SIEMでの分析に特化した資格GCDAの紹介【エンジニアに役立つ資格】

はじめに

セキュリティ本部のtomoya-fです。私は新卒でIIJに入社してから、約6年間IIJ SOCのセキュリティアナリストとしてSecurity Information and Event Management（SIEM）を用いた脅威分析やSIEMの検知ルール管理からはたまたSIEM周りのインフラ運用をしていました。現在はマルウェア解析見習いとして日々勉強中です。

そんな私がセキュリティエンジニアにおすすめするのが、GIAC Certificate Detection Analyst（GCDA）です。GCDAはSIEMを用いた脅威分析、検知の技術を持つことを示す資格であるため、SIEMを用いたログ分析を生業とするSOCアナリストには特におすすめの資格となります。

GCDAとは

GCDAはセキュリティ団体であるSANS Instituteが提供する資格のGlobal Information AssuranceCertification（GIAC）資格の1つです。GIACはISO/IEC 17024の認証を受けており、世界的に認められているセキュリティ資格と言っても過言ではないと思います。このGIACの試験はいずれもSANS Intituteが提供するトレーニングを受けていること前提に問題が出題されるため、トレーニングを受講後に挑戦することが望ましいです。

※ GIAC試験のみを受けることも可能ですが、トレーニング内容を元に問題が作成されるため、おすすめはしません。

SANS Insituteが提供するトレーニングは費用が高いことが非常に痛いところですが、費用に見合ったクオリティの高いトレーニングが提供されています。GCDAはSIEMによる脅威分析、検知をテーマとしたトレーニングであるSEC555に関連した資格です。SEC555ではSOF-ELKと呼ばれるSIEMを利用して以下のようなSIEMを用いた脅威分析を体系的に学ぶことができます。

• SIEMのアーキテクチャ
• ログのパース（SIEMで分析できるようにログのフィールドを認識させること）
• ログの可視化
• DNSサーバやWebプロキシなどのアプリケーションログ、Windowsのイベントログなどの分析方法
• 検知ルール作成の観点

SIEMを用いた脅威分析、検知をテーマとした書籍やトレーニングはマルウェア解析などの他のセキュリティ分野に比べると、非常に少ないと思われるため、SIEMでの脅威分析を学ぶ候補としてSEC555は最適だと思います（あくまで個人の感想です）。また、ログ分析に関しては各ログの特徴だけでなく、ログのエンリッチメントや攻撃があった場合のログなど、実践的なテクニックも学ぶことができます。

資格持っていると業務に役立つの？

資格が直接役立ったことは正直ないです。しかし、GCDA取得に至るまでに学んだ分析の観点や考え方は業務では非常に役立っており、私の軸になっています。また、SIEMのアーキテクチャなどセキュリティ以外の部分についても知ることが出来るため、ログ監視のインフラ部分に少し詳しくなれます。SOCのセキュリティアナリストは脅威分析がメインの業務となるため、SIEMなどの監視環境のインフラ技術に触れることはあまりないかと思われます。普段触れない技術に触れることができるので、私としては良い刺激となりました。

（その後、私はログ監視のインフラに興味を持ち、一時期SIEMのインフラ運用をしていたのはまた別のお話）

まとめ

本記事ではGCDAとSEC555について紹介しました。本記事を読んでSIEMを用いた脅威分析や検知に興味を持った方はぜひSEC555とGCDAを受けてみて下さい。
最後に、SEC555の最終日に行われるCTFで優勝すると以下のようなかっこいいコインがもらえます。