入社後、配属はマネージドセキュリティサービス事業本部のSOC(Security Operation Center)サービス部だ。顧客の情報システムのログをリアルタイムで24時間365日監視。セキュリティインシデントの可能性があるログが見つかるとアラートが作動するので、関連するログを直ちに相関分析してインシデントの詳細や対応方針などを顧客に連絡する。時にはデバイスの緊急設定変更まで行う。
北米支社を含めて3交代制のシフト勤務体制を取っているが、もちろん新人がすぐにシフトに入れるわけではない。入社後半年間は訓練期間だった。SIEM(シーム)と呼ばれる分析に使うツールの使い方を覚えたり、過去の事例を使って自分なりに模擬分析を行ったり、さらにシフトに入っている担当者の横で見習いをしながら、徐々に独り立ちしていった。半年間、できることが増えていくのがうれしかった。
現在進行形で発生しているインシデントに対応しなければならないので、当番中は常に緊張感がある。私の分析に不備があったり、通知が遅れたりしたら、それだけ被害が拡大してしまう。反面、この緊張感こそ、日本経済の中枢を担う企業を、引いては日本を、最前線で守っているという実感につながるものだった。シフトに入る以上、最新のサイバー攻撃やマルウェアについての理解は欠かせない。それは難しくもある。しかし、世界最先端のトレンドを目撃し、それと戦えることは私には大きなやりがいだった。
もちろん数え切れないほど失敗もした。あるアラートが上がった時に、本来複数のシステムを相関分析しなければならないのに、その1つを対象から落としてしまったことがあった。またある時は、次々とアラートが立ち上がってくる中でミスが重なり「私はこの仕事には向いていない」と弱気になった。その時は先輩から「困った時はSOSを出せば良い。相談されて迷惑顔をするような人間はここにはいない。そもそもこの仕事はチームで進めるものだ」と諭された。私は恵まれたチームにいる。1人で抱え込まずにチームとして最大の成果が出るように振る舞わなければならないと気付いた。