くろもも 日記

英語とITで可能性無限大な備忘録

セキュリティエンジニアになりたいからって、SOCは止めとけ

こんにちは、くろももです。

今回はSOC(セキュリティ・オペレーション・センター)について考えていきたいと思います。私は前職でSOCで働いてました。

f:id:blackpeach71:20220411223438j:plain

SOCとは下記URLのように、セキュリティに関する監視を行っていく組織となります。監視ということでログやアラート分析/調査をして、調査結果をもとに対応をすることが多いです。

監視ということでIT経験が浅い人でも採用してもらえる場合があり、IT/セキュリティ経験が浅い人けれどもセキュリティに興味ある人がまずはSOCで経験を積むことはよくあります。

www.fsi.co.jp

ただ私はセキュリティエンジニアを目指す人が、安易にSOCに行くのは止めた方が良いのと思っています。

なぜSOCは止めといたほうが良いか

f:id:blackpeach71:20220411223309j:plain

上記で申し上げた通り、ログやアラート調査/分析が主な仕事なため、実際に手を動かすことが少なく、他のエンジニア職種に応用しづらい分野となります。またネットワークやサーバなど他の監視/運用分野に比べても、セキュリティに特化した現場というのは少ないです。

本当にSOCで一生やっていきたい人かSOCは踏み台として捉えて数年でキャリアアップするという強い志を持っている人でないと、ズルズルと居続けて年齢を重ねてしまい、SOC以外の業務をしたくて転職活動をしても、SOCしか転職ができないという最悪なケースが想定されます。

  • 夜勤がある

SOCというのは24時間365日セキュリティアラートの対応をする必要があるので、通常夜勤ありのシフト勤務の現場が多いです。

若いうちなら体力があるので良いですが、歳を重ねると夜勤がキツくなりSOCを辞めたいけど、SOC以外転職先がないというケースに陥りがちです。

  • つまらない

実際に手を動かす現場ではないので、黙々とログやアラートを調査/分析をしていくのが主な仕事になります。上流の花形の仕事と比べると、他の人に感謝もされずやりがいを持ちづらく単調なつまらない作業になりがちです。

またある程度しっかりしたセキュリティ体制を取っていれば、頻繁に問題のあるアラートが検知されることはないので、そもそもアラートが来ない・来ても誤検知ということもあります。

セキュリティエンジニアになりたい人はどうすれば良いのか

  • IT未経験/経験が浅い場合

セキュリティエンジニアになりたいけど未経験だとすると、SOCや脆弱性診断が目指せるセキュリティエンジニアの範囲となります。未経験だとどうしても行ける現場というのは狭まるため、未経験でSOCで数年経験を積んだ上で別の現場を目指すというのはアリだと思います。

ただ現場に入るとズルズルと続けてしまう可能性があるため、「本当にセキュリティエンジニアになりたいのか?」「セキュリティをやるとしても、まずはサーバーやネットワークの現場を経験してからセキュリティの現場を目指せば良いのではないか?」という点は転職活動をする前によく考えたほうが良いと思います。(サーバーやネットワークで上流の経験をしてから、セキュリティエンジニアとしての転職は比較的容易に移れる場合があります。)

  • IT経験がある場合

転職では一般的に自分の経験ある業務に近いほど、転職しやすくなります。そのため今までの自分がやった業務でセキュリティを絡められることができないか、まずは考えるべきです。

それでもどうしてもSOCに入りたいとなると、SOCに入ると一生抜け出せなくなる可能性があるので、「夜勤ありで、つまらない現場である可能性が他の職種よりも高いが、それでもやりたいか?」という自問は今一度したほうが良いです。

まとめ

SOCやセキュリティって響きはカッコ良いですが、実態はひたすらログを見る形で結構地味な仕事のため、実際は「こんなハズじゃなかった...」って思いがちな仕事の1つではないかと思います。私自身もIT未経験で入って、「セキュリティってカッコ良さそう...!」って思いましたが、実際は地味な作業ばかりで転職もしづらく苦労しました。

ただなくてはならい仕事だと思いますし、ミスをするとインパクトが大きい業務ではあるので、責任のある業務を行いたいという人には良いかもしれません。この記事を通じて「SOCってこういう所なんだ」って少しでも知ってくださったら幸いです。

最後まで読んでくださり、ありがとうございました☆