24時間365日体制で、お客様のセキュリティ製品の監視をしてサイバー攻撃の検出・分析・対応策のアドバイスを行い、企業情報や資産を守るセキュリティ監視センター(以下、SOC)。
NIST(米国国立標準技術研究所)が定めるサイバーセキュリティフレームワーク(CSF)に準拠した幅広いセキュリティサービスを展開しているSBテクノロジー(以下、SBT)にもSOCがあり、お客様にマネージドセキュリティサービス(以下、MSS)を提供しています。そのSBT-SOCがこの度2022年7月にリニューアルオープンしました。そこで、SBT-SOCのセンター長である市川隆義さんにSOCの業務、リニューアルのポイント、業務の大変さ・おもしろさなどについて伺いました。
市川 隆義(いちかわ たかよし)さん
サービス統括 セキュリティ&テクノロジー本部 セキュリティサービス部 MSSグループ マネージャー 兼 事業統括 公共事業部 セキュリティクラウドサービス推進室(SOC センター長)
2008年1月入社。ストレージ&サーバーの構築業務に従事していたが、2013年にセキュリティ部門へ転向し、SBグループ企業のSOC立ち上げ、監視運用業務に参画。2018年よりSBT-SOCのセンター長を務める。趣味はバンドでのドラム演奏。先般、東新宿のライブハウスに SOC のメンバーを呼んで無理やり聴かせるという、本人曰く「某ジャイアンリサイタル」を行った。夢は世界一ドラムのうまいSOCセンター長になること。(現在、世界第3位くらいの認識。)
SEとプリセールスを経てSOCのセンター長へ
会社への貢献が評価され、2018年にはSBT社長賞を受賞
SBTには2008年に中途入社し、最初はテクニカル部門のシステムエンジニア(以下、SE)で、SBグループ関連企業様向けのストレージとサーバーの構築業務に従事していました。
その後、営業部門に移ってエンドユーザーに向けてSupermicro(アメリカのPCサーバー、マザーボードおよび周辺機器メーカー)サーバーのプリセールスを2年ほど経験して、2013年に技術部門に戻ることになりました。その時にちょうどSBT社内でSOCを立ち上げるという話が出ており、当時セキュリティは未経験でしたけど、自分のしたことが直接お客様の安全やビジネスの安定化に繋がるところに魅力を感じて、その立ち上げプロジェクトに手を挙げ応募しました。
SBTは異動希望者のリクエストを優先的に聞いてくれる会社ですね。
当時、Supermicroのプリセールスを続けるか、別の部門に異動するかという選択肢があったのですが、私はセキュリティに関することがしたいとリクエストを出して、技術部門に受け入れてもらえました。
私の業務は大きく分けると2つあり、1つはMSSグループのマネージャーとしての仕事です。
メンバーの日々の業務確認や勤務承認、MBO達成に向けた業務支援や評価など、チームメンバー全員がSBTの中でいきいきと良い状態で勤務できるように、できるだけ対話を意識したマネージメントを心がけております。
もう1つはSBT-SOCのセンター長としての仕事で、主に問題発生時のお客様への報告や特別対応リクエストへの実施可否というような、分析業務を中心に行うアナリストだけでは判断できないイレギュラーな業務調整などを中心に行っております。
私1人ではなく、チームの代表としてSBT社長賞をいただきました。
SBグループ企業の内部SOCへSBTメンバーと共に常駐して、セキュリティアナリストの現場リーダーとして24時間365日体制の監視運用を作り上げる仕事をしました。開始当初のビジネスは赤字ギリギリだったのですが、徐々に組織の規模が大きくなり、数年後には安定した利益を確保できるようになりました。また、担当したお客様にもとても良くいただきまして、私が現場を離れる時はメッセージをたくさん書いた色紙をいただきました。今でも心がつらい時には、こちらの色紙を見返す時があります(笑)。最高のメンバーと温かいお客様と仕事をした結果、いただいた社長賞ですので、これからも自分の人生の中で誇りにしていきたいと思っています。
SOCの仕事は、日本で活躍する企業の安全を守ること
サイバー攻撃から守り、お客様がより良いサービスを社会に提供できるようサポート
SBT-SOCでは、多数のお客様に向けたセキュリティ監視、運用サービスを提供しています。
SBT-SOCでは第一階層のTier1と呼ばれるセキュリティアナリストが24時間365日の体制でセキュリティアラートを監視しています。Tier1だけでは判断ができないアラートは、Tier2(インシデントアナリスト)と呼ばれるアナリストへエスカレーションをします。
そこでも判断・解決できないアラートは、Tier3(チーフアナリスト)と呼ばれるアナリストにエスカレーションされ、最終判断が行われるという形です。
ただ、Tier3やセンター長の私までエスカレーションが上がってくることは通常はなく、基本的にはTier1とTier2の間で監視運用が回る仕組みになっています。
Tier2アナリストの業務内容は幅広く、セキュリティの分析業務だけにとどまりません。例えば、新規のお客様のセキュリティアラート調整やSOCで利用するネットワーク機器のメンテナンス、最近ではお客様とのやり取りを管理するチケット管理システムを一新したので、その運用ルールの議論や他部署との連携なども行っています。“SOCのアナリストなのに、こんなことまでするの?”と、思う方もいらっしゃるかもしれませんが、SOCを運営する上では欠かせない業務を担っているのがTier2アナリストです。 今後、人材育成にさらに力を入れSBT-SOCの体制を強化していきます。
SOCはセキュリティ監視センターという名前の通り、施設の名称になります。病院や消防署、警察署などと一緒だと思っていただければわかりやすいと思います。
MSSはSBT-SOCが提供するサービスの名称であり、お客様向けの商品名でもあります。MSSのサービス内容としては、経験豊富なセキュリティ専門アナリストが 24時間365日お客様環境のセキュリティアラートを監視し、検出したセキュリティアラートを早期対処することで、重大なインシデントの発生を防ぎます。お客様においてはセキュリティ専門の人材や設備等を用意する必要がないため、コストや運用負担をかけずにセキュリティ対策を最大限に実現することが可能になります。
MSSは現在、製造業、金融、建設業などの大手企業や、官公庁、自治体など幅広い業種のお客様に導入いただいています。
今はどの企業もITを使っています。ITを利活用して効率化や利益拡大を図るなど、ビジネスとITの関わりが益々大きくなっています。一方で、今まで存在していなかった新しいリスクが発生しています。そのリスクを下げるために存在しているのが、我々SOCだと思っています。
近年はサイバー攻撃が多様化、高度化し、それに応じてSOCの防御対象も広がっていますので、セキュリティ防御への理解や、セキュリティ機器が検知したアラート内容を正しく把握することが更に難しくなっています。そのため、最新のセキュリティ機器を導入したいと考えている企業に対して、我々のような技術者の存在が必要です。我々がいるからこそ、その企業は最新のセキュリティ機器を導入・運用することが出来ますので。
SOCの仕事は、日本のために活躍している企業の事業活動を安定して運営するためになくてはならないものだと思っています。活動の妨げになるサイバー攻撃から企業を守り、その企業が安心してITを利用して、社会に対して良いサービスを提供できるようサポートをしています。
セキュリティ事業のミッションを支える持続可能な環境として、
SOCリニューアルのコンセプトは「セキュリティアナリストが働きやすい環境をつくる」
メンバーが快適に過ごしながら、自分の力を最大限に活かせる環境にしたい
以前の部屋も良い部屋だったのですが、“空いている席がないけど、今日はどこに座ればいいのだろう?”という感じで、人の数に対して机とイスの数が足りない状況でした。リニューアル後は延べ床面積がこれまでの2倍になりましたので、かなり広くなりましたよ。
工夫した点の一つとしては、業務スペースとオンライン用のミーティングスペース分けて設置しました。これまではSOC内にミーティング用のスペースがありませんでしたので、SOCアナリストが分析している横でオンラインミーティングをしていたのですが、これが非常にやりづらく(笑)、会話の内容が耳に入ってしまうということもありますし、周りの人たちの気が散ってしまって迷惑をかけているなと申し訳なく感じていました。新しいSOCでは周囲を気にせずに打ち合わせやオンラインミーティングができます。あと、机は今後の変更も踏まえ軽重量の既製品を選択しており、コミュニケーションが取りやすいよう配置にもこだわりました。
リニューアルのコンセプトは「セキュリティアナリストが働きやすい環境をつくる」です。そのコンセプト通り、メンバーが自分の力を最大限に活かせる環境にしたいと思っています。
それも職場環境向上のために行ったことの1つですね。部屋の外に休憩スペースはありますが、関係者全員が休めるほどの広さはありませんでした。ですので、既存施設とは別に追加で休憩スペースを作れたことは良かったと思いますし、もっと増やしてもいいと思っています。仮眠ができるようにリクライニングできるイスを置いたりもしたいですね。
十分なスペースを確保しているため、SOCの中で軽い体操をしたり、身体を動かしたり、過ごしていてとても気持ちが良いです。筋トレグッズもいくつか置いてあって、最近は若手アナリストが使い始めました(笑)。
今後は全画面のモニターをうまく活用して、離れたセンター間でお互いの姿を見ながら会話する仕組みを作りたいと思っています。特に全員で共有したほうが良い話などは、モニターを使ってリアルタイムで共有できるようにしたいですね。
SBT-SOCはまだまだ改善の余地があると思っています。システムに任せられるところはシステムに任せ、アナリストは人間しかできないことに集中していこうと考えています。例えば、セキュリティアラートの簡易分析や通知、マルウェア感染端末の一次抑制処理等は自動化を進め、アナリストは、お客様とのコミュニケーションや別部門のエンジニアとのディスカッション、セキュリティ分析に関する知見の集積などに時間をかけていきたいと思っています。
その結果、お客様に「どのSOCよりもセキュリティ防御への理解度が高い技術者組織」と思っていただけるようになりたいですね。
SOCの業務は緊急度が高く、常にプレシャーがかかっているものの、乗り切れた時には達成感を得ることができ、やりがいも大きい
セキュリティアラートの発生という、緊張感のある状態から日常の仕事が始まるというところが大変ですね。我々の仕事は良いものを発見するのではなく、発生したアラートの中からお客様被害につながるリスクのあるものを見つける仕事なので、人によってはストレスが溜まりやすいかもしれません。検知したアラートから想定される脅威を把握し、可能な限り速やかにお客様へ連絡する必要があります。複数のお客様の環境で常に発生する多数のアラートの内容を即座に読み解くことが我々の職務であり、やりがいでもあります。時間の猶予がない中で失敗の許されない判断が求められますが、一つの難問を解決できた時には大きな達成感を得ることができますね。
お客様へ情報を正しく伝えるということです。3つの要素<正しく検知して、正しく分析して、正しく伝える>を意識しています。正しく伝えるって意外と難しいんですよね。担当のお客様を過剰に心配させたり、困らせたりしてはいけないですし。お客様が不安にならないように、かつ理解しやすいようにわかりやすい表現で的確に伝えることを大切にしています。
SOCで最も重要なことは、他のアナリストやお客様を含めた関係者との円滑なコミュニケーションだと考えています。なので、周りのメンバーと協調性を持って仕事ができる人ですね。アナリストの仕事は若手アナリストへ分析手順を指示したり、運用フローを準備して監視運用手順を定めたりする必要がありますので、他人とバランス感覚をもってコミュニケーションができることが重要です。
それから、SOCでは小さな課題が日々たくさん生まれますが、それを放置しないで自分のタスクだと思って拾い上げることができる人がいいですね。問題を見つけても、たいていの人は“別に自分の仕事じゃないから”と見過ごしてしまいますが、それをきちんと拾って責任感をもって解決してくれる、そういう人と働きたいです。
最初から高い技術力や知識は要求しません。そこは入ってから身につけてくれればいいことだと思っています。SBT-SOCは様々なお客様、様々なセキュリティデバイスを通じて経験値を高められる環境だと思っています。
セキュリティ運用には幅広いIT知識が求められます。OSやデータベースの基礎、ネットワーク、スクリプト系の言語が読めるというような、サイバーセキュリティだけに限定しない基礎的なITスキルを押さえておいて欲しいですね。
新しく参画したメンバーの場合、多くはTier1アナリストから業務を担当いただき、複数のお客様のセキュリティ製品アラートを実際に見てもらいます。SBT-SOCでは、様々なセキュリティ機器に関する監視運用について知見を深めることができますので、セキュリティアナリストとして経験を積んだ後、インシデントレスポンスの対応にあたるエンジニアや、セキュリティ運用を理解したコンサルタントへキャリアチェンジされる方もいます。セキュリティアナリストは、仕事としてのやりがいもありますし、セキュリティ技術者の登竜門として最適なポジションではないでしょうか。
セキュリティに興味がある人は、ぜひ挑戦してほしいです。
