フォレンジック認証：GNFA

GNFA とは何でしょうか？企業はどのように活用すればいいでしょうか？GNFA 有資格者のメリットは何でしょうか？

情報セキュリティを業務とする人はおそらく、SANS (SysAdmin、Audit、Network、Security) Institute についてはよくご存じだと思います。情報セキュリティ分野に特化したグローバル組織として高い評価を受けています。調査、ニュース速報、トレーニング、セキュリティ関連の警告を提供するほか、多くのタスクフォースや産業界の組織に携わっています。インシデント対応、脅威調査、およびフォレンジックで世界的に通用する認定を求めている人たちに幅広いコースを提供している Global Information Assurance Certification（GIAC）プログラムにも関与しています。

GIAC Network Forensic Analyst Certification (GNFA) は、GIAC コースの１つで、ネットワークベースの証拠を調査するのに必要なプロセスに習熟しているかが問われます。2014年11月から提供されており、関連するデータが膨大過ぎて従来のフルディスクデータ分析では太刀打ちできなくなってしまった環境で、フォレンジックの専門家を支援するように設計されています。

SANS 所属の執筆者かつ認定インストラクターである Phil Hagen 氏は、プレスリリースで次のように述べています。「GNFA 認定の有資格者は、さまざまなソースからの証拠を統合して、調査結果の忠実性を向上させることができます。この認定は、特定のツールだけに依存するのではなく、調査の一環としてネットワークデータをどう分析できるかを判定できるように設計されています。」

このブログは、詳細を説明するものではなく、GNFA の概要を記述しています。GNFA 認証は4年ごとに更新する必要があり、コースの教材は、新しい攻撃方法、対策、および関連ツールを反映するために常に見直されていますから、詳細に触れるとすぐに古くなり不正確になってしまいます。そのため、ここでは根底にある変わることのない理念について説明します。

投資に見合うメリット

GIAC のコースは、iPad が大した額ではないように思えてくるほど高価ですが、データフォレンジック、調査、脅威アセスメントなどが必要な業務に携わる人や部門にとっては、GNFAは重要な認定であり、広範なトレーニング資料（コースのシラバスを参照）が用意されています。

GIAC が認定試行と呼んでいるもの（私は試験と呼びますが）は現在、SANS のトレーニングやバンドルオプションなしで1,899ドルかかります。すでに SANS の資格がある場合は、アフィリエイト価格として800ドルの割引が適用されます（割引コードはメールで問い合わせる必要があります）。また、推奨される SANS トレーニングコース（FOR572：高度なネットワークフォレンジック：脅威ハンティング、分析、およびインシデント対応）を利用する場合、試験の「試行」にかかる費用は769ドルですが、FOR572 オンデマンドトレーニングの費用は6,610ドルで、合計すると7,379ドルになります。これはかなりの投資額ですが、他のファクターも考慮する必要があります。

個人的な見解として、自分が選択するとすれば、準備もなく試験を受けて不合格になり「試行」の費用がムダ金になるというリスクを冒すよりも、トレーニングを受ける方を選びます。トレーニングへのアクセスがわずか4か月であり、承認されたピアソンテストセンターでの同時受験の制限があるため、自習、オンライン、プライベートのいずれか、支払い可能なトレーニングを利用するのがおそらく最善だと思います。価格は様々なので、利用可能なすべてのトレーニングのオプションを確認することをお勧めします。

ほとんどのサイバー攻撃とデータ侵害はネットワークを通して行われるという事実を考えれば、GNFA は投資に見合ったメリットがあると思います。ただし、合格率は70％であり、認証が保証されているわけではないことには注意が必要です。

GNFA は、大学院学位（情報セキュリティ工学の修士号）を取得するための単位と見做される GIAC 認証の1つでもあります。

フォレンジックの専門家

伝統的な意味のフォレンジックは、犯罪活動を検出するために証拠を収集し、最終的にその証拠を使用して犯人を特定するものです。サイバー、データ、またはネットワークのフォレンジックも、基本的には同じです。フォレンジックの専門家は、特異な才能を持った天才というわけではなく、綿密に証拠を集める現代版シャーロック・ホームズです。したがって、証拠を破壊しないこと、つまり犯罪現場を荒らさないようにすることが、非常に大切です。

重大なデータ侵害が発生した場合、フォレンジック調査者は、その発生方法、影響を受けるデータ、（侵害されたデータに個人識別情報（PII）が含まれていれば）影響を受けるユーザーを特定します。データ侵害が発生して、被害を受けた企業が、「ハッキングされましたが、誰がそれを行ったのか、データがキャプチャされたかどうかはわかりません。」と、その詳細を説明できなければ、どのように受け取られるでしょうか？規制当局からの厳しい制裁金は免れないでしょう。憤慨した顧客が集団訴訟を起こすことも十分考えられます。

社内にフォレンジック専門家がいない多くの企業は、要件に応じて1時間あたり200〜600ドルの料金で外注することになります。基本的なプロジェクトでも完了までに数日かかります。フォレンジックの専門家は需要が高いので、給与は6桁に達します。

企業および個人の選択肢

筆者自身は複数のハイテク多国籍企業の元社員ですが、特にIT部門の優秀な社員を留めておくには、社内トレーニング予算を十分に確保することが重要だと思います。会社が現在のIT部門に投資を惜しまず、トレーニングなどの支援をするなら、IT部門の社員は意気に感じて誠意を尽くすでしょう。表面をなぞるだけの退屈な団結力醸成のための社内研修よりもはるかに有意義です。

IT部門の社員に GNFA などの GIAC コースに参加させることは、企業にとって検討に値する選択肢です。もちろん、コースあたり約8,000ドルの費用がかかりますが、更新（約400ドル）が必要になるまでは年間約2,000ドルです。そのような対策を取らなければ、ハッキングされた場合、外部コンサルタントへの受託料は数時間で2,000ドルぐらいには達します。業務として勤務時間の一部を高度な脅威アセスメントとトラフィック調査に充てることができる専門知識を持った社員がいる方が良いでしょう。ハッキングが発生してから、トレーニングを受けなかったIT部員を非難するのは筋が通りません。技術者は多くの場合、新しいスキルを習得することに熱心であり、潜在的なリスクを軽減して業務運営を強化するための認定取得への予算を確保すれば、企業にも社員にもメリットがあります。

なお、求められている分野で認定を取得した社員は、昇給があってしかるべきでしょう。

フォレンジック認定を受けることはセキュリティ専門家への大きなメリットになります。特にプログラミングや情報セキュリティのバックグラウンドがある場合、待遇に納得できなければフォレンジック分野で新しい機会を見つけることができます。GNFA は利用可能なフォレンジックコースの中の1つに過ぎませんが、非常に重要なコースであり、産業（たとえば医療など）インフラストラクチャ、モバイル、ワイヤレスなど、得意分野と組み合わせてアピールすることもできます。