Developing Talent in Security Operations

Clarke Rodgers：
社内の人材または社外からの採用を検討している場合、SOC アナリストの職種または組織内の他の職種で求めていることは何ですか？ あなたが求めている特定の考え方や特定のスキルセットはありますか？ それはどのようなものですか？

Tom Avant：
私たちの組織には、12 の異なるジョブファミリーがあります多くの人の反応は、「どういうことですか？ 組織の中に 12 の異なる職群があるのですか？」です そのとおりですPM、TPM、サポートエンジニア、システムエンジニアなど、あらゆる職群が揃っています。私たちには小規模で戦術的な開発チームがあります。つまり、ソフトウェア開発エンジニア、SDM、セキュリティエンジニアがいます。いいですか、今、すべてを列挙していますが、このリストはまだまだ続きます。

つまり、組織全体にわたって、あなたが担当する特定の仕事に応じ、一定の基本的な資格 (BQ) と特定の要件があります。しかし、組織全体として働くという話になると、私たちは判断力の高い人材を求めています。私たちは、あいまいな状況での操作に慣れている人を探しています。私たちは正しいことをしたいという生まれつきの傾向がある人に慣れていて...火に飛び込めとは言いたくありませんし、見た目が必ずしも好きではありませんが、飛びこむ前に中に入って評価し、正しい方法で入ることを確認してください。

そこで、私たちはそのようなタイプの人々、つまりすでに反応する傾向があり、どのような立場にあってもより高い使命感を持ちたいと考えている人々を探しています。

Clarke Rodgers：
そして、ある程度の好奇心をもって、「物が二度と壊れないようにするには、どのように壊せばいいのか」を想像します。

Tom Avant：
ああ、100%。また、人々は同じことを何度も繰り返すのが嫌いです。これは、24時間365日のグローバルオペレーションセンターを運営しているときに起こることの一部ですが、単調になってしまうからです。私はそういうことに疲れた人々が欲しいです。「まさか、これを6週間続けているのですか？ もうやりたくないんです。」という感じの人が欲しいです そして、そこから抜け出す方法、あるいはそれを修正するもっと革新的な方法、解決策を自動化する方法を考え出したり、あるいは「このプロセスを別の方法で試してみるのはどうでしょう」と提案します。

私が探しているのはその人たちです。「私たちはなぜこれをこの方法で行っているのだろう」という疑問を持つ人たちです。 そして、それが理にかなっているなら、彼らは参加しています。そして、それが理にかなっていない場合は、他の人と協力して、もうそれを行わない方法を見つけます。それが私が探しているものです。

Clarke Rodgers：
24 時間年中無休の店だとおっしゃいましたね。それは人間にとって、かなり長い間、非常にストレスになることがあります。社員が燃え尽き症候群に陥っていないか、12 の職群のうち 1 つ以上をローテーションできる能力があり、毎日仕事で燃え尽き症候群に陥ることなく充実したキャリアを築けるように、人材管理の観点から物事を見るにはどうすればよいでしょうか？

Tom Avant：
私のリーダーシップチームのメンバーの多くは、さまざまなキャリアの出身で、キャリア開発はそれらのキャリアがどのように機能するかにとって重要な基礎でした。私が何年も前にこの分野を引き継いだとき、最初はそれがありませんでした。しかし、人々が進むべき道を確実に理解してもらうためには、それを取り入れることが重要だと感じました。

レベルベースだけではありません。重要なのは次のレベルに進むことではなく、スキル開発、役割開発、ビジネスの理解です。そのような会話が意味するのは、私たちはどのようにして、物理的な空間から物理とサイバーと論理の融合空間に移行することになったのかということですよね？ 「すでに本当に良い成績を収めている人材を育成するにはどうすればいいのですか？ どうすれば彼らにより大きな機会を与えることができるでしょうか？ 他のチームとどのようにペアを組みますか？ 助け合い、成長し、学ぶ機会をもっと見つけるにはどうすればよいでしょうか？ 最高の人材を実際に採用し、育成するにはどうすればよいのでしょうか？」と言うことによって、 それが、集中力を必要とした「最高のものを開発する」部分です。そこで、私たちが掘り下げたのです。

Tom Avant：
脅威の状況は、世の中のほとんどの人が考えているよりも速いスピードで絶えず変化しています。そのため、1つの分野にしか対応できないセキュリティ専門家を育成しているだけでは、世界で起こっている急速な変化に遅れずについていくことは不可能です。

そこで、経営陣と協力して、「フルスペクトラム」セキュリティアナリストと呼んでいる職種をどのように育成できるかを考え始めました。ある分野に精通し、別の分野のスキルを身につけ、開発し始める人を育てるにはどうすればよいでしょうか？ そして、まずは小さな責任を引き継ぐことから始めます。そこで私たちはいくつかのトレーニングを受け、さまざまなトレーニングプログラム、セールスコースなどに取り組みました。そして最終的に、他のチームが行っていることのいくつかを引き受けることにしました。なぜなら、私たちは規模が大きくても非常にうまく運営されているからです。

SOC の良いところは、たとえ社員に支えられていても、まず最初にソリューションを自動化することです。人間は私たちの最後の手段です。そして、そうすることで、私たちは、「自動化という最善の意図があったとしても、何らかの行動を取るためには高い判断力を持つ個人が必要となるようなワークロードもあります」と言うのです。 しかし、その中には、さまざまなスキルセットを持つ個人がいます。非常に高いコンピュータサイエンスのスキルを持つ個人を採用し、そのスキルをフルに活用する必要のない仕事を与えたくはありません。それはそのリソースの適切な使用法ではないからです。

つまり、考えてみると、リソース管理のようなものです。その議論を通じて、私たちは、「私たちは、ドメインをまたいで活動できるように従業員の能力を構築し、それらのいくつかを活用することができます」と言いました。 それと同時に、組織の反対側にいる同僚のためにリソースを解放して、より曖昧なタスクに取り組めるようにしました。

実際の日常業務に関しては、スナックバーを用意するなど、ちょっとした簡単なことを絶対に確実に行いたいと思っています。以前にオペレーションセンターで働いたことのある人の多くが、「本当に、本当に大変だ」と思っていたのに驚かれることでしょう。

Clarke Rodgers：
ピザは大いに役立ちます。

Tom Avant：
ピザは大いに役立ちます。ピザ、ドリンク 1 – 2 杯、チップス。人々は幸せです。ふざけて言ってるんじゃないけど、本当に...

Clarke Rodgers：
いや、間違いありませんね。それは本当です。

Tom Avant：
それは本当です。OpsCenter での作業では、状況に深く入り込んでしまい、ふと気がつくと 4 時間連続で問題に対処していたということがあります。それすら気づかなかったでしょう？ そして、作業を続けていくには燃料が必要です。

また、先ほども言ったように、役職を交代させる機会を設けて、「別の役職に異動するための要件はこのとおりです」とわかるようにしています。

まだオンコールがあります。グローバルシステムを運用している場合、オンコールが再び発生することは避けられません。しかし、多くの場所で、グローバル化されたシステムがある場所に移動できました。ハンドオフを行い、別のチームが引き継ぎ、その後も動き続けるのです。

Clarke Rodgers：
このインタビューの準備として、御社の社内チームのウィキを調べたところ、テナントが公開されていました。これらは、AWS 全体で使用するテナントであり、特定の状況ごとに規定されたものがない場合に、ユーザーがガイダンスを得られるよう支援します。つまり、それがあなたの操作方法です。先ほど、「人間によるスケーリングは最後の手段だ」とおっしゃいましたが、もちろん、自動化が理にかなっている場合にはそれに本当に焦点を当てたいと思うでしょうし、人間がリスクベースの意思決定を行うことができます。他にも素晴らしいと思うことがいくつかありますので、お話しをお願いします。

Tom Avant：
はい。

Clarke Rodgers：
1つ目は、「パントせずに、パスする」です。

Tom Avant：
わかりました。

Clarke Rodgers：
それについて教えてください。

Tom Avant：
いいですか、私たちは、人々が忙しくなり、いろいろなことが起こり、誰か（通常はキャリアの後輩）が最初に「それは私の仕事ではありません」と言うのを何度も見てきました（通常はキャリアの後輩）。社内、社外を問わず、顧客に対してそのようなことは言いません。弊社の担当でない場合は、適切な担当者を見つけるお手伝いをし、優しく温かい引き渡しを行います。「それは私たちの担当ではありません」とだけ言って、放り投げるようなことはしません。

そして、これは内部でも同様です。チーム A を探していて、チーム C に電話しても、チーム C はそれがチーム A だとは言いません。チーム C がチーム A に伝え、「チーム A、持っていますか？ 大丈夫ですか？」と伝えます 私は以前、それを受ける側にいたことがありますが、2 度目、3 度目の転送を経験すると、「この組織はどうなっているのだろう」と思うものです。

Clarke Rodgers：
ええ、「同じ会社じゃないのですか？ どうして彼らはお互いに話さないのですか？」

Tom Avant：
どうして彼らはお互いに話さないのですか？ そうですよね。それがまさに私たちがそれをした理由です。

Clarke Rodgers：
これはすばらしいことです。そしてもうひとつは、少し説明が必要かもしれませんが、「セキュリティは秘密結社ではありません」というものです。 どういうことですか？

Tom Avant：
サイバー関連のバックグラウンドを持たない人や、高度な技術分野で働いたことがない人の多くは、サイバーセキュリティはとても怖いと思っていると思います。彼らは、「どうしよう、こんなことは学べません」とか「コーディングできません」というような感じです 私は、「なんてことでしょう、私の知っているほとんどの人はコーディングができない」みたいな感じです 私たちの周りにもサークルをコーディングできる人がたくさんいます。

どちらのタイプもありますが、サイバーセキュリティ業界ではよく知られているように、すべてのタイプが必要です。もしあなたが2人の軍人を一緒にしたら（特に彼らが同じ軍の所属であれば）、会話を始めて 5 分も経たないうちに、彼らは私たちと異なる言語を話していることになります。それは、彼らの間で飛び交う頭字語や聞いたことのない基地名、TDY や配備などの異なる言葉のせいです。

つまり、サイバーセキュリティの分野でも同じことが起こります。いろんなコードネームや頭字語を使っている人がいます。それらの略語が何を表しているのか聞けば、完全に意味をなしていることがわかります。でも、知らずにただ聞いているだけなら、R2-D2 などのアルファベットスープのようです。その状況はとても威圧的なのため、人々は「ああ、それはできない」という反応をします。 そして、それは実際には、真実からかけ離れたものは何もありません。

そこで、わかりやすく説明するため、「知っていますか？ 学べる環境を実際に作ってみましょう。恐怖の環境がない環境を作りましょう。」と言います。 質問してください — 私は会議でこれを実証します。頭字語を言ったのに、私が今まで聞いたことがない場合は、聞きます。恥ずかしくありません、「どういう意味ですか？ これは何ですか？」 これでわかったし、誰かに話せるようになりました。私が何度も尋ねても、相手が「ああ、わかりません」と答えたことに驚かれることでしょう。

Clarke Rodgers：
みんな使っています。

Tom Avant：
誰もが頭字語に慣れます。だからそういうことです。そしてもう一つは、言葉をより正確にするだけでなく、どのような用語や単語を、どのように使っているのかを理解できるようになることだと思います。これにより、より多くの人々が歓迎され、貢献できると感じる環境が生まれます。そしてその (本当の) 利点は、答えを知っている人がその部屋にいる、あるいは私たちが思いつかなかったことを考えた人がその部屋にいるということです。そして、もし彼らが何も知らないために恥ずかしい思いをしたり、変な目で見られたりするかもしれないという恐れだけが彼らの声を阻んでいるのであれば、彼らに声を上げてほしいと考えています。それが何なのか知りたいです。なぜなら、それによって私たちのビジネスのやり方が完全に変わるかもしれないからです。

Clarke Rodgers：
それは AWS と AWS のお客様に役立つでしょうし、それ以上にも役立つ可能性がありますよね？

Tom Avant：
世界を助けましょう。

Clarke Rodgers：
世界を助けましょう。

Tom Avant：
そのとおりですね。

Clarke Rodgers：
さて、Tom さん、素晴らしいお話しでした。今日は時間を割いていただき本当に感謝しています。ありがとうございました。

Tom Avant：
お招きいただき、本当にありがとうございました。私も大変感謝しています。