入社後、配属はマネージドセキュリティサービス事業本部のSOC（Security Operation Center）サービス部だ。顧客の情報システムのログをリアルタイムで24時間365日監視。セキュリティインシデントの可能性があるログが見つかるとアラートが作動するので、関連するログを直ちに相関分析してインシデントの詳細や対応方針などを顧客に連絡する。時にはデバイスの緊急設定変更まで行う。
北米支社を含めて3交代制のシフト勤務体制を取っているが、もちろん新人がすぐにシフトに入れるわけではない。入社後半年間は訓練期間だった。SIEM（シーム）と呼ばれる分析に使うツールの使い方を覚えたり、過去の事例を使って自分なりに模擬分析を行ったり、さらにシフトに入っている担当者の横で見習いをしながら、徐々に独り立ちしていった。半年間、できることが増えていくのがうれしかった。

現在進行形で発生しているインシデントに対応しなければならないので、当番中は常に緊張感がある。私の分析に不備があったり、通知が遅れたりしたら、それだけ被害が拡大してしまう。反面、この緊張感こそ、日本経済の中枢を担う企業を、引いては日本を、最前線で守っているという実感につながるものだった。シフトに入る以上、最新のサイバー攻撃やマルウェアについての理解は欠かせない。それは難しくもある。しかし、世界最先端のトレンドを目撃し、それと戦えることは私には大きなやりがいだった。
もちろん数え切れないほど失敗もした。あるアラートが上がった時に、本来複数のシステムを相関分析しなければならないのに、その1つを対象から落としてしまったことがあった。またある時は、次々とアラートが立ち上がってくる中でミスが重なり「私はこの仕事には向いていない」と弱気になった。その時は先輩から「困った時はSOSを出せば良い。相談されて迷惑顔をするような人間はここにはいない。そもそもこの仕事はチームで進めるものだ」と諭された。私は恵まれたチームにいる。1人で抱え込まずにチームとして最大の成果が出るように振る舞わなければならないと気付いた。

入社から9カ月が過ぎようとしていた頃、監視業務と並行して新たな任務を与えられた。
SIEM基盤に、AD（Active Directory）ログ監視に関連するコンポーネント製品を新規導入する案件だった。ADと呼ばれるのはWindows Serverの機能の1つで、管理するネットワーク上に存在するサーバーやパソコン、プリンタ、そしてそれらを使用する利用者の識別情報や各デバイスへのアクセス権限などの情報を一元管理するものだ。ADは多くの機器の認証情報を保有しているため、ここへの攻撃が成功したら、非常に大きな脅威になる。ログ監視は極めて重要だ。

SOC監視という現場業務はやりたいと思っていた仕事そのものだったが、システム基盤の構築に関わる業務は想定していなかったから、やりきれるかどうか不安だった。蓄積された知見はない。ゼロからのスタートだ。実際に先輩社員と2人で取り組みを始めると、想像以上の難しさがあった。私自身、当初は「何が分からないのかが分からない」という状況で、先輩の助けがなければ何一つできなかったが、自分の手で製品の動作環境の構築や検証を進める中で、少しずつ製品知識を取得。並行して自身のITスキルも鍛えられていった。検証作業を終え、リリースまであと一息という段階で先輩が異動になり、最終工程は私が1人で進めなければならなくなったが、なんとか予定どおりにリリースすることができた。
予想したとおりADログ監視の需要は高まる一方で、リリースした製品も大活躍している。しかも、私はこの新規導入を担うことを通じて、専門といえる分野を持つことができた。おそらく、今社内でその製品を最もよく知っているのは私だ。今後もADログ監視の分野で新たな知見のキャッチアップを進め、また、社内のナレッジとして後輩に伝えていかなければならないと思っている。