デバイスマネジメントのために尖った人材に集まってもらっているわけではない

リーベル：セキリュティというと、特に若手の方は、バグハンターや脆弱性診断といった仕事を思い浮かべる方が多いです。一方で、SOCで働くことについては、「ルーチンワーク的な運用監視だけで終わってしまうのではないか？」というネガティブな印象を抱いている人もいるようです。そのあたりはどうお考えですか？　CICの場合はどうなのでしょう？

佐藤氏：実はCICをつくった時、もう１つ目指していたのが、デバイスマネジメントと呼ばれる、例えばFirewallの設定変更や機器の障害対応といった業務については、できる限り範囲外にしたいということだったのです。

リーベル：SOCではデバイスマネジメントを兼任しているケースもありますよね。何か新しいシステムを作ったとか、通信を通したいという場合に、SOCがFirewallの開け閉めをしていたりします。しかも、これが意外に時間を取られますし、場合によってはその対応だけに追われてしまう。作業量が多いので閉め忘れなどもあったりして、企業によってはそれだけで１つの課が作られる場合もあると思います。

佐藤氏：私自身、インフラ系エンジニア出身ですので、運用監視の仕事の重要性は充分わかっています。ただ、「セキュリティをやりたい！」という熱い気持ちを持っている人たちに、そういう仕事ばかりでいいのか？という思いもあります。
そもそも、スキルセットが違うと思うんですよね。運用監視の仕事であれば、例えばネットワークやLINUX・UNIXがわかっていて、そういうオペレーションをそつなくできる、というのが一番の適性だと考えます。でも、SOCでセキュリティをやりたい、という人たちがみんなそういう人かというとちょっと違う。そういうことは一般教養としてできたとしても、やりたいことはやはり、ログやパケットを解析して、表面に出てこないセキュリティインシデントを見つけるとか、膨大なログの中から新しい攻撃パターンを見つけるとか、そういうことだと思うんです。それをクライアントに有効な対策として提示するところにモチベーションを感じるのではないかと。

リーベル：確かにそうかもしれませんね。こんな仕事が出来るのではないか、という一種の憧れを持って入ったのに、「これがセキュリティ？」という思いを持たせてしまう。最初は熱い思いを持っていたのに、いつの間にかモチベーションが下がり、セキュリティの全体像も見えなくなってしまいがちです。

佐藤氏：例えば、「4時間以内にFirewallの設定を変えてほしい」とか、そういうことばかり1年中やっていたら、やはりモチベーションは下がりますよ。

リーベル：きちんとやって50点、目標はオペミスゼロ。私は当時、横で見ていた側ですが、正直ずっとこのルーチンワークを続けるのは厳しいだろうなと思っていました。どうしても作業中心の仕事になってしまいセキュリティの本質を追えなくなってしまいますし、モチベーションも保てないと思います。

佐藤氏：そういうことをやるのは本来、ネットワークオペレーションセンター（NOC）の仕事だと考えます。「SOCのNOC化」と言われていて、私はそれに大反対なんです。
結局、セキュリティ以外の業務がウェイトをしめるとみんな続かないんですよ。

リーベル：非常によくわかります。セキュリティの熱意、CICでいうところの「パッション」を持ってせっかく業界に踏み込んでもらったのに、まずはデバイスマネジメントから。これでは若手は育ちませんし、ましてやすでに何らかのセキュリティ業界経験のある方がこの業務にアサインされたら…と考えるとSOCに入りたくなくなってしまいますね。

佐藤氏：実はCICでは、「機器の設定変更」というのはサービスメニューに載せていないんです。案件ベースでどうしてもやらなくてはいけないケースはありますが、あくまで我々が提供するサービスの本質は「高度なセキュリティの分析」。いわゆる運用管理というか、24時間365日、ひたすらクライアントの要求が来たら確認して精査するという作業は、我々はやっていません。そういう仕事を受ける時には、スペインのCICに社内業務委託をしています。

リーベル：なるほど！　クライアント側でデバイスマネジメントの体制を設けていただく、ということもあるとは思っていましたが、クライアントとしても人員を割けないという声は上がると思っていました。そこをどうするのか疑問だったのですが、まさかスペインCICに業務委託しているとは思いませんでした。

佐藤氏：スペインのCICには100名以上のメンバーがいますし、あと、時差もちょうどいいんです。日本の夕方がスペインの朝で、彼らのエース級の人材にこちらの仕事を頼める。サイバーセキュリティの分析に特化できるのは、CICで働く人にとって大きな魅力だと思います。

リーベル：なぜスペインなのかと思ったのですが、人数や実力はもちろん、時差の関係もあるんですね。“餅は餅屋”ではないですが、得意な分野は任せつつ、CICの方々は高度な分析に特化できる、まさにWin&Winの関係かと思います。

必要なのは「クライアントに貢献したい」という気持ち

リーベル：ここまでは主に、“若手やセキュリティに関して未経験に近い方がCICに入る魅力は何か”を想定して伺ってきましたが、以降は何かしらのセキュリティ経験者がCICに入るメリットは何か、といった視点でお話を伺えればと思います。CICの中にもアナリストやインシデントコーディネーター、インフラデザインなどのポジションがあります。どういう経験の方が入り、入った後どういうキャリアになるのか、またそれぞれの魅力やキャリアプランなどについても後々伺いたいですが、まずは各ポジションについて改めて詳細を伺ってもよろしいでしょうか。

佐藤氏：はい。おっしゃるとおり、CICには大きく３つのポジションがあります。まず、ログを分析し、本当に危険かを分析するアナリスト。これには求められるスキルセットによって、レベル１とレベル2の2つのレベルがあります。次が、SIEMの構築を行いつつ、顧客の機器構成に応じてログを集約するサーバーを設置するなど、インフラ全体を見るポジションであるインフラエンジニア。そして３つめが、クライアント先でインシデントが発生した際に、直接の担当者から役員層まで含めて適切な対応を指示・コンサルティングするCICインシデントコーディネーターです。
現在、シフトのオペレーションに関わっているアナリスト、スーパーバイザー、基盤エンジニア等に加え、案件導入を進めるプロジェクトマネジメントチームも含め、20数名の体制で運営しており、今後更なる組織拡大を目指しています。

リーベル：その上で全体として、どういう考えを持たれている方がマッチするでしょうか。

佐藤氏：我々はクライアントに長期間継続的にサービスを提供しています。長期間1つのクライアントとお付き合いして貢献したい、という気持ちを持っている人にはすごくやりがいがあると思いますね。逆に、そういう気持ちを持っていない人でないと適性はないかもしれない。

リーベル：なるほど。セキュリティ技術だけをゴリゴリやっていきたい方だと難しいということでしょうか。

佐藤氏：そういう人も若干名は必要です。ただ、基本的に我々はサービス業だと考えています。クライアントに貢献したいとか、日本のセキュリティレベルを上げたいとか、そういうモチベーションを持っている人に向いていると思うし、また、そういう人に働いてほしいと思っています。
「クライアントを大事にする」というのは、デロイトのポリシーでもあります。そういう意味で、デロイトの文化とCICはマッチしていると思いますね。

リーベル：どのポジションであれ、あくまでサービス業のためモチベーションはもっと高い所にあってほしいということですね。経験者の場合、「この分野だけをやっていてもセキュリティ全般を見られているかは疑問だ」「本当にクライアントのことを守れているのか、クライアントのためになっているのか」と言った疑問を持っている方は多いと思います。そういう方であれば、今のスキルを生かしつつ、CICに来ると大きな満足感を得られるということですね。

佐藤氏：そのとおりだと思います。

リーベル：では、何かしらのセキュリティ経験者を想定しての質問となりますが、例えば脆弱性診断やフォレンジック、などを経験されてきた方がマッチするかどうか、また経験してきた方が入るメリットを伺えますでしょうか。

佐藤氏：脆弱性診断をやっている人は、CICの仕事に合うと思いますね。ネットワークを攻撃する側から見ているわけで、その視点を持っていれば、ログを読み解くのも難しくないですから。実際、診断系からCICのアナリストに転身して活躍している人もいます。
フォレンジックに関しては、CICは先ほど申し上げたエンドポイントまで監視するサービスの中で、リモート インシデント レスポンスというパソコンの簡易調査サービスを行っています。インテリジェンスのサービスの中でも、クライアントから預かった検体を解析するサービスも提供していて、そういうところで経験を活かせるのではないかと。
また、CICでは、SIEMに加えて、ログ解析のプラットフォームを別につくっています。SIEMでログ解析を行うのは、短期間の分析には向いていますが、1週間、2週間、1ヶ月という単位になるとデータ量が多すぎてお手上げなんです。だからSIEMにあるログとログ解析にあるログは別々にして、より高度なスキルを持つアナリストはログ解析プラットフォームで日々調査・分析を行っています。

リーベル：診断を行ってきた方はその視点を生かして高度な分析の道へ、フォレンジックに関してもCICでも同様なことを行っているので、こちらも今以上に高度な分析に尖っていくことができるということですね。通常は高度なアナリストとして分析力を磨き、いざという時に経験を生かすことができるのは、ステップアップにもつながるのではないかと思います。

佐藤氏：そのとおりです。

分析を極めたい人もきちんと評価される人事制度をつくった

リーベル：先ほど、自社SOCの話の中で、一般事業会社の中にSOCをつくると評価が難しいというお話がありました(前編参照)。具体的には、“マネジメントポジションにならないと上に上がれない”、“分析を極めたいという人が評価されにくい”という点です。これは自社SOCに限らず、どんなSOCでも起こってしまうような気がします。その上でCICではどのような人事制度にしているかを詳しく聞かせてください。

佐藤氏：おっしゃるとおり、これは確かに自社SOCに限らずどんなSOCでも起こりえる問題です。だから我々はCICを立ち上げるにあたり、独自の人事制度をつくりました。
大きな特徴として、サブジェクトマタ―エキスパート（SME）として、専門性を持っていればきちんと昇進できる仕組みになっています。マネジャーにならなくても、今私が就いているシニアマネジャーの1つ上の、ディレクターまで上がれるようにしました。一番上がパートナーなので、その1つ下ですね。

リーベル：分析を極めたいという方でもそこまで上がれるとは！

佐藤氏：はい。なおかつ、CICの中でのヨコの異動もしやすくしています。ずっとアナリストをやっているだけでなく、スーパーバイザーやインテリジェンスのリサーチャーになれるパスもある。さらに、デロイト トーマツ サイバー（DTCY）の中にコンサルティングをやっているチームがありますから、「コンサルをやってみたい」というメンバーが出てきた時には、よりクライアントまわりのプロジェクトマネージャー寄りの仕事をすることも可能ですし、そこで経験を積めばセキュリティコンサルタントとしてクライアントと相対する仕事もできます。SOC専業ベンダーに入るよりも、より多彩なキャリアパスが描けると思いますね。

リーベル：そこはぜひお聞きしたかったのですが、DTCYの中のサイバーセキュリティコンサルタントとCICのつながりはどうなっているのでしょうか？

佐藤氏：チームとしては別々で、兄弟チームという位置づけです。例えば、CSIRTの構築や技術評価、ガバナンス系の仕事などで、「セキュリティに関する分析の部分の提案をしてほしい」とコンサルティングチームから依頼を受けるケースもありますし、逆にCIC側から提案をすることもあります。コンサルティングチームも、今はCICの存在を意識しながらコンサルをするようになっています。

リーベル：部の下に課が2つあるようなイメージですね。キャリアパスによっては、CICとコンサルティングチームの間での異動もあるということですか？

佐藤氏：そうですね。CICの中でプロジェクトマネジメントを行っていたメンバーが、コンサルタントになったケースはあります。さすがにアナリストからセキュリティコンサルタントに、というのは、やっている本人の志向からしても今のところはまだ事例はないですね。

リーベル：それはそうですね。

実質週3.5日の休みを使ってふらっと海外旅行にも！

リーベル：次にSOCの負のイメージについて踏み込んで行きたいのですが、SOCというとどうしても、特にレベル１の人材については24時間365日シフト制の勤務でハードというイメージもあります。実際はどうなんでしょう？

佐藤氏：CICは12時間交代で午前9時半から午後9時半まで、4勤3休のシフトです。考えてみると、皆さん、残業を頑張ると１日12時間くらい働くことはありますよね？

リーベル：ありますね。

佐藤氏：で、4日働いたら3日連続で休める。夜勤もありますが、月曜夜9時半に出勤したとすると、終わるのは朝9時半。それを4日続けると、夜勤シフトの終了は金曜朝9時半になります。そこから引き継ぎをして解散ですが、実は、その際、金曜日はお休みにカウントしないんですよ。そこから帰って、土・日・月と休める。

リーベル：えーっ！　実質、3.5日お休みということですね。

佐藤氏：そうです。だから、元気のある若手はその3.5日を使って、ふらっと海外旅行に行ったりしていますよ。シフト休みの日をうまく使えば4連休をつくれることもあります。

リーベル：非常に恵まれた環境ですね。

佐藤氏：さらに、人事制度をつくった時、シフト手当も導入しました。通常の深夜残業代とは別に、シフトに入ると手当が支給されます。

リーベル：すごいですね。私がまだ現役でセキュリティの仕事をしていたら行きたくなっちゃいますね。ちなみにシフト勤務で、女性のメンバーもいらっしゃるんですか？

佐藤氏：ええ。女性も1人、シフトに入って勤務していますよ。
※注：アナリストのシフト制度・手当に関して現状は記載の通りですが今後変更となる場合もございます。

セキュリティ技術者は教えるのが好きではない人が多い？

リーベル：特に未経験の方が気にするところですが、人材教育のほうはどうでしょう？　私自身の経験上、セキュリティ業界の技術者は人にものを教えるのが好きでない人が多いような印象を持っているんですが…。

佐藤氏：ははは！　そういう人も一部いますよね！

リーベル：なんでも「ググれ」と言われて苦労したような記憶が脳裏に浮かびます。もちろん調べられない人、自分で出来ない人は問題外でしょうし、私自身、良い経験だったと思ってはいますが、実際にどういう教育をされているのか伺えますか？

佐藤氏：CICの場合、シフト勤務に入る前に、トレーニングを行っています。CICが使っているツールや分析手法についてはひととおり学んでもらいます。
タイミングによっては、海外のデロイトでOJTトレーニングを受けてもらうこともあります。実際、すでに4人のメンバーがスペインに行き、最も長いメンバーは13日滞在していました。シンガポールにトレーニングセンターもあり、そこでも2人トレーニングを受けています。

リーベル：いいですねえ！　海外、ということですが、入社時や仕事をする上で、英語力は求められますか？　対象となるようなセキュリティの経験をされてきている人は、情報収集のために英語は読めはするけれども、実際業務であまり話す機会がなく会話はできない方が多い印象がありますが。

佐藤氏：もちろんあったほうがいいですね。せめて聴くだけでもできたほうがいいです。ただ、入社時にはできなくても問題はありませんよ。実際に話す機会は作れますし、徐々に学んでいただければと思います。

リーベル：基本的なところですが、CICのメンバーはこのみなとみらいのセンターで働くのですよね？

佐藤氏：はい。クライアントに常駐することは原則ありません。CICの中にはオペレーションとプロジェクトマネジメントの2つのチームがあるのですが、プロジェクトマネジメントチームは、プロジェクトが始まると、提案をしたり、その後の設計をしたりといった作業があるので、その間はクライアントのところに通い詰めになります。ただ、それも長くて2～3ヶ月で、プロジェクトが終わったらセンターで次の案件の準備をしてもらいます。

リーベル：2016年5月にCICが立ち上がってから、どのような手応えを感じていますか？

佐藤氏：センターを作る前と後で、クライアントの反応が全然変わりました。やはり実際に目に見えるものがあると、クライアントも安心ですよね。その上でお話をすると、しっかり腹落ちしてくださいます。

リーベル：コンサルティングチームも仕事がやりやすくなったのでは？

佐藤氏：そう思いますね。

リーベル：ありがとうございます。かなり細かい部分まで伺うことができました。この後は、実際にどんな方がCICに入り、なぜ入ったのかを伺っていきたいと思います。