セキュリティエキスパート(オペレーション)とは、情報システムや情報ネットワークを常に監視し、攻撃や不正なアクセスから守り、攻撃等に対応する職業です。
情報システムや情報ネットワークを常に監視し、攻撃や不正なアクセスから守り、攻撃等に対応する。
情報セキュリティ関係の仕事としては様々なものがある。セキュリティの面で強固な情報システムを企画・設計したり、不正アクセス等を検知し防衛するシステムを設計、実装したり、セキュリティ上問題がないか監査したり(セキュリティ監査)、情報システムの脆弱性の診断をしたり(脆弱性診断)、攻撃による事故等が発生したときに痕跡や原因を調べたり(デジタルフォレンジック)、システム導入後、セキュリティ面で監視し安全に運用する仕事などである。ここでは、この中で運用されているシステムの外部からの攻撃や不正アクセスを監視し、インシデント発生時の対応を行う専門家であるセキュリティエキスパート(オペレーション)の仕事を解説する。
不正アクセスや攻撃からWebサイトを守るだけではなく、ネットワークにつながっているサーバー、パソコン、タブレット、スマートフォン、その他IoT機器全てがセキュリティ監視の対象となりうる。金融関係のシステム、商取引のシステム、交通や流通のシステム、工場の生産システム、発電所のシステム、カルテを含む病院のシステム、組織内のLANなど、監視の対象は幅広い。
具体的な業務としては、新しいシステム開発する際に、監視対象とする指標(情報システムのどの部分を監視するか)、問題が起きた場合のアラート(セキュリティ警告)の設定、また、問題が起きた場合の対応策、連絡先などの決定に運用担当者として参画する。顧客とシステム開発担当者の打合せに参加することもある。システム開発と平行して、セキュリティの監視、運用の手順書を作成する場合もある。
監視のための装置やプログラムの実装は、顧客の情報システムに既存のIPS(Intrusion Prevention System、不正侵入防止システム)やIDS(Intrusion Detection System、不正侵入検知システム)を導入するだけであれば最短で1日という場合もあるが、顧客が国際的にビジネスを展開している場合は、各国でシステムや関係する法律が異なることから調整に時間がかかり、何年もかかる場合がある。
監視にあたっては、SOCで、情報システムやセキュリティ機器から得られるシステムログやセキュリティログ(ログとはシステムやネットワークに発生するイベントを記録したもの)を常に監視する。不審な動きが見られた場合はログを分析し、原因を推定して、顧客に報告する。問題が発生するリスクを予測し、ウイルス感染などのインシデントが起きないようにする。
インシデントが発生した場合は危機に対応するチーム(CSIRT:Computer Security Incident Response Teamと呼ばれる)に連絡し、共同してインシデントレスポンスを行う。インシデントレスポンスとはインシデントが生じた際、原因の特定、問題の除去、システムや業務の復旧、社内外の関係者への連絡と調整である。SOCで監視にあたっているチームと、この危機に対応するチームが別の場合もあるが、監視にあたっていた者から危機に対応するチームを作る場合もある。
なお、小規模なシステムでは、運用・管理を行う者がセキュリティの監視も行うことが多い。
◇ よく使う道具、機材、情報技術等
サーバー、パソコン、タブレット、スマートフォン、IoT機器、IPS(Intrusion Prevention System、不正侵入防止システム)、IDS(Intrusion Detection System、不正侵入検知システム)、文書作成ソフト(Word、一太郎等)、表計算ソフト(Excel、Googleスプレッドシート等)、プレゼン資料作成ソフト(PowerPoint、Keynote等)、オンライン会議ツール
入職にあたって、特に学歴や資格は必要とされないが、大卒以上で、専攻は理工学部の情報系や社会情報系が多い。セキュリティ専門の学科等を設ける大学も増えてきている。
新卒採用以外では、同業他社やセキュリティ関連のソフトウェア開発会社など、近接した業界からの転職や、システムを設計するエンジニアやプログラマーからの転身もある。
仕事をする上で必須の資格はなく、実績、経験が重視されるが、基本情報技術者試験、応用情報技術者試験、情報セキュリティマネジメント試験、情報処理安全確保支援士試験等を受検する者もいる。これらの試験に合格すると企業によっては手当が付く場合もある。
入職後の教育としては、新人研修を受けた後、OJTでベテラン(シニアアナリストやシニアオペレーター、スーパーバイザーと呼ばれることもある)のもと、ログの分析、セキュリティ装置の操作等、1~2年かけて教育していく企業もある。
一人前になったとみなされるのは、セキュリティ装置を自在に操作できること、また、ログや指標が示す状況がセキュリティとしてどのような意味を持っており、システムにどのような影響を与えるかが分かり、顧客に分かりやすく、的確に説明ができるようになることであり、このレベルになるのには3年程度の経験が必要と言われる。セキュリティ関係のワークショップに参加し、システムを攻撃する側と防御する側のチームに分かれ、実践的なスキルや技術を磨くこともよく行われている。
セキュリティを監視、対応するチームのリーダーとなり(シニアアナリストと呼ぶ会社もある)、マネージャー、管理職から会社の経営層となる人もおり、また、セキュリティの専門家として、システム開発会社やメーカーに転職する人もいる。セキュリティに関するコンサルタントとなる人もいる。
必要なスキルとしては、まず情報収集力が求められる。新しいセキュリティ関連の技術や製品に関する情報を常に把握し、組織内外で発生するインシデントの情報を収集、分析し、適切な対処法を常に更新することが重要である。
また、顧客や関係者など、セキュリティに詳しくない人に状況を説明し、被害拡大を最小限に抑えるために、状況と対応方法をわかりやすく的確に伝えられるコミュニケーション能力も必要である。
インシデントの発生を事前に予測したり、インシデントが生じたときには危機に対応するチームと共同で問題を解決する能力も求められる。
就業先はセキュリティ事業を専門に行う会社や大手IT企業、情報通信企業のセキュリティ部門であり、多くは東京や大阪に集中している。
現状の女性比率は低く、数%程度であるが(事業者団体)、女性にとって働きやすい環境にしようと動いている会社もあり、増加傾向である。
20歳代~30歳代が多くを占め、マネージャークラス(SOCの責任者)が40歳代という年齢構成が一般的である。
問題が起きたときの顧客との関係や守秘義務契約のため、雇用形態は正社員が多いが、顧客先に常駐ということもある。
24時間365日監視する作業であり、勤務体制は2交代か3交代の交代制が一般的である。一方、中には大規模なSOCで時差のある地域に地球規模で複数の拠点を用意し、全体としては24時間対応するFollow the Sunと呼ばれる運用を行う会社もある。それぞれのSOCは主に日中、監視するが、他のSOCと連携し、全体として24時間の監視となっている。
情報システム、情報ネットワークが拡大するとともに、監視の範囲は情報分野だけでなく、様々な産業分野にも広がり、さらに、日々、新たな脅威、新たな攻撃が生まれ、セキュリティ人材は常に不足している。人員の不足をカバーするために、ログの解析や攻撃の検出にデータサイエンスやAI(人工知能)を活用する動きも出ている。このような技術が進むと、セキュリティエキスパート(オペレーション)の役割や仕事が変わっていく可能性もある。
業界をまたいで、AI 影響度が同水準の代表職業(規模順)。