はじめに
「SOC(セキュリティオペレーションセンター)」というワードからどのようなことを思い浮かべますでしょうか?
生体認証で厳重に管理された場所、サイバーチックな巨大モニター、24/365で稼働しているなど、外形的なイメージは沸いてくるかもしれません。しかし、具体的に「中」で何が行われているのかという点は想像がしにくいのではないでしょうか。SOC内の活動は大々的に発信されることが少なく、企業・組織によってもその特性が異なっていたりもしますので無理もありません。
今回の記事では、SOCの「中」にスポットライトを当てるべく、弊社のSOC(正確にはセキュリティオペレーション部)ではどのような業務が行われているかを解説していきます。
SOC業務の全体像
弊社の場合、お客様が導入したセキュリティ製品を保守・運用するビジネスが先にあり、その後に、SIEMなどを駆使してログ・データを詳細に見る分析ビジネスが加わったという経緯から、オペレーション業務と分析業務の大きく二つが存在しています。もともとはチームとしても分離されていたのですが、近年では縦割になってしまっていたチームの在り方を変えるべく、共通的な業務は連携して行う体制に移行してきています。
MSS(マネージドセキュリティサービス)という観点で見ると、オペレーション業務はIPS/IDSやUTM、FWなどのセキュリティ製品あるいは同種の機能を持つクラウド型セキュリティサービスそのものを管理対象とした業務、一方で分析業務はそれらから出力されるログやパケットキャプチャなどのデータあるいは悪性ドメイン情報、マルウェア検体、攻撃手法などのインジケーターやインテリジェンスを管理対象とした業務と言えます。
それぞれの業務について
ここからは一つ一つの業務について説明していきます。各業務は数名~二十名程度のメンバーにより構成されています。
リアルタイム監視
お客様に提供しているセキュリティ製品やサービスの稼働状況を24/365で監視し、正常に動作していない場合、障害対応としてハンドリングし、セキュリティシステム環境の安定提供を実現する業務。
デバイスマネジメント
お客様に提供しているセキュリティ製品やサービスの設定変更依頼の対応や、シグネチャやパターンファイルのアップデートの対応を実施する業務。
サービスオーダー
グローバル含めた関連部署と同調しながら、各種の開通手続き、システム設定を実施し、お客様にスムーズにSOCサービス提供を開始するための業務。サービス提供中においても、追加オーダーや変更オーダーに柔軟に対応する。
グローバル連携
世界各国にあるSOCと協力し、分析や運用に関わる、グローバル全体でのナレッジ共有や、日本内製システムのグローバル展開、海外製システムの国内展開、相互トレーニングなどを実施する業務。
運用化・標準化
新たなサービス開発や、お客様からの要望に対し、突貫的な対応ではなく恒久的な対応が可能になるよう、属人化した手順の運用落し込みや、汎用的な適応が可能となるような標準化を実現していく業務。
レポーティング
お客様向け月次レポートの作成や、リアルタイム分析で用いるレポートのカイゼン、それらに関連する問合せ対応、サービス提供状態や応対履歴からセールス担当が戦略的なお客様提案ができるようなデータの取りまとめなどを実施する業務。
情報発信
ブログやホワイトペーパーの公開、外部カンファレンスでの講演、セキュリティコミュニティにおける勉強会・トレーニングなどを開催する業務。
DevOps
SOC内におけるあらゆる業務について、自動化システムの開発や、アナリストや運用者の支援をするようなツール開発、既存システムのクラウドへの移行などを内製で実現する業務。
製品リサーチ
新たなセキュリティ製品やサービスがマーケットに出てきた際に、それらの分析面や運用面での性能や品質の調査を実施する業務。
新サービス検討
分析や運用の能力をベースにした新たなインテリジェンスサービスの企画や、新たなセキュリティ領域に対するサービス付加価値の検討などを実施する業務。
リアルタイム分析
お客様の環境からログやデータを受け取り、SIEMや解析ツールを駆使しながら24/365で分析し、インシデントの発生をお客様にお伝えする業務。
解析
捕捉したマルウェアの解析や、脆弱性を突く攻撃の検証、お客様からの依頼に基づくインシデント関連の調査を実施する業務。
リサーチ
お客様にいただくログやデータに限らず、ネット上からマルウェアや悪性インジケーターを探索し収集する業務。
ハンティング
解析やリサーチで得られた情報をもとに、新たなSIEMロジックや特定のセキュリティデバイス(IPSやEDR)のカスタムシグネチャ、ブラックリストを作成し、それまで検知できなかった脅威を炙り出す業務。
業務はどのように割り当てられますか?
SOCの中には非常に多くの業務があることがご理解いただけたと思いますが、各メンバーにどのように業務が割り当てられるか説明していきます。
モチベーション駆動型チームビルディング
基本的なスタンスとして、SOCでは「やりたいことに集中できているときに一番成果が出る」という点を重視したチームの在り方を目指しています。この考えを前提にチームビルディング手法を開発し「Wants」と名付け、各メンバーの強烈なモチベーションをエンジンに組織を動かし続けています。
各メンバーの個性は多様です。マルウェア解析やリサーチが好きな人、お客様と近い存在でありたい人、システム・ツール開発が好きな人、セキュリティ製品マニア、ルーチンワークの鬼、などなど、得意分野や志向分野は十人十色です。それらのモチベーションを活かしてもらうには、やはり「やりたいこと(=want)を選択」してもらうことが一番重要です。
というわけで、各メンバーには自主的に上述した業務の中からいくつか選択してもらうことにしています。概ね4つ程度の業務を選択する人が多いです。とは言え、もちろん仕事として「やらなければならないもの」もありますので100%やりたいことができるというわけではありませんが、この「Wants」施策により、メンタルヘルス調査の結果やToMo指数が良好であることが実証されています。
またキャリアプランを考えるうえでも、組織内で取りうる選択肢が多いことはとても良い影響があります。例えば、セキュリティ未経験でリアルタイム監視から参加したメンバーがスキルを広げるためにリアルタイム分析をはじめたり、リサーチからさらに踏み込んだバイナリ解析に興味が移っていったり、デバイスマネジメントからお客様と距離をより縮めたくなってレポート業務にも携わったりと、長期的な志向の変化に合わせ、視野を広げたり、視座を高めたり、深く極めたりと、入社後も自身の可能性を広げていくことが可能となります。
好き勝手やっていたら属人化しないでしょうか?
各メンバーが自分の好きなようにやって収拾がつかなくなる、という課題は、正直に申し上げると「あり」ます。しかしながら、延長線上だけでなく、自由な創作活動がなければ大きな成果が得ることは難しいものです。
尖るための良い属人化は認めクリエイティブな営みを促進しながらも、それを安定させるための開発や運用化をバランスよく実現する必要があります。尖った技術を運用に落とし込み自動化できれば、さらに次の創造のための時間が生み出され、新たな成果に繋げることができるというサイクルが重要です。
そのサイクルを組織として実現するために、給与・評価制度の中で、個のパワーで技術的に尖っていく部分(技術領域:図中、濃色)とチームのパワーで運用品質を高めていく部分(運用領域:図中、淡色)を2軸で評価することにしています。個のメンバーにおいて志向がどちらかに傾倒しても、組織全体として技術領域と運用領域のバランスを取れていれば良しとする考え方です。この考え方を実現するためには、メンバーを束ね導くリーダーやマネージャーの存在も不可欠です。
SOCのリーダーとマネージャー
2つのリーダータイプ
弊社SOCでのリーダー的なポジションとしては、各業務のリーダー(カテゴリマスター)と、日々の運用におけるリーダー(スーパーバイザー)の2つがあります。
前者は今まで挙げた各業務の取りまとめ役で、後者は24時間365日のオペレーション上の取りまとめ役です。カテゴリマスターは各業務領域の特化型リーダー、スーパーバイザーは各業務領域の横断型リーダーと言える存在です。
一見役割に重複がありそうなイメージを持たれるかもしれませんが、これは不確定要素への耐性を持つために必要なリーダー体制です。ここで言う不確定要素とは、「大規模なマルウェア感染が起きた」「緊急性の高い脆弱性情報が出た」「サービス障害が起きた」など、自分たちでコントロールできない運用上のトリガーの発生のことだと思ってください。これらがトリガーした場合、その解決にあたっては複数の業務領域にまたがって対応することが多く、ある領域に詳しいカテゴリマスターだけでなく、スーパーバイザーのような業務横断的に現場をリードできる存在も必要となります。
マネージャーの3つの役割
では、マネージャーの役割とは?ということになりますが、大きくは3つの役割を持ちます。
一つ目は、チームの技術面、運用面での成果を最大化すること。個性豊かなチームを率いるため、1on1などを通じて各メンバーの「やりたい」を傾聴し、ときには「やりたい」をうまく引き出しながら、会社の方針とメンバーのモチベーションのベクトルを合わせ、世に対し価値の高い成果を出すことでビジネス的な成功に繋げていく役割です。
二つ目は、SOC外の組織との調整です。社内にはセキュリティオペレーション部以外の組織ももちろんあり、サービス・インフラ統括、グローバル開発、マーケティング、情シス、総務、OT領域やアプリケーションセキュリティ領域に特化した組織などがあります。これらに加え、NTTグループ関連企業との連携なども含め、SOCの営みとしての受け入れ、SOCの営みをするにあたっての協力依頼など、各組織と協調し連動していくような調整・交渉を成功させる役割です。
三つ目は、メンバーがハッピーに働ける環境を整備することです。適正なルールや基準による、透明性が高く公正なメンバー評価、各業務に必要となるシステムリソースの確保、トレーニング・研修の受講促進など、大きくは働き方の見直し(シフトの自由化、リモート環境の整備など)も含め、メンバーが気持ちよく成長しながら働ける環境を整備していく役割です。
これらを各マネージャーが個々にやるのはなく、マネジャーでチームを組み(現在5名)SOC全体として実現していく形です。これら3つの観点はマネジャー陣にとっての「Wants」でもあります。
おわりに
以上、弊社のSOCの「中」についてまとめました。これらはあくまで「今」の状況であり、これまでもそうであったように、クリエイティブなSOCであり続けられるよう、形を変えながら進化していきます。その進化を支えるのは、各メンバーが切磋琢磨しつつも、お互いの得意領域を活かし支え合いながら業務し、風通し良く、リスペクトし合う中でさらにスキルを身に着けていくという、一人一人のメンバーの成長です。
他にもこちらの記事で活動内容をまとめています。興味ある営みがあればブログやホワイトペーパーも合わせてご覧ください。
取材いただいた下記の記事も合わせて読んでいただけるとより雰囲気が伝わるかもしれません。
「つまらないSOC業務」からの脱却、NTTセキュリティ“5つのSOC改革”を聞く