働く人のパフォーマンスと幸せ、顧客満足度のすべてを高め「世界最高峰のSOC」を目指すために
「つまらないSOC業務」からの脱却、NTTセキュリティ“5つのSOC改革”を聞く
2019年08月02日 07時00分更新
「SOC(セキュリティオペレーションセンター)とは、顧客企業との契約範囲内でひたすらセキュリティ機器のログをウォッチし、異変を見つけたら顧客にアラート通知する“ログ当番”である」。そんな印象を語る人は少なくない。セキュリティ業界内ですら「SOCなんて」キャリアアップの踏み台にすぎない、業務はつまらないし長くいるようなところじゃない、そんな声が聞かれることがある。
「それは違います。インシデントの最前線で脅威に立ち向かい、的確かつ迅速な判断と支援を提供する集団、それがSOCです」。NTTセキュリティ・ジャパンの阿部慎司氏は、そんな旧来の“SOC観”を一蹴する。
阿部氏やその同僚の羽田大樹氏も、かつては旧態依然としたSOCの業務内容やシステムに悩んだという。そしてNTTグループの組織改変を好機としてチャレンジしたのが、「SOCチームが最高のパフォーマンスを発揮しながら幸せに働き、顧客の満足度も高める『世界最高峰のSOCづくり』」だった。
両氏はNTTセキュリティ・ジャパンのセキュリティオペレーションセンター(以下、東京SOC)において「5つの改革」を先導し、新しい形のSOCを実践してきたという。それはどのような取り組みだったのか、そしてこれからのSOCはどうあるべきなのか。阿部氏と羽田氏に話を聞いた。
(左から)東京SOCで“SOC改革”に取り組んできたNTTセキュリティ・ジャパンの羽田大樹氏と阿部慎司氏
“ログ当番”“人月商売”SOCからの変革はどのようにして始まったか
現在NTTセキュリティ・ジャパンが運営している東京SOCは、2003年にNTTコミュニケーションズ管轄で開設されたSOCをもとに、幾度もの改革と進化を経て現在に至っている。
NTTコミュニケーションズではまず、2009年に欧州を中心とする総合セキュリティサービス事業者のインテグラリス(Integralis)を、2010年には高度なマネージドセキュリティサービス(MSS)に定評のあるセコード(Secode)を買収し、2012年に3社のセキュリティ運用基盤を統合。さらに2016年8月、NTTセキュリティを設立してNTTグループ内のセキュリティ事業関連リソースを集約し、SOCは都内某所へと移転。2016年11月、装いも新たにNTTセキュリティ東京SOCがスタートした。
現在の東京SOCは、顧客対応チーム、セキュリティ機器管理チーム、サイバー脅威分析チームの3チームで構成されており、総人数はおよそ110名。世界10カ所にある他のNTTセキュリティSOCとも連携を取りながら、24時間365日、攻撃の予兆検知と対応、被害拡大の防止に取り組んでいる。
東京都心の某所にある東京SOC。NTTコミュニケーションズの「WideAngleマネージドセキュリティサービス」もここで提供している
2003年当時の東京SOCは、まさに“ログ当番”の言葉がふさわしいものだったようだ。顧客企業との契約で定められた業務を「淡々とこなす」日常で、たとえアナリスト自身は「真の脅威ではない」と考えるようなものでも通知しなければならない、そんな状況だった。SOC業務がそのようになってしまう理由を、羽田氏は次のように説明する。
「通常の契約では、お客様にお伝えすべき真の脅威のみをお知らせするよう『SOCのアナリストが対応の緊急度を判断して通知します』となっています。ただし、当時はまだサイバー脅威への理解が世の中全体で浸透していなかったこともあり、実際には通知が少ないと顧客から怒られるんです。もっとも顧客の立場からすれば、そもそも支払ったぶんだけSOCが働いているのかどうかわからないわけですから、通知が少ないと不安を覚えるのも無理はなかったと思います」(羽田氏)
NTTセキュリティ・ジャパン セキュリティオペレーション部 担当課長の羽田大樹氏
そうなると、SOC側も“運用の大変さ”を強調して顧客に価値をアピールしなければならなくなる。顧客のビジネスを守るという本来の価値ではなく、多くの人員を確保していること、多くの手間がかかっていることがサービス価値である――悪い意味での「人月商売」の出来上がりだ。そんなSOC業務は「クリエイティブさがまったくない世界でしたね」と、阿部氏はため息をつく。
しかし2015年、日本年金機構でおよそ125万件の年金情報が流出した事故に始まり、巧妙化/高度化したサイバー攻撃による事件が次々と発覚する中で、企業側の意識が変わり始めた。自社では対応しきれない、複雑な攻撃の検知や対処を“セキュリティのプロ”に支援してもらいたい。そうした専門性の高いサービスをSOCに求める企業が次第に増えてくる。
両氏はそんな顧客の意識変化を見逃さなかった。幸いにも当時、阿部氏が東京SOCの運用体制や新たなシステム構築のプロジェクトをリードしていた。「すでに裏側では、SOCの改革案を関係各所に提案するなど地道に動き始めていました。そんなときに、NTTグループのセキュリティ関連事業のリソースを統合し、NTTセキュリティが設立されます。その人材をどう活用するか全社で議論が盛り上がっていたので、ここぞとばかりに(温めていた改革案を)差し込んだのです」(阿部氏)。
NTTセキュリティ・ジャパン セキュリティオペレーション部長の阿部慎司氏
その後、阿部氏は同じ思いを持っていた羽田氏と連携しながら、SOCの抜本的な改革を開始した。まずは旧SOCのサービスを整理し、顧客企業とアナリストを高度な分析に最適化された新しいSOCに移行。阿部氏と羽田氏を中心に分析基盤や職場環境の改革を進め、最高の人材が最高のパフォーマンスを発揮するスペシャリスト集団が誕生している。
新しい東京SOCを立ち上げた当初は、もともと世界最高レベルの脅威検知能力を持っていたスウェーデンSOC(旧セコード)のほうがアナリストの熟練度や技術力が高く、それに追いつき追い越すことが目標だった。SOC改革と努力を重ね、現在では、EDRなどの特定領域については、来日したスウェーデンSOCチームにトレーニングを提供するほどになったという。
「現時点では少なくともNTTグループ内でトップレベルのSOC、すなわち世界中の脅威と十二分に戦える、グローバルでも最高水準のSOCになれたと思っています」(阿部氏)
職場環境改革:働くメンバーにとって快適な環境を第一に考える
それでは具体的に、両氏はどんなSOC改革を行ってきたのか。主眼に置いたのは次の5つだという。
○職場環境改革
○勤務形態改革
○業務設計改革
○評価制度改革
○採用方式改革
まず「職場環境改革」においては、SOCメンバー全員が楽しく働ける環境作りを目指した。
東京SOCを見学してすぐに気付くのは、オフィスの明るさや座席配置が一般的なSOCのイメージと大きく違うことだ。以前のSOCは薄暗い部屋で、全員の座席が前方の壁面にある大型モニターを向く形で列状に配置されていた。つまり一般的なSOCのイメージそのままだったわけだが、それは見学に訪れる顧客向けの「いわば演出的な環境」だったと阿部氏は笑う。
「SOCで働く側からすると、部屋が暗いと目が疲れやすいですし、大型モニターは見学者が来るたびに(機密情報が表示されないように)切り替えなければなりません。横一列で正面を向く座席配置も、誰かに話しかけたいときには間のモニターが邪魔になり、いちいち席を立って話しに行かなければならず不満がたまっていました」(阿部氏)
現在の東京SOCは、一般的なオフィスと変わらない明るさだ。座席も一方向を向いておらず、机がハニカム(六角形)状に並んでおり、同じチームのメンバーどうしが背中合わせで座っている。他のメンバーに何か話しかけたいときは、席を立つことなく振り向けば話しかけられる仕組みだ。加えて、ハニカムどうしの結節点の座席にはスーパーバイザーが座り、チーム間で気軽に相談し、連携できるよう工夫しているという。
アナリスト席。チームメンバーが隣や背後に座っており、わざわざ席を立つことなくコミュニケーションできる
座席レイアウト(左図)を見るとハニカム状に整列していることがわかる(阿部氏発表スライドより、以下同様)
ちなみにSOCの外には、バーカウンターやテーブルなどが設置された広めの休憩スペースもある。以前の休憩スペースは喫煙所の脇に自販機とテーブルがある程度だったが、「誰もが集まれる場所にしたい」と会社側に強く要望し、そこに置く椅子やテーブル、その配置もみんなで相談しながら作った。業務中の息抜きや軽いミーティングだけでなく、ひとりで集中作業したいときに他部署の社員が利用する姿もよく見かけるという。
業務の合間に息抜きをして気持ちを切り替える休憩スペース、大切!
アナリストの業務環境も充実させた。まずアナリスト席は、一度に多くの情報を見渡せる6面ディスプレイを完備している。またSOCサービスでサポートしている各社のセキュリティ製品(IPSやEDR、サンドボックスなど)に攻撃テストを実施し、防御性能を調査するためのクローズドなラボ環境や、攻撃者のサイトを調査する際にIPアドレスから身元が割れないようにする調査用ネットワークなども構築している。
アナリスト席を取り囲むように6面ディスプレイを完備。広いディスプレイ環境はアナリストの“基本的人権”と呼ばれているらしい
さらに、解析作業を効率化するためのツールやシステムを自分たちで開発するためのDevOps環境も用意してある。当初は小規模なサーバー環境だったが、開発規模がどんどん拡大し、現在では自社の持つ仮想基盤や他のクラウド基盤も活用しながら、CI/CDやChatOpsなども取り入れつつスクラム的に内製開発をしているという。開発したツールは海外のSOCチームとも共有し、最新鋭の解析技術についての情報共有を行っている。こうすることでSOC環境の陳腐化を防ぐとともに、“イケてる環境で働きたい”アナリストのモチベーション向上も図っている。
本記事はアフィリエイトプログラムによる収益を得ている場合があります
