こんにちは。
SOC アナリストの阿部 巧です。
今回は、『SOC アナリスト』の仕事内容についてお話したいと思います。
当社のご提供する 「マネージドセキュリティサービス」資料請求・お問い合わせはこちら
そもそも、SOC とは一体何の略かご存知でしょうか。
SOC とは、Security Operation Center の略です。(以下、SOC)
SOC では日々、さまざまな「モノ」を監視しています。
プロキシやファイアウォールのログ、エンドポイント(例えば、社員一人一人が利用するパソコンやスマホ)の通信ログや操作ログを24時間365日リアルタイムで監視しています。
また、外部に公開されているサイトへのアクセスを監視している場合もあります。
SOC とは、のところでも触れましたが、24時間365日の業務の為、シフト制になっています。
日勤と夜勤を日単位で組み合わせて働くのが基本です。
平日に休みがとれたりするので、土日混んでいる観光スポットに平日空いているタイミングで遊びに行けます。
では、実際に SOC アナリストがサイバー攻撃を受けた時にどう判断し、対応するのかを説明したいと思います。
まず、SOC アナリストが攻撃にどう気づくのかですが、SOC アナリストは、さまざまなログを収集し分析を行うツールを用いて監視を行っています。
そのツールから発報されるアラート内容を分析するのが SOC アナリストの仕事になります。
例えば、とあるアプリケーションサーバーについての脆弱性が世間に公開され、その脆弱性を突くことができるエクスプロイトコード(攻撃コード)も公開されたとしましょう。
攻撃者は、公開されたエクスプロイトコードを用いて、実際に攻撃を実施してきます。
その攻撃が SOC で監視している環境内で検知した場合、SOC アナリストは以下のようなことを考えます。
上記のようなことを考え、分析し、最終的にそのアラート内容がお客様にとって「白か黒か」の判断を下します。
大事なのは、「グレー」判断は決してしないということです。
ただ、分析するアラートは日々大量にあるため、判断を下すまであまり時間をかけられないというのが現状です。私も SOC アナリストになった時、この「白か黒か」の判断を下せるようになるまで非常に時間がかかりました。
慣れてくると今まで1時間くらいかけて判断していたものが10分から15分くらいで判断できるようになりました。
いつも SOC アナリストを目指す人に聞いている質問があります。それは、セキュリティが「好きかどうか」です。
正直セキュリティの仕事は非常に地味な業務がほとんどです。
この仕事を続けるために必要なことは、私は資格よりもまずは「好きかどうか」だと思っています。
※もちろん資格も大事ですけどね!笑
ではでは。
当社のご提供する 「マネージドセキュリティサービス」資料請求・お問い合わせはこちら