サイバーセキュリティが自分の長期計画に入るとはまったく考えていなかった」と言っています。
カリフォルニア大学ロサンゼルス校(UCLA)で学士号を取得した後、Finn はイスラエルのヘルツリーヤにあるライヒマン大学に通いました。そこで国土安全保障とテロ対策の修士号を取得したのですが、それこそが彼が自分の仕事にしようと考えていた分野でした。カリキュラムの一環としてサイバーテロを学んだことが、世界的なテロ組織がインターネットを利用してどのように活動を進めているのかを研究するようになったきっかけです。カリフォルニアに戻った後、ロサンゼルス市長公安室から、市長へのアドバイスを行う職に就かないかというオファーを受けます。
アトランタなど他の大都市が、影響の大きかった大規模なランサムウェア攻撃に対処していた頃、Finn はガルセッティ市長の下で働いていました。Finn が主導した取り組みの 1 つが、ロサンゼルスの姉妹都市であるオークランド(ニュージーランド)と広州(中国)の 2 都市と協力して、新たなセキュリティ脅威と自然災害に関する多国間協定を締結したことです。
ロサンゼルス、オークランド(ニュージーランド)、広州(中国)間の情報共有協定の調印式に臨む Finn(左端)、2019 年
「協定の一環として、大規模な緊急事態から地域社会を守るためのベストプラクティスを考案することになり、その中には情報共有体制の構築も含まれていました」と Finn は語っています。「これは、安全保障政策やセキュリティ対策を主導するという点で、都市がいかに重要な存在かを示していると思います。連邦政府では財源や国家レベルの政策ばかりが議論され、地方レベルでどのように政策が実施されているかは、実際には見えません」
Finn はその後、米国防総省で働くことになります。数年間の勤務でインテリジェンスと国家安全保障の専門知識を身につけた後、民間企業への転職を決意し、Talos の戦略インテリジェンスアナリストの仕事に応募しました。
現在は Talos の各種インテリジェンスソース、一般公開されている調査結果、パートナーのリソース、シスコ製品のテレメトリを調べ上げ、主要な攻撃者の動向と新たな脅威を追跡しています。Finn が主に焦点を当ててきたのは、国家が支援する攻撃者と、犯罪グループが起こす脅威です。
調査結果は、最終的には公開レポートやお客様への警告、Cisco Secure 製品向けの防御コンテンツを作成するために Talos の検出チームと共有するインテリジェンスという形を取ります。Finn と彼のチームは、2022 年の主要な攻撃者の動向をまとめた Talos 初の『一年の総括』レポートの作成に大きく関わりました。
Finn が行政機関で働いた経験は現在の仕事に生かされています。情報を共有することの重要性と、自治体と重要な公共サービスの安全を守ることを使命とする担当者にとって、どういった種類のセキュリティ問題が重要なのかを知っているからです。ただし Talos で働くようになってからは、技術的なスキルの多くを実地で学ぶ必要もありました。勤務初日を迎えるまでは Mac のターミナルを開いたことすらなかったと冗談交じりに話しています。
「Talos の誰もが、人はそれぞれ異なる背景を持ち、備えているスキルや貢献できる分野が異なり、同じレベルの技術的知識を持っていない可能性があることを理解しています」と Finn は言います。「今では私も Talos のさまざまなツールを使いこなしながら、エンドポイントのログやネットワークテレメトリなどのデータセットを調べています」
Finn は今も、セキュリティの動向が何を意味し、それがアメリカ国民にどういう影響を与えるのか考えることに多くの時間を費やしています。
最近は、ワシントン D.C. の著名な国家安全保障シンクタンクである Center for a New American Security(CNAS)のピッチコンペ(国家安全保障政策をテーマにした『Shark Tank』のようなもの)に参加しました。Finn はパネルディスカッションで、民間企業が申請できる新しいサイバーセキュリティ認証プログラムに関する自分のアイデアを披露しました。
Finn が紹介したアイデアは、個人情報を保護するために使用されるセキュリティ対策、検証方法、その他のサイバーセキュリティ プロトコルに関して、民間企業が遵守することのできる一連の基準などです。
「企業が PII(個人を特定できる情報)や弁護士と依頼者間の秘匿特権に関する情報といった機密データを保管するサービスまたは製品を販売している場合、消費者は、自分のデータが侵害される可能性が低くなるよう、その企業が一定レベルの基準を満たしているか確認したいと思うでしょう」と Finn は語っています。「この認証プログラムは、利益を追求する企業としては、消費者が望むのであれば、より強力なセキュリティ基準を採用しようとするのが当然だという前提の上に成り立っています」
CNAS のパネルディスカッションで Finn が話した内容は以下の動画でご覧いただけます。
Finn が戦略分析チームの一員として申し分ないのは、このような幅広い思考力を備えていて、ソートリーダーシップを発揮できるからです。戦術的なマルウェア攻撃や特定のボットネットの核心に迫るのではなく、あらゆる方向から情報を仕入れ、セキュリティ環境における次の大きな脅威や動向の把握に努めるのが Finn の仕事です。ここで紹介したすべてのことは、多様なスキルセットと職業経験を持つ研究者が Cisco Talos の防御に貢献できることを示しています。
本稿は 2023 年 05 月 08 日に Talos Group のブログに投稿された「Researcher Spotlight: Jacob Finn creates his own public-private partnership at Talos」の抄訳です。