12/20(月)は、SOC オペレーションマネージャー 三宅正洋 の記事です。SOC におけるデバイスマネジメント業務についての紹介です。

---

今日は、私、三宅が勤務しているセキュリティオペレーションセンタ(以下、SOCと呼びます)の中で、デバイスマネジメントと呼ばれる業務をご紹介したいと思います。SOCには、このデバイスマネジメント業務の他に、最新のデータ分析技術を用いた脅威検知業務もありますが、前者は、SOCの業務の中でも歴史が古く、当センタも2003年にサービスを開始して以来、18年間休まず、提供させていただいている、いわばセキュリティサービスの礎とも言えるです。

デバイスマネジメントって何?

「デバイスマネジメント」業務とは、お客様のセキュリティデバイスを常に監視し、異常が発見されればすぐに修理し、お客様のセキュリティ防御機構が、正常に機能し続けていることを管理する業務です。デバイスが正常に動作し続けることが、セキュリティ防御の基本になりますし、また、デバイスが常に正常にログを生成し、SOCの基盤に届けてくれることで、分析官は脅威を検知することができます。そういった意味でも、デバイスマネジメントは、セキュリティサービスにおいて基礎となるサービスと言えます。また、これからセキュリティサービスに携わっていきたいという方にとっても非常に大切な基本が詰まった業務であると考えています。

具体的にはどんなことするの?

主な業務は、以下となります。

  • デバイスにおけるアラート検出、一次分析、必要に応じ二次分析にエスカレーション
  • デバイス故障が発生した際の障害部位の切り分け、復旧措置
  • 最新の脆弱性情報に対応したカスタマシグニチャ、ベンダシグニチャの適用
  • お客様の依頼に基づくポリシー変更作業
  • デバイスライフサイクル(ライセンス、バージョン)管理
  • ハードウェア管理(HA管理含む)
  • お客さまからの各種問合せ対応

大きく分けると、正常な状態を維持する業務(壊れたら元に戻す)と常に最新、かつ適切なセキュリティ防御ルールを維持する業務(侵入される前に対処する)となり、これらを24時間体制で実施しております。

最近もApache log4jの脆弱性が公開されましたが、アナリストが作成したカスタムシグニチャを迅速にデバイスマネジメントチームにて各デバイスに適用することで、お客様のシステムからセキュリティ脅威のリスクをできるだけ早く取り除く重要な役割をSOC一丸となったチームプレーで実施しています。

どんなデバイスを扱っているの?

NTTセキュリティ・ジャパンでは、国内、海外問わず代表的なサプライヤのデバイス、サービスを幅広く扱っており、良くも悪くもデバイスマネジメント業務のすそ野を広くしております。このことは、働いている私たちのスキル形成の上でも、知識が偏ることなく、普遍的、標準的な業務経験が積めることが魅力と考えています。

  • IPS/IDS製品
  • UTM製品
  • サンドボックス製品
  • WAF製品

おわりに

 セキュリティサービスにおける基礎となる業務ということもあり、基本が多く学べるチャンスがあるということで、デバイスマネジメントチームに参加にあたって、セキュリティサービスが初めてというメンバーもいますが、みな着実に実力をつけ、セキュリティエンジニアとして育っていける環境となっています。デバイスマネジメントのプロになるだけでなく、その後、アナリストや各デバイスの専門エンジニア、サービス開通SE、Dev/Opsエンジニアなどなど、少し異なるキャリアに繋げているケースもあります。そういった意味でも、デバイスマネジメントを礎にして、その後の自らのキャリアを自分でデザインし、やりたいことを支援でき自由度の高い職場になるよう、日々工夫してチームを作りしています。