「大企業を守るには、中小を守らねば」──セキュリティの“周回差”、ニッポンらしい埋め方は

辻氏（以下敬称略）：SOCに携わったのは、どういったきっかけだったんですか？

阿部：SOC人生のきっかけはただの“配属ガチャ”で、それまではセキュリティも何もない、単なるシステムエンジニアでした。いま思うとセキュリティには縁があって、お客さまが他社に診断を依頼して、その結果をなぜか自分が精査するという。それがセキュリティとの最初の出会いで、印象は最悪でした（笑）。

辻：僕のスタートの印象と一緒ですね（笑）。本来は、診断側が精査すべきなんですけどね。

──最近、国内でもインシデントが多発しています。サイバー空間のこの変化をどう見ていますか？

阿部：ここ数年での大きな変化は、見る範囲が明らかに増えたことではないかと思います。分かりやすい部分では、クラウド活用により、単純に守らなければならない範囲が増えている。それに合わせて攻撃の対象も連動して増えていますね。

辻：長いSOCのキャリアで、守るポイントの変化以外に、なにか変わったと思う点はありますか？

阿部：セキュリティの体制を含め、お客さまの様子を見ていると「いま3周目かな？」と感じています。どのお客さまも同じ場所にいるというより、みんな同じような「3周」を走っているように思えます。

　まず「0周目」は、わけも分からずシステム担当が割り振られ「総務がセキュリティやらなきゃ」となったり「セキュリティ専任もいないし、どこにアウトソースしているわけでもないけど、1人情シスがやらされて責任を負う」みたいになったりする段階です。みんなそこからスタートします。

　それを経て、次の「1周目」。初めてアウトソースとして、SOCを入れてみようか、昔ならUTM（統合脅威管理）を導入して、そういやそこにサービスが付いていたな、使ってみようかな、と組み立てていく。

　「2周目」に入っていくと、それまででいろいろ学んで、自分たちはここまでやらなきゃいけないんだということを知る。でも、まだ専門性も足りず、やっぱり部分的にアウトソースが必要だと判断できるようになる。要するに、インソースとアウトソースを区別できるようになるのが2周目です。

　「3周目」にいけばもう自信が付いているので、ここは自分たちでやればいいんじゃないかと、内製化思考が始まる。これを経て「4周目」にいければ、かなり内製化ができるんじゃないかと。

　その観点で考えると、お客さまのセキュリティ運用の慣れ具合を見て、輪廻がまわってきているな、と感じることもあります。「しゃべっているとこの会社何周目か分かる」みたいな。