EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

CICの現場責任者に訊く、「SOCに足りないもの」 ―監視だけではもう何も守れない

edited by Security Online   2016/08/17 06:00

 ここ1~2年でぐっと盛り上がってきた感のあるMSSことマネージメント・セキュリティ・サービス。国産企業、外資系各社がそれぞれの規模、サービス内容でMSS市場に乗り込んできているようです。MSSの核ともなるのがいわゆるSOC、セキュリティ・オペレーション・センターです。そのような中、去る5月24日、デロイト トーマツ リスクサービス株式会社(以下、DTRS)が、デロイト版SOCともいうべき、サイバーインテリジェンスセンター(以下、CIC)を横浜市に開設しました。業界的には後発となるCIC、どのような狙いで作られたのでしょうか。また、設立にあたって気を使ったことなど、現場のオペレーションを総括する佐藤功陛さんにお話を伺いました。

デロイト サイバーインテリジェンスセンターの詳細はこちら

現場のリーダーとして

 佐藤功陛さん
立ち上げ時からCICで現場を統括する佐藤功陛さん。

―いよいよCIC設立ということでおめでとうございます。この事業への参入が、少し遅いのかなという気もしました。いわゆる後発ですよね。

佐藤「日本にCICを立ち上げる構想は2014年からありましたが、立ち上げプロジェクトが実質的にスタートしたのは、私がCICを日本に立ち上げる前提で入社した2015年1月からですね」

佐藤さんのインタビューでもお話を聞いていますが、SOCの立ち上げについてはいろいろ辛酸を舐めてきたというか(笑)、さまざまな経験を経てのデロイトへの参加ということで、心がけたことなどはありますか?

佐藤「そうですね。前回教訓を活かして、とにかく途中で白紙にならないようにスモールスタートしようと心がけていましたね」

―失敗するときって、何が障害になるんでしょう? いろいろあるかとは思うんですが具体的にどんな感じでだめになってしまうんですか?

佐藤「外資であれば本国の意向による部分が大きいと思います。ただ、その点、DTRSは外資ではないので、組織的に上層部を良い意味で巻き込んで、トップと現場が一体となり取り組むということに気をつけました。もう一点挙げるとすると、地に足の着いたビジネスプランの策定ですね。予想される売上と投資のバランスをどう取るかをかなり綿密に検討しました。このバランスが悪いと、立ち上げの過程で当初立てたプランを見直さなければならなくなると思います」

―なるほど……外資とはまた別の配慮があったようですが、過去の失敗体験は今回活かせましたか?
 
佐藤「前職でSOCの立ち上げに携わったときは、既に各国で実績のあるSOCのサービス仕様やサービス基盤を日本に『輸入』しましたが、今回は日本独自のサービス仕様を作成し、仕様を満たす基盤をフルスクラッチで構築したので大分苦労の種類が違いました。過去の経験の良かったところは特にCICのサービス仕様に活かせたと思っています。
 
もう一点、組織を立ち上げる際に重要になるのは『ビジョン』です。明確なビジョンを持ってそれを語っていないと、新しく作る組織は崩壊しがちなので、そこにも気を付けました」
 
―今回は、佐藤さんがビジョンを語った?
 
佐藤「そう思っています。そうでないと、まだ組織の体をなさず、実績も持たないCICに優秀な人材が転職して来てくれないですよね」
 
―どんなビジョンですか。ちょっと聞きたいです!
 
佐藤「SOCアナリストはシフト勤務のため、3K職場のイメージ強くあります。たとえばコンサルタントからすると、『上流』・『下流』行程で言うところの『下流』の位置付けで、運用を担当するチームという見られ方をすることが多いと思います。実際には、膨大なログからセキュリティインシデントを発見することが出来る特殊な能力を持った技能者の集団で、なおかつシフト勤務して24時間クラアイントにサービスを提供する貴重な存在なのですが。同じセキュリティ人材でもSOCアナリストとコンサルタントはモチベーションを持つポイントや価値観が少し違うと考えます」
 
―SOCで監視しているアナリストたちと、コンサルタントの意識の違い、たしかにありそうですね。
 
佐藤「そこはかなり明確に違いますね。僕の役目は、そんな『SOCな人』が住みやすい環境を作って彼らの特殊な能力を発揮してもらうことで、クラアイントの期待に応え、ひいては社会社会、ひいては日本に貢献するんだという思いを伝えました」
 
―現場のリーダーの鑑ですね。
 
佐藤「背景にはデロイトのグローバルネットワークがあり、それを有効活用することで、我々もマーケットに新規参入して勝負が出来ると考えました。むしろ既存のSOCが提供していないサービスを提供することで、新規マーケットを作る意気込みで挑戦しています。具体的には、最近注目され始めている『MDR』 (Managed Detection and Response)サービスですね。『ハンティング』と表現される、従来のSOCより高度な『発見』のサービスを提供しつつ、『発見』の後に続く『回復』をサービスとして提供するという新しい考え方です」
 
―そういうことを、SOCな人たちに伝え、またデロイトの上層部にも共有していきながら進めていったと。
 
佐藤「はい。おかげさまで、海外に視野を向けて日本のクライアントにとってベストのサービスを提供してくださいと言ってくれる良い上司に恵まれていますので、社内のコンセンサスは取りやすかったです。また、過去に他社のSOCで一緒に仕事をしたメンバーが参画してくれたので、想いが伝わりやすかったというのもあります」
 

世界のデロイト、CICの個性に刺激を受けて

―先ほど、グローバルのネットワークというお話が出ました。デロイトには各国にすでにCICがありますね。今回、先行するCICの視察ということで、世界を回られたということですが、各国の違いというか、印象はそれぞれどうだったでしょうか? 今回、日本のCIC開所式のために来日した各国のCICの要人の方々へのインタビューが今後続々と記事になる予定なので、軽く言及しておきたい感じなんですけれども(笑)
 
佐藤「まず、最初に訪問したデロイトスペインからは、国境を越えてサービスを提供しているデロイトの国際性やスケールの大きさ、提供するサービスのカバー範囲の広さを学びました。スペインは世界中のデロイトの中でも一番初めにCICを始めたアルフォンソ・ムールが率いています。そんなこともあって、スペインは初期段階でシステムのアーキテクチャについてディスカッションをさせてもらって、アドバイスをもらいました。彼らは複数の国にまたがり、多くのクライアントにサービスを提供している実績を持っているので、彼らのアーキテクチャは非常に参考になりました。また、スペイン産のイベリコハムとオリーブオイルのおいしさも学びましたね(笑)
 
―先ほど日本のCICは輸入ではなくてフルスクラッチで構築したということですが、各国のCICを参考にしつつも、一から構築されたのでしょうか?
 
佐藤「そうですね。サイバーインテリジェンスを活用した監視サービスというコンセプチャルな部分はカナダが一番参考になりましたが、システム、サービスのほとんどはスクラッチで作りました。デロイトのメンバーファーム制の特長ですが、各国全て共通のメニューでサービスをしているわけではないので、それをうまく使って、日本のクライアントのニーズに合わせた形でサービスを作れたと思います」
 
―カナダでは壁をぶっ壊してスケールしたよと言っていましたね(笑)。
 
佐藤「今後の参考にさせていただきます(笑)。改めて思いますが、各国のCICの話を聞くのは非常に重要ですね。先ほど触れたMDRやAIを使ったマシンラーニング、SCADAの監視といった、クライアントもそうですが、我々が説明を受けてもピンとこないような非常に先端的なサービスを既に提供していたりするので、良い刺激になります」
 
―昨年からCICについて、いろいろ取材してきたのですが、今日、やっとしっかりした話が聞けている気がします。
 
佐藤「そういえばCICをテーマにきちんと話す機会、いままでなかったですね」
 
―各国との連携とかね、わかるようでわからなかったです、なにしてるのかな? みたいな。
 
佐藤「今後は、CICが提供するサービスのラインナップを広げつつ、もっと多くの皆さんに知っていただけるようにお客様をお招きして個別のCICツアーを開催したり、セミナーでもっと私が前面にでてCICとは?というところを語っていくつもりです」
 
―今日はありがとうございました、またお話を聞かせてください!
 

デロイト サイバーインテリジェンスセンターの詳細はこちら

著者プロフィール

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。デジタル時代を支える企業の情報セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしております。

All contents copyright © 2007-2020 Shoeisha Co., Ltd. All rights reserved. ver.1.5