Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

CICの現場責任者に訊く、「SOCに足りないもの」 ―監視だけではもう何も守れない

2016/08/17 06:00

 ここ1~2年でぐっと盛り上がってきた感のあるMSSことマネージメント・セキュリティ・サービス。国産企業、外資系各社がそれぞれの規模、サービス内容でMSS市場に乗り込んできているようです。MSSの核ともなるのがいわゆるSOC、セキュリティ・オペレーション・センターです。そのような中、去る5月24日、デロイト トーマツ リスクサービス株式会社(以下、DTRS)が、デロイト版SOCともいうべき、サイバーインテリジェンスセンター(以下、CIC)を横浜市に開設しました。業界的には後発となるCIC、どのような狙いで作られたのでしょうか。また、設立にあたって気を使ったことなど、現場のオペレーションを総括する佐藤功陛さんにお話を伺いました。

デロイト サイバーインテリジェンスセンターの詳細はこちら

現場のリーダーとして

 佐藤功陛さん
立ち上げ時からCICで現場を統括する佐藤功陛さん。

―いよいよCIC設立ということでおめでとうございます。この事業への参入が、少し遅いのかなという気もしました。いわゆる後発ですよね。

佐藤「日本にCICを立ち上げる構想は2014年からありましたが、立ち上げプロジェクトが実質的にスタートしたのは、私がCICを日本に立ち上げる前提で入社した2015年1月からですね」

佐藤さんのインタビューでもお話を聞いていますが、SOCの立ち上げについてはいろいろ辛酸を舐めてきたというか(笑)、さまざまな経験を経てのデロイトへの参加ということで、心がけたことなどはありますか?

佐藤「そうですね。前回教訓を活かして、とにかく途中で白紙にならないようにスモールスタートしようと心がけていましたね」

―失敗するときって、何が障害になるんでしょう? いろいろあるかとは思うんですが具体的にどんな感じでだめになってしまうんですか?

佐藤「外資であれば本国の意向による部分が大きいと思います。ただ、その点、DTRSは外資ではないので、組織的に上層部を良い意味で巻き込んで、トップと現場が一体となり取り組むということに気をつけました。もう一点挙げるとすると、地に足の着いたビジネスプランの策定ですね。予想される売上と投資のバランスをどう取るかをかなり綿密に検討しました。このバランスが悪いと、立ち上げの過程で当初立てたプランを見直さなければならなくなると思います」

―なるほど……外資とはまた別の配慮があったようですが、過去の失敗体験は今回活かせましたか?
 
佐藤「前職でSOCの立ち上げに携わったときは、既に各国で実績のあるSOCのサービス仕様やサービス基盤を日本に『輸入』しましたが、今回は日本独自のサービス仕様を作成し、仕様を満たす基盤をフルスクラッチで構築したので大分苦労の種類が違いました。過去の経験の良かったところは特にCICのサービス仕様に活かせたと思っています。
 
もう一点、組織を立ち上げる際に重要になるのは『ビジョン』です。明確なビジョンを持ってそれを語っていないと、新しく作る組織は崩壊しがちなので、そこにも気を付けました」
 
―今回は、佐藤さんがビジョンを語った?
 
佐藤「そう思っています。そうでないと、まだ組織の体をなさず、実績も持たないCICに優秀な人材が転職して来てくれないですよね」
 
―どんなビジョンですか。ちょっと聞きたいです!
 
佐藤「SOCアナリストはシフト勤務のため、3K職場のイメージ強くあります。たとえばコンサルタントからすると、『上流』・『下流』行程で言うところの『下流』の位置付けで、運用を担当するチームという見られ方をすることが多いと思います。実際には、膨大なログからセキュリティインシデントを発見することが出来る特殊な能力を持った技能者の集団で、なおかつシフト勤務して24時間クラアイントにサービスを提供する貴重な存在なのですが。同じセキュリティ人材でもSOCアナリストとコンサルタントはモチベーションを持つポイントや価値観が少し違うと考えます」
 
―SOCで監視しているアナリストたちと、コンサルタントの意識の違い、たしかにありそうですね。
 
佐藤「そこはかなり明確に違いますね。僕の役目は、そんな『SOCな人』が住みやすい環境を作って彼らの特殊な能力を発揮してもらうことで、クラアイントの期待に応え、ひいては社会社会、ひいては日本に貢献するんだという思いを伝えました」
 
―現場のリーダーの鑑ですね。
 
佐藤「背景にはデロイトのグローバルネットワークがあり、それを有効活用することで、我々もマーケットに新規参入して勝負が出来ると考えました。むしろ既存のSOCが提供していないサービスを提供することで、新規マーケットを作る意気込みで挑戦しています。具体的には、最近注目され始めている『MDR』 (Managed Detection and Response)サービスですね。『ハンティング』と表現される、従来のSOCより高度な『発見』のサービスを提供しつつ、『発見』の後に続く『回復』をサービスとして提供するという新しい考え方です」
 
―そういうことを、SOCな人たちに伝え、またデロイトの上層部にも共有していきながら進めていったと。
 
佐藤「はい。おかげさまで、海外に視野を向けて日本のクライアントにとってベストのサービスを提供してくださいと言ってくれる良い上司に恵まれていますので、社内のコンセンサスは取りやすかったです。また、過去に他社のSOCで一緒に仕事をしたメンバーが参画してくれたので、想いが伝わりやすかったというのもあります」
 

著者プロフィール

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。ビッグデータ時代を支える企業セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしております...

バックナンバー

連載:SOCを超えるあたらしいセキュリティのかたち―デロイト サイバーインテリジェンスセンターのすべて
All contents copyright © 2007-2017 Shoeisha Co., Ltd. All rights reserved. ver.1.5