Share
Download the
Global Threat
Intelligence Report
第6日目は、SOC アナリスト 川田修太郎の記事です。アナリストによるリアルタイム分析の価値を伝えるために、デモ環境を構築した取り組みをご紹介します。
---
アドベントカレンダーではこれまでカスタムシグネチャやシステム、イベント参加報告などを記事にしてきました。そこで今回は少し趣向を変えて、私たちが SOC の価値を外部に向けてアピールするために行っている取組みをご紹介します!
アナリストの価値を伝えるのは難しい
こちらは私たち SOC アナリストが分析している様子の写真です。
NTT セキュリティの SOC に関心を持ってくださるお客様はたくさんいらっしゃいます。一口にお客様といっても多種多様な規模・業界があり課題は様々ですが、セキュリティ対策に課題を抱えていて、それを解決したい!という点は同じかと思います。私はそのような方々に向けて、見学会を通じてアナリストの分析業務について説明しています。
ところで、経営層の方から現場で活躍されている方まで様々な方に説明をしてきましたが、どんな方でも必ず関心を示される部分があります。
「結局SOCアナリストって何をしているの・・・?」
これ、一番根本的な質問にも関わらず、一番お伝えするのが難しい部分でもあります。アナリストがどのようにアラートを見て、どのように脅威を見つけ、どこで悩むのか。カスタムシグネチャ・独自ロジックと言っても、具体的にどういうものなのか。どんな風に見えるのか。分析しているログは機微な情報を含むので、直接お見せすることはできません。 これまでは資料ベースで説明していたのですが、どうしても小難しくなってしまって「アナリストの価値」を可視化するのに苦労していました。
デモ環境構築プロジェクト始動!
ということで始まったのが分析デモ環境つくっちゃおうプロジェクトです! 資料で説明するのが困難なら、いっそのことそのまま見せてしまおうという魂胆です。
私たちが使用している分析ツールは NTT セキュリティで独自開発したものなので、グローバルの開発チームと連携しつつ、商用環境とは独立したデモ専用システム作りをはじめました。一番悩んだのは「画面」です。デモ環境自体はノート PC 上の VM に作成したのですが、せっかくのデモンストレーションですのでインパクトが大事です。ノート PC の小さな画面じゃ小さすぎて華がないですよね。 散々悩んだ結果、60 インチの大型モニタを連結させて、高さ約 75cm、幅約 2m 70cm の巨大モニタが完成しました。こちらが前からみた様子の写真です。無線のキーボードとマウスを使用してスマートにしました。
実際の分析ではモニタを 6つ使用しますが、この 2 画面は分析の根幹とも言えるツールです。左画面はリアルタイムに更新されるセキュリティアラート、右画面には各アラートの詳細情報が表示されます。
横からみるとさらに大きさが強調されて見えます。これにより、お客様の目の前で分析デモを行えるようになりました。
さらに、お客様にも分かりやすく、かつリアルに発生する分析事例をチームメンバーで議論しながらシナリオを作成しました。実際のカスタムシグネチャや独自ロジックによる脅威発見の取り組みやアナリストの相関分析による精度向上の苦労が伝わるものになったと思います。
私たちの強みである高度分析のレベル感をダイレクトに感じ取っていただけます。時にはお客様と熱いディスカッションが繰り広げられることもあります。その場で疑問に感じたことをすべてぶつけていただくことで、強い信頼関係も生まれていきます!
環境をノート PC 上に構築したので、カンファレンス等にも持ち運んでデモが出来るようになりました。こちらは、今年の 10月に開催された NTT Communications Forum 2019 で使用した様子です。
導入効果は抜群で、「これまで何をしているのか全く見えなかったアナリストの姿がイメージできた!」と多くの方々から好評いただきました。
今回の記事では、分析デモツールを作成して SOC の価値を対外的に発信しているという取り組みをご紹介しました。アナリストというと延々とモニタの前でログを見たり、解析をしたりというイメージがあると思います。もちろんそういう時もありますが、実は色々しています。分析の価値を創造するだけでなく、創造した価値を伝えるのも大事な取り組みですよね。
このアドベントカレンダーも、その取り組みの一環ということですね!!ここまで読んでくださりありがとうございました!