国際情勢が緊迫し経済の混乱もあって、サイバー空間では工作員や犯罪者の蠢動が急増している。こうした脅威に最前線で対応しているのがいろいろな機関のSOC（Security Operation Center）である。その実態については、あまり世間には知られていない。もちろん機密事項もたくさんあるのだが、SOCについての理解を得るために、紹介できる範囲について見学者を受け入れているところもある。今回そんなイベントに参加して、あるセキュリティベンダーのSOCを訪問し、いろいろ教えてもらった。

 

　都内にあるこのSOC、国内の多くの企業からの委託を受け、

 

・その企業のITシステムを監視し

・異常を検知した場合はこれを分析し

・危険なものについては分析結果を添えて警告を発する

 

　業務を、24時間365日継続している。

 

　　　　

 

　この１年、やはり２月のウクライナ紛争前から、異常検知は増えているという。一昨年11月にはMovable-Type、12月にはLog4j関連でインシデントが増えた。昨年になっては、３月と５月にEmotetの侵入が急増、５～６月には公的機関中心に情報窃取被害が増えた。

 

　５月のEmotetの狙いは、ロシア制裁をした国の公的機関から情報を盗むことだったと言った専門家の声を思い出した。このSOCでは、１日１社平均100万件の異常検知があり、10件が危険な可能性を持っていて、0.005件が重大なインシデントにいたるという。

 

　中心になる人材とは高度な能力を持った分析員だが、その条件が面白かった。ITの知識、セキュリティ技術は当然だが、一番重要なのは「分析結果を、その理由を含めて日本語でちゃんと説明できること」だという。

 

　サイバーセキュリティ分析官は究極の理系クンだと思いましたが、重要スキルが日本語というのには驚きました。やっぱりここでも「文理融合教育」が活きていますね。