CSAを取得された三菱電機デジタルイノベーション大瀬良様にCSAの特徴、実務への応用、合格のコツについてお伺いしました。また、講師を務めるアーマーテックラボ川上様に講座の狙いなどについてお伺いしました。
サイバー攻撃の脅威が日々進化する中、企業に求められるセキュリティ対策も高度化しています。単なる監視体制(SOC)の構築だけではなく、インシデント対応や復旧までを含めた包括的なセキュリティ体制が必要とされる時代です。こうした背景のもと、セキュリティエンジニアの育成は企業の競争力を左右する重要なテーマとなっています。本記事では、三菱電機デジタルイノベーション様(以下MEDigital)がどのように人材育成に取り組み、CSA(Certified SOC Analyst)講座を活用しているかをご紹介します。
「CSA(Certified SOC Analyst):認定SOCアナリスト」は、SOCアナリストを育成するための3日間の講習とiLabs(演習環境)で構成される効率の高い学習コースです。SOC運用の基礎を網羅的に学習し、さらに「ログ管理と相関分析」「SIEM」「高度なインシデント検出」「インシデントレスポンス」などの講義内容で構成されています。SOC業務に求められる適切なプロセスと、高度な技術力を盤石にするためのトレーニングコースであり、SOCに従事し、初動対応に必要な全般知識と、体系的な手順並びにプロセスを習得することができる資格認定プログラムです。自社でSOCを運用している企業のエンジニアはもちろんのこと、SOC運用を受託する企業のエンジニアの受講が増えています。
そこで、CSAに合格されたMEDigital セキュリティ事業 サイバーフュージョンセンター 大瀬良様とセンター長の庄谷様にお伺いしました。
▼三菱電機デジタルイノベーション 大瀬良様 │ CSAはSOC、SIEM構築、脅威インテリジェンス、CSIRT構築など幅広く学ぶことができる
-お客様をワンストップでご支援する「サイバーフュージョンセンター」
「サイバーフュージョンセンター」は、従来のSOC(Security Operation Center)では対応しきれない高度なセキュリティ業務を担うために設立されました。NISTのサイバーセキュリティフレームワークなども活用し、「特定・防御・検知・対応・復旧」の全フェーズをカバーする体制を構築しています。
サイバーフュージョンセンターでは、セキュリティ診断、監視・分析・インシデント対応、SOC基盤設計・構築、SIEM活用などエンジニアリングを担う4つの専門チームが連携し、お客様のセキュリティ課題に対してワンストップで対応できる体制を整えています。
私は、分析チームに6年間所属しており、SOCで判断できないアラートの分析や対応、インシデント発生時の一次対応を担当しています。業務はアラート分析にとどまらず、お客様への報告資料の作成、定例会での報告、SOCとの連携による対応支援など多岐にわたります。日々の業務で実践的なスキルを磨き、「知っている」と「できる」のギャップを埋めることを心がけています。アラートの分析だけでなく、お客様への報告資料の作成や定例会での報告、SOCとの連携による対応支援など、業務は多岐にわたります
-一連の流れを学ぶことができるCSA
CSAでは、SOC運用の基礎から、SIEM構築手順、CSIRTの組織運営、脅威インテリジェンスの活用方法まで幅広く習得することができ、実際の業務プロセスに照らして各工程で応用できる内容となっています。CSAを受講することで、知識の補完や過去の業務の振り返りに役立ちました。特に脅威インテリジェンスの紹介は有益でした。CSAのテキストを参考に、「この手順で分析を進める」という標準的なフローを業務に適用できると感じています。SIEM構築、CSIRT構築、脅威インテリジェンスなど幅広い領域を学ぶため、1~2年程度の実務経験を積んだ後に受講するのが適切と感じます。私自身もSIEM構築は知識としては理解していましたが、実務経験はなかったため、iLabsで構築演習を行うことで理解が深まり、現在ではSIEMを構築する基盤チームにアドバイスできるようになっています。
-iLabsをやりこむことが合格への近道
私は、2024年にCSA講座を受講し、約1年後に試験を受け合格しました。CSA試験は四択式であり、実務経験があったこともあり、テキストを一通り押さえれば合格可能な内容であったと感じました。また、『このログはどのようなログか?』といったiLabsを繰り返し実施することで得られる理解を問う問題が2割から3割程度出題されたと記憶しています。実務経験のない方は、iLabsをしっかりとやりこんで講座内容を復習しておくことをお勧めします。
-体系立った学びの提供と対外的なスキルの証明(サイバーフュージョンセンター長 庄谷様)
セキュリティ人材の育成にあたり、これまではOJTを中心とした独自の教育を実施してきました。業務に特化した育成は可能である一方、コンテンツの更新や教える側の負担、セキュリティ分野全般を幅広くカバーし、基礎から応用まで体系的に学べる機会を提供するという点では課題を感じていました。そこでCSAを利用することにしました。お客様から「どのようなエンジニアがいるのか」と質問されることがあり、「優秀なエンジニアがいます」だけでは十分に伝わらないため、資格講座を採用し、対外的にスキルを証明するといった狙いもあります。
▼CSA講師 アーマーテックラボ 川上様 │ SOCを支えるセキュリティ人材の育成
私はSIerでインフラ、ネットワークエンジニア、サーバーサイド、DB、アプリケーション開発など幅広く経験し、現職では脆弱性診断、フォレンジック、ペネトレーションテスト、PCIDSSなどを実務として担っています。これら実務経験に裏付けされた知識を活かしてCSA講座の講師を務めさせていただいています。
SOC人材の不足、ITエンジニアの不足、人件費の高騰による人材確保が難しい、といった課題背景が日本でCSAを提供しようと思ったきっかけです。
前述の通り、SOC人材は希少で、自社でSOCを運用できている企業は一握りです。多くはSOC業務を委託しています。CSAはSOCを運用する企業のエンジニアにはもちろんのこと、SOCを委託する企業にとっても有用です。なぜならば、SOCを委託する側は、SOCの知識を持って委託先に指示を行い、また、委託先からの報告に対し判断していくことが求められるからです。判断をするためには、自社事業の理解とSOCの知識が求められ、それは委託元にしかできないといっても過言ではありません。そのため、委託元にもSOCの知識が求められるのです。
CSAの良さは、SOCの意義・概念から始まり、SOCにこれから従事する方などSOCの経験がなくとも全体像を掴むことができる点です。Cisco機器等のインシデントログ管理、SIEMの構築・運用について講義とシナリオに基づいた演習環境(iLabs)で学ぶことが出来ます。
SEIM Splunk 環境環境で、Web攻撃やOS攻撃、クロスサイトスクリプティング、SQLインジェクションなどを検知することで学びを深めます。攻撃を受けた際に被害の拡大を防ぐためにはIOC(Indicator of Compromise)を特定することが重要であり、演習では、ログからIOCを見つけ出し、影響範囲を調査するという、人手でしかできない判断プロセスも学びます。
演習環境(iLabs)が提供されている点はCSAの大きな特徴と言えます。また、SOC、CSIRT、CISOといったサイバー攻撃に立ち向かう関係者の役割と責任範囲を定義し明確にしていきます。サイバー攻撃被害は起こるという前提に立ち、早期復旧するための手法を体系だって学びます。
受講にあったては、ベース知識としてTCP/IPの知識、コマンドラインの知識、LPIC(Linux Professional Institute Certification)レベル1相当を有していることが望ましいです。
サイバー攻撃は複雑化、巧妙化しています。1社が攻撃を受けることでサプライチェーン全体に影響を及ぼすなど、影響は自社に留まりません。SOCで状態を監視し、状況を見極め対処していくとができるセキュリティエンジニアをCSAを通じて育成していくことに貢献していければと考えています。
SOCを内製化している企業はもちろんのこと、SOCを運用しているベンダー、SOCを外部委託している委託元の責任者の方はぜひ受講検討くださいませ。
また、2026年4月以降でCSAv2も計画をしています。SOCレイヤレベル3までサポートし、新たな技術も追加になりますので、ご期待ください。
