SOCマネージャー/ディレクターの役割：スキル、職務、給与など

サイバー犯罪者は、機密情報を盗み出したり、ビジネスを妨害したり、組織に損害を与えたりするために、企業や組織を狙っています。しかし、効果的なセキュリティオペレーションセンター(SOC)を整備することで、サイバー攻撃を未然に防ぐことができます。 

SOCマネージャーは、サイバーセキュリティの脅威を検出し対処することで、組織の安全な運営を確保します。彼らの役割は、チームを管理し、ポリシーや手順を策定し、CISO (最高情報セキュリティ責任者)にセキュリティオペレーションの状況を報告することです。この記事では、SOCマネージャーの役割について説明します。

SOCの上司に当たる役職は？

SOCマネージャー/ディレクターと呼ばれる人々は、企業や組織の中でSOCチームやサイバーセキュリティの専門家を率いる上級職です。SOCをさまざまな面で管理し、企業のデジタル資産をサイバー攻撃から守ります。

担当チームに必要な訓練を提供し、士気を高め、効果的に連携できるようチームを監督します。仕事の内訳は、チームメンバーの新規採用、業績評価の実施、トレーニングやスキルアップの継続的な実施など、多岐にわたります。

重要なポイントは、SOCマネージャーは最高情報セキュリティ責任者(CISO)の部下として、セキュリティオペレーションの状況を報告する立場にあることです。SOCの活動やパフォーマンスについて定期的に報告し、重大なインシデントや脅威が発生した場合には説明する義務を負っています。

SOCの指揮および監督は、困難でありながらやりがいのある仕事であり、以下の資質が求められます。

• 強力なリーダーシップ
• 技術的な知識
• サイバーセキュリティのベストプラクティスに関する深い理解

SOCマネージャーの責任と職務

次のセクションでは、組織のセキュリティオペレーションの中心的な役割を担うSOCマネージャーのさまざまな責任について説明します。

では、さっそく、SOCマネージャーの日常的な責任と職務を見てみましょう。  

SOCスタッフのトレーニングと管理を行う

どのようなサイバーセキュリティ対策であれ、効果を出すには十分な訓練を受けた優秀なSOCチームが欠かせません。SOCマネージャーに求められる職務は、SOCチームがセキュリティインシデントを効果的に検出、分析、対処するために必要なスキルと知識を身に付けられるようにすることです。具体的には次のような方法で行います。

• チーム内での知識共有を促進するため、定期的なトレーニングセッションを開催し、メンターシップの制度を導入する。 
• 必要に応じてメンバーの新規採用や外部サービスへの外注を行い、チームの対応力を補う。

セキュリティポリシーを策定および実施する

セキュリティポリシーを策定することで、セキュリティの手順やルールについて組織内の全員が共通の認識を持つことができます。こうしたポリシーの策定と実施において、SOCマネージャーが重要な役割を果たします。 

セキュリティポリシー策定の際は、業界の標準を詳しく確認したり、ほかの部門と緊密に連携したりすることでセキュリティニーズを把握します。サイバーフレームワークに基づいて作成されるポリシーもあれば、一般的なサイバーハイジーンプラクティスに従う場合もあります。

SOCのパフォーマンス目標と優先事項を確立する

全員が同じ目標に向かって進むためには、パフォーマンスの目標と優先事項を定めておくことが重要です。生産性と効率性を高めるために、SOCチームは自分たちの決定事項と目指すべき目標について理解する必要があります。 

SOCマネージャーはSOCチームと協力し、特に注力すべき重要項目を洗い出すことで、目標と優先事項を決定します。たとえば、以下のような項目を定めます。

• インシデント対応の時間を短縮する
• 誤検知やその他の無関係なアラートを減らす
• 脅威検出能力を強化する

優先事項が明らかになった後は、その内容をチームメンバー全員に周知する必要があります。

SOCアクティビティを監督する

SOCマネージャーはその責務の一環として、担当チームのスタッフがどのような活動をしているかを監督したり、適切な優先事項に取り組めるようにしたりします。チームの業績指標、インシデントレポート、その他の主要な指標をチェックすることで、SOCの活動を監督できます。SOCを監督することで、改善の余地がある部分を見つけたり、チームが十分なパフォーマンスを発揮できているかを確認したりできます。

SOCのツールとリソースを管理する

SOCチームでは、セキュリティインシデントの検出、分析、対応のためにさまざまなツールやリソースを活用しています。SOCマネージャーはSOCチームのリーダーとして、こうしたツールやリソースを最新の状態に保つ責務があります。

有益と思われる最新のテクノロジーを評価することで、SOCのツールとリソースを管理できます。導入したツールを効果的に活用するには、人員、予算、トレーニングなど、チームに必要なリソースが備わっているかを継続的にチェックする必要もあります。

インシデント対応の取り組みを主導する

セキュリティインシデントが発生した場合、SOCチームは可能な限り速やかに対応する必要があります。SOCマネージャーは、明確なインシデント対応の手順やルールを確立しチームに周知することで、インシデント対応の取り組みを主導します。手順やルールがあれば、未知のセキュリティ問題が発生しても、チームは何をすべきかが理解できます。 

(インシデントコマンダーの役割についてご覧ください。SOCマネージャーの役割と重なる部分があります。)

インシデントレポートを分析する

組織のセキュリティ態勢を理解するには、インシデントレポートの分析が欠かせません。インシデントレポートをチェックすることで、パターンや傾向が見えてきます。そこから、セキュリティ対策の弱点や脆弱性が明らかになることもあります。

レポートを分析するうえで特にお勧めするのが、インシデントや脅威の発生頻度、重大度、そして発生期間のデータを確認することです。また、ほかの部署とも連携してセキュリティインシデントの根本原因を探り、そうしたリスクを軽減するための戦略を作ることもできます。

セキュリティインシデント発生時の連絡窓口になる

SOCマネージャーの重要な責務の1つが、セキュリティインシデント発生時の連絡窓口になることです。SOCチーム、組織内の関係者、そしてベンダー、クライアント、規制機関などの外部の関係者との間に入って、連絡役を務めることになります。

セキュリティインシデントに迅速に反応できれば、企業の機密データや評判を守り、コンプライアンスを確保できます。

セキュリティオペレーションに関してCISOに報告する

SOCマネージャーのもう1つの重要な職責に、組織内のセキュリティオペレーションについてCISOに報告することがあります。オペレーションセンターで発生したすべてのことは、CISOに逐次報告する義務があります。

報告には、調査結果の重要なポイントやオペレーションに関する推奨事項をまとめた、わかりやすくシンプルなレポートを使用します。CISOはそのレポートの情報を踏まえて、セキュリティ関連の投資や自社の目標にそった戦略の策定を行うことができます。

SOCチームのパフォーマンスレビューを実施する

CISOへの報告を終えたら、次はCISOからの意見やコメントをチーム全体に共有します。パフォーマンスレビューを実施することで、以下のメリットが得られます。

• SOCチームメンバーのやる気、行動力、生産性を高める。
• キャリアアップのためのトレーニングと改善の機会を見つける。

チームのパフォーマンスレビューは、メトリクス、インシデントの解決率、顧客満足度アンケートなど、客観的な基準を使用して実施します。 

高度なアドバイス：パフォーマンスレビューは批判を目的とするのではなく、建設的な態度で伝えましょう。継続的な改善を文化として根付かせることにつながります。

SOCマネージャーの給与

ここまで見てきたように、SOCディレクターには多くの責務があります。引く手あまたなので、その需要が給与に反映されているのも納得できます。SOCマネージャー/ディレクターの給与は、企業規模、業種、勤務地、経験の程度など、いくつかの要因によって決まります。大企業の方が小規模企業よりも、技術系の業界の方がそれ以外の業界よりも、給与が高くなる傾向にあります。

Glassdoorによると、米国のSOCマネージャーは平均年収が9万561ドルとのことです。それ以外に、ボーナス、成功報酬、特別手当がここに追加されます。これらの追加分を合わせると、平均年収は31万6,845ドルほどになると見込まれます。2023年の給与レポートとその情報源を2つ紹介します。

• Salary.comは、年収10万6,627～13万858ドルであると算出しています。 
• ZipRecruiterでは、年収13万4,330ドル、時給にして65ドルと報告しています。  

上記の数字はあくまで平均です。実際の給与はいくつかの要因によって変わってきます。一般に、経験豊富なSOCマネージャーは、経験の少ない人と比べて給与が高くなるでしょう。

SOCマネージャーに必要なスキル

SOCマネージャーになるには、技術スキルとソフトスキルの両方が必要です。SOCマネージャーになるために必要な全スキルを詳しく紹介します。

SOCアクティビティの監視

SOCマネージャーになるには、SOCのアクティビティを適切に監視できる必要があります。ネットワークを監視するために使用する、さまざまなツールの理解も必要になります。たとえば、以下のようなツールです。

• SIEM (セキュリティ情報/イベント管理)システム
• IDS (侵入検知システム)
• その他のセキュリティ監視ツール

また、これらのツールで収集したデータの分析方法についても把握している必要があります。

リスクの検出

リスクはビジネスの成長にとって大きな障壁です。そのため、組織のセキュリティ態勢に悪影響を与えるおそれのあるセキュリティリスクの特定方法を理解しておく必要があります。そうした脅威を監視し、あらゆるリスクの最新状況を把握しておくために、SOCマネージャーは以下のことをする必要があります。

• リスク評価を定期的に実施する。
• 脆弱性を特定する。
• これらのリスクを低減するための戦略を策定する。

インシデント対応

インシデント対応は、セキュリティを担当するマネージャーにとって非常に重要な責務です。インシデント対応チームと連携し、問題解決のために必要なアクションを明らかにすることが求められます。たとえば、次のような行動が必要です。

• インシデントコマンダーと協力してインシデント対応計画を策定する。
• インシデント発生中に、関係者と効果的なコミュニケーションを取り続ける。

(関連記事：インシデントの重大レベル1～5)

テストの自動化

SOCの業務において、自動化はますます重要になっています。効率性を高め、対応時間を短縮し、より正確にことに当たるため、自動化ツールをテストしたり、新しい自動化手法を導入したりするスキルが求められます。

脅威と脆弱性の管理

SOCマネージャーになるには、業界に影響を与える最新の脅威と脆弱性に適切に対応できる必要があります。攻撃者が組織のセキュリティを破壊するために使う、最新のハッキング手法についても理解している必要があります。 

脆弱性の管理、スキャン、評価、修復などのスキルをSOCマネージャーに求める組織もあります。

リーダーシップ

管理職として働くので、リーダーシップのスキルも必要です。チームを鼓舞し士気を高め、目標を設定し、必要に応じて助言をすることが求められます。優れたSOCマネージャーになるには、難しい決断を下し、チームの行動に対して責任を取る必要があります。 

現時点で管理職ではないが、将来的に管理職として働きたいと考えている人は、組織内で管理職への昇進を目指してみるのもよいでしょう。また、リーダーシップスキルを磨けるコースやワークショップへの参加も検討してみてください。 

優れたコミュニケーションスキル

SOCマネージャーは、セキュリティオペレーションに関わるさまざまな状況を関連する各機関に報告します。そのため、技術をよく知る人にも、あまり知らない人にも、複雑な技術情報を伝える方法を身に付けている必要があります。 

優れたコミュニケーションスキルがあれば、CISOやその他の幹部など、組織内の関係者と良好な関係を築くことができます。

切迫した状況を切り抜ける能力

サイバーセキュリティのインシデントは、多大なストレスと切迫した状況を生み出します。SOCチームのリーダーであれば、プレッシャーの中でも冷静さを保ち、迅速に決断を下し、チームがリラックスできる環境を維持する必要があります。

ストレスの多い状況に対処する練習をすることで、組織の危機的な状況に対処するスキルを磨くことができます。 

分析能力と問題解決能力

複雑なデータや情報を分析して脅威の兆候を特定するのがSOCマネージャーの仕事です。そのため、企業は分析能力と問題解決能力を併せ持つ人材を求めています。

セキュリティオペレーションの管理における実務経験

実務経験を積むことで、SOCマネージャーはチームが日常的に直面している困難を理解しやすくなります。経験があれば、情報に基づいた意思決定ができ、現実的な期待値を設定し、改善できる部分を見つけられます。 

どのセキュリティオペレーションセンターで働いても、こうした実務経験を積むことが可能です。実際の現場で働くことで、さまざまなセキュリティインシデント、ツール、手法にふれることができます。 

コンピューターサイエンス分野の学士号

コンピューターサイエンスの学士号を取得することで、複雑なセキュリティシステムや技術の理解と監督に必要な技術的知識が得られます。多くの組織で、このポジションの必須条件に学士号を挙げています。博士号などさらに上位の学歴があれば、なお良いでしょう。

SOCマネージャーのベストプラクティス

すでにSOCマネージャーとして活躍している方に向けて、ここでは実証済みのベストプラクティスをいくつか紹介します。

SOCの運用に精通している人材で強力なチームを作る

SOCマネージャーの重要な責務の1つが、SOCの運用に精通している人材で強力なチームを作ることです。つまり、サイバーセキュリティ分野の経験があり、脅威インテリジェンスを深く理解し、最新のテクノロジーと方法論を熟知した人を採用するということです。 

また、チームワークやコラボレーションの文化を育むことも推奨されます。メンバー同士での知識や経験の共有を促すことができます。

セキュリティプロセスの評価と改善

セキュリティの脅威はすぐに抑え込まなければ、時間とともに広がっていきます。そこで、セキュリティプロセスの強化が重要になります。SOCマネージャーは、組織のセキュリティプロセスを評価し改善する手法を熟知している必要があります。プロセスを効果的に評価するうえで、以下のヒントが役に立つでしょう。

• セキュリティ評価を定期的に実施する。
• ポリシーと手順を見直す。
• 新しい技術を導入する。

最新の脅威インテリジェンス技術を把握する

テクノロジーやツールの最新事情を把握しておくことは欠かせません。セキュリティ脅威の検出と対応に役立ちます。最新の脅威やその仕組みを理解しておくことで、問題が顕在化する前に脅威を抑制する戦略を策定できます。

SOCチームのメンバーと効果的にコミュニケーションを取る

優秀なSOCチームを作るには、明確な期待値と目標を設定し、仕事の成果をきちんと評価するなど、メンバーとの効果的なコミュニケーションが欠かせません。 

SOCマネージャーは、メンバーが自分の考えや心配事を気軽に話せるような、オープンで透明性の高い文化を醸成する必要があります。

SOCの力を発揮する

サイバー犯罪者は常に、組織の脆弱性を突いて甚大な被害を与えようと虎視眈々と狙っています。SOCはサイバー攻撃を防ぐ重要な砦であり、その成否はSOCマネージャーの手腕にかかっています。今日もSOCマネージャーは、チームのタスクを監督し、ポリシーの策定と導入を行い、パフォーマンス目標や優先事項を設定しています。 

このブログはこちらの英語ブログの翻訳です。