セキュリティの運用でスムーズにシフトを引き継ぐ方法
Google Cloud Japan Team
※この投稿は米国時間 2022 年 8 月 2 日に、Google Cloud blog に投稿されたものの抄訳です。
編集者注: このブログは Siemplify によって 2019 年 10 月 29 日に公開されたものです。
シフトの終わりに看護師チームが患者の健康状態についての最新情報を共有するように、セキュリティ オペレーション センター(SOC)もスムーズなシフトの引き継ぎ手順を整え、ネットワークやシステムの継続的なモニタリングを維持する必要があります。
適切なプランニングが行われなければ、シフトの引き継ぎ過程で知識のギャップが生じてしまいます。たとえば次のようなものです。
詳細の伝達漏れ: アクティブなインシデントに対処するために行った作業や、その作業を継続するために提案した業務などの最新情報が細部まで共有されていない。
間違った思い込み: 断片的な情報に基づいて運用してしまうと、チームで同じ作業を繰り返すことになりかねず、もっと悲惨な場合は、別のシフトで完了するだろうという思い込みで、特定の調査が完全に省略されてしまう。
タスクの見落とし: 現在のシフトから次のシフトへの移行時に、一部のタスクが完全に抜け落ちてしまい、次のシフトの人員に報告されない。
こうしたギャップを埋めるために、セキュリティ アナリストは互いの業務が完了しているかどうかを追跡するのに多大な時間を費やしてしまいがちです。重大なインシデントの場合、そのインシデントが終結するまでは、前のシフトの人員が次のシフトの途中、もしくは最後まで残ることもあり得ます。ですが、働きすぎてしまうと、肉体的、精神的な疲労や燃え尽き症候群といった問題に派生します。
しかし幸いなことに、こうしたギャップは回避することができます。
処理プロセスを整備する
基本を固める
シフトの引き継ぎを成功させるためには、どのようにシフトをデザインするかを決める必要があります。
シフトをずらして配置しているか
地理的に異なる地域でカバーされているか(24 時間 365 日対応の「フォローザサン」モデルなど)その場合は、引き継ぎの際に言語や文化の違いによる壁がある場合もある。
シフトの交換は可能か(今週は早朝シフトで翌週は深夜シフトなど)
シフトが固まった後は、シフトチームを作ります。シフトをローテーションさせる場合は、各シフトでアナリストが一定期間、勤務できるようにして、そのシフトで行う決まったタイプの事案や補助的な作業に順応できるようにします。また、シフトをローテーションさせると、作業や問題に対して新鮮な視点を取り入れることができます。さらに、常に不規則な時間帯で勤務していると、健康に悪影響が出る場合もあることから、シフトのローテーションは人材の維持にもつながります。
適切な情報伝達
SOC で勤務する場合、昔ながらの工場勤務のようにタイムカードを押して出退勤するようなことはありません。継続中のケースの報告を受けるために自分またはチームの誰かが早めに出勤することや、自分自身が残って同僚の到着を待つこともあります(それに、溜まった書類仕事を終わらせる必要もあります)。引き継ぎプロセスの合理化は必要不可欠ですが、合理化自体は簡単に行えます。まずは各シフトで使用する標準的な引き継ぎログのテンプレートを作成し、タスクやアクション アイテムについてのコミュニケーションを明確にします。また、質問に答えられるように準備も整えましょう。
アクティビティを記録
セキュリティ オーケストレーション、自動化、対応(SOAR)テクノロジーは、共同作業のプロセスに役立ちます。加えて、SOAR であればマネージャーは自動で適切なアナリストに案件を割り当てることができます。また、ハンドブックを活用することで、組織ごとの独自のプロセスに基づいてエスカレーションを定義、自動化することができます。- Google Cloud Security、コンテンツ マーケテイング Dan Kaplan