「それでは運用できない」 反発を乗り越え進めた“脱”手順書
小林がまず力を入れたのが、ログ分析の考え方を浸透させた上での“脱”手順書である。これは、1人のメンバーの発案から生まれた。従来は、事細かに手順を記した手順書をもとにSOCを運用してきた。「間違ってはいけない」という考えからだ。
「しかし、ログの分析は必ずしも手順通りに進むものではありません。ログ分析とは、自分で仮説を考え、ログがその仮説通りになっているか、という答え合わせ。そこで、手順書に頼らない、自分の頭で考えてジャッジする運用を目指しました」
SOCの監視対象がNTT東日本グループだけから、グループ外の多様な組織へと広がれば、当然、トラフィックパターンや攻撃手法なども、より多様になるだろう。想定外の攻撃に遭遇する可能性が増すということは、手順書に頼れないケースも増えるということだ。
当初は「それでは運用できない」という反発もあったそうだ。しかし一方で、若手メンバーを中心に、SOC運用ビジネスの拡大のため、「変わっていきたい」という熱意が芽生えていることも小林は感じていた。小林は、自らの仮説をもとにログ分析するために必要なノウハウの共有に力を注ぎ続けた。
最初の大きな山場は、初めての自治体案件の受注だった。職員数は数万人。「本当にできるのか」と心配する声がやはり一部で上がった。しかし、顧客のニーズを汲み取るため、何度も対話を積み重ねてSOCの運用方針や業務フローを見直し、実際に運用が始まってみると、返ってきたのは顧客からの高い評価だった。
「これまでお客さま対応自体したことがない」。そんなSOCメンバーたちが背伸びしてみて見つけたのは、思っていた以上に力を備えていた自分たちの姿だった。
「最初は誰にも相手にされなかった」 IETFで掴んだ大きな自信
「やればできるんだ」
小林がSOCメンバーたちに背伸びさせたのは、自身にも背伸びしてチャレンジし、自信を得た経験があったからだ。15年近く前、NTTの研究所で、大規模ネットワークのトラフィック監視について研究し始めた頃のことだ。
上司の指示を受け、インターネット技術の標準化団体であるIETFの会合に出席することになった小林。活発に議論するトップエンジニアたちの姿に興奮した小林は、「これからも出続けたい」と強く思ったという。
しかし、単なる情報収集目的では、IETFに参加し続けるわけにはいかない。それで思い至ったのが、RFCの執筆だった。IETFが発行するインターネットの技術仕様であるRFCの執筆に関わることができれば、継続的に出席できる。
小林はトラフィック監視に用いるフロー情報をエクスポートするためのプロトコルであるIPFIXのワーキンググループに参加し、自身のアイデアを提案した。しかし、何の反応も得られなかった。
IETFのワーキンググループでプレゼンする研究所時代の小林
変化が起きたのは6回目だった。このときは、今までとは違う方法で提案した。実際に動くプロトタイプを作り、その評価結果などを見せながら説明したのだ。
自分の提案時間が終わり、メールをチェックすると、ワーキンググループの重鎮から1通のメールが届いていた。「今日の会合が終わったら、ここに来い」
集合場所に行くと、その重鎮以外にも数人のメンバーが待っていた。問われるまま、改めて自身のアイデアを説明すると、返ってきたのは「よし、分かった」の一言。そして、RFCの共同執筆の申し出を受けた。それから約2年後、小林のアイデアが元になったRFCは発行された。
「最初は誰からも相手にされませんでしたが、前へ進み続けたらブレークスルーすることができました。このときの経験が、自分の中では大きな自信になっています」
躊躇せず、前に進めば、道は開ける――。最初は「おっかなびっくり」だったというSOCメンバーたちも今、自信を持って歩み始めている。
毎週火曜はノウハウ共有のための勉強会
手順書に頼り過ぎず、自分で考えてジャッジしていくためのノウハウ共有のカルチャーも定着した。
毎週火曜日、SOC運用チーム内で開かれている勉強会が「Technical Hotwash」だ。若いメンバーが主体的に勉強会を開催している。「メンバーのみんなが見つけたノウハウを自主的に共有する場になっています」と小林は顔をほころばせる。
さらに、SOC運用サービスをもっと多くの人に知ってもらうため、メンバーたちは社内外でのセミナー活動にも積極的に挑み始めた。
「3年前には、自分たちの力に半信半疑、また社外で話す機会がなかったメンバーばかりだったのですから、本当に変わりました。私自身、大学で講師を務めさせてもらったりしていますが、今後はSOC運用サービスの営業活動のためだけでなく、SOC運用で培った知見を社外にも広く共有していくための活動を一緒にできればと考えています」
SOC運用サービスのメニューも一層強化していく考えだ。UTMのログ監視に始まり、EDRのログ監視、自治体向けサービスとメニューを拡大してきたが、今後ゼロトラストに対応したメニューなどを追加していく計画だ。
「熱・意気・ガリ」。こんなモットーを掲げる学校で高校時代を過ごした小林は、自分の“熱量”にこだわり、仕事に取り組んできたという。
その熱量に反応し、SOC運用サービスの火は灯った。「でも、まだまだです。もっともっとお客さまの数を増やしていきます」。ビジネスが軌道に乗った今も、もちろん小林の熱量は少しも落ちてはいない。
<お問い合わせ先>
NTT東日本 保守運用業務トータルサポートサービス「ダイヤモンドサポート」
URL:https://business.ntt-east.co.jp/service/diamondsupport/