こんにちは、皆さんはGWどう過ごしてますか?
今回はSOCの仕事を経験交えて紹介していきたいと思います。
SOCとは?
SOCとは(Security Operetions Center)の略でTierにもよりますが最前線に立って攻撃の検知に努める職業です。
その仕事内容から24/365での稼働になるためシフト制を採用している企業がほとんどです。
主な仕事内容としては
・アラートを監視および調査
・セキュリティツールの設定と管理
・基本的なIDS (侵入検知システム)シグネチャの開発と実装
・SOCワーキンググループや会議に参加
・チケットを作成し、必要に応じてセキュリティ インシデントを Tier 2 およびチーム リーダーにエスカレーション。
が挙げられます(未経験の場合Tier1からのスタートとなることが多いため)
Tier1オペレーターに必要なもの
・フィジカル
・コミュ力
この二つがあれば一応なることはできます。
(夜勤だったり深夜の電話対応や、関係する各部署、顧客とのやり取りが発生するため)
(もちろん上に上がるために必要なのは学習の姿勢です。)
しんどさと良さ
一日のうちの大半の時間を同じような内容のアラートを一日に何百件と確認することと対応の優先順位付けに費やす必要があるので非常に集中力もいりますし、判断に時間をかけることもできません、ほかのエンジニアからは『SOC(笑)』という目で見られますし、顧客から感謝もされません。
また、未経験でもできる仕事なので現場にもよりますがOSI参照モデル?三要素?なにそれ?みたいな作業員になってる人が結構います。(おそらくこれがSOC(笑)の元凶)
こういう人とは話すだけ無駄、自身の成長の妨げになるだけなのでさっさと追い越しちゃいましょう。
ただ、ここで得られるものは本当に多く、自身が最前線に立っているので今どんな攻撃がトレンドなのかがツイッターなど見なくても自然と頭に入ってきますし主要なベンダーの製品に触れる機会も多くあります。ログを見に行く機会も多いです。
そうすると脆弱性のエクスプロイトにどんな知識が必要なのかがだんだんわかってきます、(ネットで調べたら早いんだろうけど自分で気づくことが大事だと思いました。)
で、経験積んで現場の人を全員追い越したなと思った時は自身のやりたいことがもう少し解像度高く見えてるはずなのでそれに向かって突き進みましょう。
まとめ
しんどいところを多めで書きましたし、SOCの仕事は地味な印象を受ける方も一定数いらっしゃるかも知れないです。
が、未経験者からしたら新たな発見の連続で非常にワクワクできる仕事だと思います。
自分も出勤日が来るたびに今日はどんな発見があるんだろうとワクワクしながら通勤して、うち帰ったらこれやってみよ~~と、ワクワクしながら帰宅していたので毎日充実してました。
フィジカル面を犠牲にしてでもやる価値のあるとてもやりがいある仕事だと思います。
次は脆弱性診断士の仕事について話そうと思います。