- 目次
1.SOCアナリストの役割と責任
SOCアナリストとは、セキュリティオペレーションセンター(SOC)で不正アクセスの検知アラートを監視して、発見したサイバー攻撃の情報をインシデント対応チームへ橋渡しする役割を担う専門家です。NTTDATA-CERTのSOCアナリストは、アラート後に発生する作業プロセスごとにTier1、2、3の三つのレベルに分かれています。各Tierには異なる役割と責任があります。NTTDATA-CERTでは、SOCの業務を「監視業務」と「運用業務」の二つへ分けて、各業務内容を詳細に定義しました。SOCアナリストというと、ログ解析などの監視業務を注目しがちですが、SOCを効果的に運用するためには、運用改善、監視対象の追加などの運用業務も極めて重要かつ欠かせない要素です。
図:監視の全体像
表1:SOCの各Tierの役割と責任
| Tier | 業務区分 | 役割と責任 |
|---|---|---|
| Tier1 | 監視 | エントリーレベルのアナリストが担当し、アラートの監視と初期対応を行う。異常なセキュリティイベントを検出した場合、詳細調査のためにTier2にエスカレーションする。 |
| 運用 | なし | |
| Tier2 | 監視 | Tier1からエスカレーションされたイベントの調査と分析を行う。定型イベントを手順に沿って分析して、誤検知とセキュリティインシデントを仕分けする。手順に沿った分析では判断できない非定型イベントは、Tier3へエスカレーションする。 |
| 運用 | 分析手順の文書化や週次・月次レポートの作成、誤検知が多い検知ルールの問題提起など、SOC運用の効率化活動も継続的に行う。 | |
| Tier3 | 監視 | 高度な専門知識を持つSOCアナリスト。Tier2からエスカレーションされた非定型イベントを分析する。手順に沿った分析だけでなく、高度なサイバー攻撃にあわせてさまざまな分析方法やツールを利用する。セキュリティインシデントと判断した場合は、速やかにインシデントレスポンス体制へ報告する。 |
| 運用 | 分析に役立つツールの開発、検知ルールの改善、Tier1、2のSOCアナリストのサポートや育成、監視システムの維持運用チームとの連携など、サイバー攻撃の検知精度向上と分析業務の効率化のための活動も継続的に行う。 |
このように、NTTDATA-CERTのTier1、2、3のSOCアナリストは、それぞれ異なる役割を持ち、連携して組織のシステムを監視しています。各SOCアナリストが協力し合うことで、迅速かつ効果的なインシデント検知と対応が可能となります。なお、NTTDATA-CERTでは、Tier1業務の自動化に成功しています。
2.SOCアナリストの育成
SOCアナリストの育成は、多くの組織にとって大きな課題です。サイバーセキュリティの専門知識を持つ人材自体が不足しているため、サイバーセキュリティ分野のバックグラウンドがない人材を採用して、一から育てる場合が多くあります。また、理論だけでなくログ解析の実践経験も必要ですが、こうした経験を積む機会は限られており、育成には時間がかかります。加えて、新しいサイバー脅威や攻撃手法が次々と登場するため、常に最新のサイバーセキュリティ知識とスキルを習得し続ける必要があります。
NTTDATA-CERTには、Tier2とTier3にそれぞれ内部の育成カリキュラムがあり、Tier2とTier3のアナリストが業務を担当する時に必要な要件を詳細に規定しています。そしてTier2とTier3のアナリストの知識と経験に応じて、一般社団法人 日本シーサート協議会 人材WGで検討中のCSIRT人材の育成(※1)や評価の定義を活用し、SOCの実態に合わせて初心者、見習い、一人前、熟練者のランクを再定義しました。
2.1.Tier2アナリストの教育の設計
Tier2アナリストの育成カリキュラムは、サイバーセキュリティ分野のバックグラウンドがない人材を一から育成できるように設計しています。Tier2アナリストの初心者は、社内のサイバーセキュリティ育成プログラムを活用してサイバーセキュリティ分野の座学を履修します。次に、Tier2アナリストの熟練者による検知システムの講義、ログ分析演習を実施します。その後、実際のセキュリティアラートを熟練者とペアでログを分析して答え合わせする訓練期間を経て、卒業要件をクリアできたら、晴れて一人前のTier2アナリストになります。
2.2.Tier3アナリストの教育の設計
Tier3アナリストには、より高度なサイバーセキュリティの知識とスキルが必要です。NTTDATA-CERTでは、2023年度からTier3アナリストの育成とレベルアップを目指して、新たな取り組みを開始しました。Tier3アナリストの必須項目と高難易度項目を明確に分けて定義し、必須項目を独力で完遂できるか、高難易度項目をどれだけ達成できるかによって、見習い、一人前、熟練者のランクを再定義しました。Tier3アナリストのランクと定義を以下に示します。
表2:Tier3アナリストのランクの定義
| ランク | 定義 |
|---|---|
| 初心者 | Tier3に目指しているTier2。上位者の指導を受けながら、必須業務をこなす。 |
| 見習い | 必須業務を独力でこなす。高難易度業務を上位者の指導を受けながら1項目以上をこなす。 |
| 一人前 | 必須業務を独力でこなす。高難易度業務の2項目以上を独力でこなす。 |
| 熟練者 | 必須業務を独力でこなす。高難易度業務の3項目以上を独力でこなす。 |
2.3.Tier3教育の実施
NTTDATA-CERTでは、年度初めに各Tier3アナリストが自己申告する内容に基づいてランクを決定し、全員が年度内に少なくとも1つ上のランクを目指すことを目標としています。そして、四半期ごとに育成の進捗状況を報告して、ランクを更新します。この取り組みによって、各個人の強化すべきスキルと経験すべき業務が明確になり、SOCが組織として強化すべき部分も把握できます。一方で、Tier2アナリストからTier3アナリストへ解析のサポートを要請するケースが少ないため、Tier3アナリストの初心者に高度な解析経験を積ませることが難しいという課題がありました。そこで、外部専門機関による研修を積極的に取り入れるとともに、毎月ドリル形式でログ解析の演習問題を出題し、解析ポイントを解説する勉強会を開催しています。
2.4.Tier3アナリストの認定
Tier3アナリストの初心者の監視業務の認定条件は、EDRの検知、およびその他のTier2アナリストからのエスカレーションを独力で解決できることです。一方で運用業務の認定条件は、年度末の自己申告、及びマネジャーの実績確認でランク付けします。このようにTier3アナリストの教育を設計して実施したところ、ゼロトラストモデルを構成する複数のセキュリティ製品でも止めることができなかったサイバー攻撃をTier3アナリストが見つけ出し、被害を防ぐという成果を上げることができました。
https://www.nca.gr.jp/activity/PDF/development-hr20220331.pdf
3.終わりに
SOCアナリストは、組織のセキュリティ対策の最前線で活躍する専門家であり、その育成には多くの課題が伴います。しかし、NTTDATA-CERTでは新たな育成方法に挑み、継続的に教育とトレーニングを実施して成熟度を評価した結果、多くのSOCアナリストが確実にレベルアップできました。新しいアーキテクチャのセキュリティ製品の導入とともに、それに見合ったレベルの人材も育成することができれば、組織全体のセキュリティ強化にもつながるでしょう。
CSIRT人材の育成 Ver1.0, 一般社団法人日本シーサート協議会CSIRT人材WG,についてはこちら:
https://www.nca.gr.jp/activity/PDF/development-hr20220331.pdf
サイバーセキュリティについてはこちら:
https://www.nttdata.com/jp/ja/services/security/
あわせて読みたい: