本サイト上のコンテンツは、参照目的だけのために、英語の原本から翻訳されたものです。また、本サイト上のコンテンツの一部は機械翻訳されたものです。日本語版と英語版の間に何らかの齟齬がある場合には、英語版が優先されます。
当社は改善のためのあらゆる努力を行いますが、翻訳の正確性及び信頼性は保証せず、当社に故意または重大な過失がある場合を除き、不正確性又は遺漏により生じる損失又は損害に責任を負わないものとします。
近年、システムやネットワーク上のデータを保護するためのセキュリティの必要性が急増しています。サイバーセキュリティの専門家は、次のようなさまざまな役割を果たします。
- ペネトレーションテストと脆弱性評価の実施によるシステムとネットワークのセキュリティの分析
- セキュリティ侵害を監視して対応し、データ損失を軽減する
- セキュリティ侵害の事後分析を調査および実行して、アクセスされたデータと攻撃者が使用したエクスプロイトを特定する
- システムとネットワークのセキュリティを強化するためのテクノロジーとプロセスの実装
Linuxはサイバーセキュリティにどのように適用されますか?
Linux は、サイバーセキュリティの専門家の仕事において非常に重要な役割を果たしています。Kali Linux などの特殊な Linux ディストリビューションは、サイバーセキュリティの専門家が詳細な侵入テストと脆弱性評価を実行し、セキュリティ侵害後にフォレンジック分析を提供するために使用します。
さらに、Linuxは、ルーター、ファイアウォール、次世代ファイアウォール(NGFW)デバイス、統合脅威管理(UTM)ゲートウェイ、仮想プライベートネットワーク(VPN)コンセントレーター、侵入検知システム(IDS)、侵入防御システム(IPS)、セキュリティ情報およびイベント管理(SIEM)アプライアンス、ワイヤレスアクセスポイント(WAP)デバイスなど、ほとんどのネットワークデバイスおよびセキュリティアプライアンスで使用されるオペレーティングシステムです。したがって、これらのデバイスからセキュリティ関連データを収集したり、セキュリティ強化を実行したりするには、まず Linux を理解する必要があります。
もちろん、サービスやデータをホストするオンプレミスおよびクラウドベースのLinuxサーバーも、サイバーセキュリティの専門家にとって焦点となるでしょう。クラウド内のほとんどのサーバーがLinuxを実行しており、ますます多くの企業がデータをクラウドに移行していることを考慮すると、これは今日特に重要です。
サイバーセキュリティの専門家のためのLinuxの5つの主要分野
つまり、サイバーセキュリティの専門家として働くことを計画している場合は、Linux オペレーティング システムに関する優れた実務知識が間違いなく必要になります。このブログ投稿では、サイバーセキュリティの専門家が習得しなければならないLinuxの5つの主要な領域を検討します。
Linux システムおよびネットワーク管理
Linux サーバー、ネットワークデバイス、セキュリティアプライアンスの侵入テスト、フォレンジック分析、セキュリティ監視のいずれを実行する場合でも、Linux 内で主要なシステムおよびネットワーク管理機能を実行する方法を理解する必要があります。これには、さまざまなコマンドとファイルの場所を理解することが含まれます。具体的には、適切なコマンドを使用して次の作業を行う必要があります。
- システム情報の表示 (アーキテクチャ、カーネルバージョン、ファイルシステムレイアウト、インストールされているパッケージ、実行中のプロセス、ユーザーセッション)
- ネットワーク構成の表示と変更 (IP 構成、オープン ポート、オープン ソケット、オープン ファイル、インストール済みサービス)
- Linux システムがサービス (SysV Init または Systemd) を開始する方法、および主要なサービスとプロセスの開始/停止を決定する
- 主要なシステムおよびサービス構成ファイルの変更
- イベントのログ記録方法 (rsyslogd または journald) とログファイルの場所を特定する
- Linuxディストリビューション(yum、dnf、apt、zypperなど)にソフトウェアをインストールします。
- システム上のさまざまな物理ファイルシステムと論理ファイルシステム (マウントポイント、LVM、ZFS、btrfs など) を表示して操作します。これには、dd などのユーティリティを使用した分析および証拠収集用のファイルシステム上のイメージングデータが含まれます。
- キーファイルまたは疑わしいファイルの内容を分析する
- ssh を含むさまざまな方法を使用してリモートシステムに接続します
正規表現
正規表現は、特定の Linux ユーティリティとともに使用される強力なワイルドカードで、さまざまなネットワークデバイスやサーバー上の主要なイベントのシステムファイルやログを検索します。Windows サーバー上のログでさえ、Linux システム (SIEM を実行しているシステムを含む) によって収集されることが多く、正規表現を使用して主要なセキュリティ関連イベントを絞り込むことができます。
正規表現を適切に使用すると、システムまたはネットワークが侵害されたかどうか、セキュリティ侵害の深さ、ハッカーが実行したアクションを判断できます。
たとえば、複雑な Linux 正規表現を使用して、ピボット (ハッカーが 1 つのシステムにアクセスし、そのシステムを使用して他の信頼できるシステムに簡単にアクセスするプロセス) の構成ファイルとログ ファイルを検索できます。セキュリティ侵害の証拠を見つけたら、見つけた情報を使用して、正規表現を使用して一連の異なるネットワークデバイスやサーバー上のシステムとログファイルを詳細に検索し、ハッカーがネットワーク上でたどった経路、ハッカーが侵害したシステムを追跡できます。 およびアクセスしたデータ。
SELinux と AppArmor
SELinux と AppArmor はどちらも、攻撃に対する高レベルの保護を提供する Linux システム上のアプリケーション中心のセキュリティモジュールです。インターネットにアクセスできるほぼすべての Linux サーバーと Linux ベースのネットワークおよびセキュリティ デバイスは、SELinux または AppArmor のいずれかを実装して、アプリケーションがシステムとデータのセキュリティを損なう可能性のあるタスクを実行するのを防ぎます。
そのため、Linux ベースのシステムを強化するときに使用する SELinux と AppArmor の両方の詳細な設定を理解する必要があります。SELinux または AppArmor を使用して既存のシステムを分析する場合、セキュリティモジュールによって適用されたポリシーと許可される例外を特定することも重要です。さらに、SELinux と AppArmor はどちらも侵入の試みやセキュリティ侵害に関連する情報をログに記録するため、セキュリティを監視したりフォレンジック分析を実行したりするサイバーセキュリティの専門家にとって非常に貴重です。
オープンソースのセキュリティツール
サイバーセキュリティの専門家なら誰でも、セキュリティツールキットの一部として有用だと考えるオープンソースツール は何百もあります 。サイバーセキュリティのすべての分野(分析、対応、フォレンジック、または管理)で役立つものもあれば、単一の領域で役立つものもあります。多くはKali Linuxなどのセキュリティ重視のLinuxディストリビューションにプリインストールされていますが、必要に応じてインストールできるものもあります。
サイバーセキュリティの専門家として、ネットワーク上のシステムについて詳しく知るために使用できる情報収集ツール(nmapなど)の詳細な使用法(偵察またはフットプリントと呼ばれるプロセス)に慣れる必要があります。さらに、脆弱性分析(OpenVASなど)、トラフィック分析(WireSharkなど)、侵入テスト(Ettercap、Metasploit、arpspoof、macofなど)に役立つツールを習得する必要があります。ほとんどのサイバーセキュリティ専門家は、分析のためにSIEMを使用してセキュリティ情報を一元的に収集するため、Alienvault OSSIMなどのLinuxベースのオープンソースSIEMソリューションのインストール、構成、および使用方法も知っておく必要があります。
Bash スクリプト
サイバーセキュリティ分析、対応、フォレンジック、管理のいずれを実行する場合でも、前の 4 つのポイントで説明したように、さまざまな Linux コマンドを活用する必要があります。これらのコマンドの多くは、将来同様のサイバーセキュリティ状況で再利用できるため、後で使用するために保存できる BASH シェル スクリプト内に配置することを常に検討する必要があります。私は、サイバーセキュリティの分析、対応、フォレンジック、または管理をできるだけ迅速に実行できるように、長年にわたって構築したサイバーセキュリティ関連の BASH シェル スクリプトをすべてのシステムのフォルダー内に保管しています。また、セキュリティに関しては、迅速な対応が不可欠です。
以下を含む CompTIA 認証CompTIA Linux+、 CompTIA サイバーセキュリティ アナリスト (CySA+)、および CompTIA PenTest+ は、 サイバーセキュリティの役割で Linux を使用するために必要なスキルを検証できます。