セキュリティオペレーションエンジニアペルソナの 1 日
セキュリティオペレーションエンジニア ― 1 日の流れ
今日は月曜日。前週の月曜日から金曜日まで Alex は忙しいオンコール週を過ごしており、その翌日です。週末シフトを担当した同僚にすでにオンコールの引き継ぎを済ませており、今日は多くの時間をかけて作業を片付け、他のメンバーが行った作業のキャッチアップを行う予定です。
午前: プラグイン
ノート PC を開き、Alex の最初の目標はキャッチアップです。オンコール中でなくても、何が起きているかを把握し、迅速に対応できるようにすることが Alex にとって非常に重要です。Alex は Slack の Security Department と Security Alerts チャンネルをチェックして週末に何が入ってきたかを確認し、メールと TODO もチェックして、さまざまな問い合わせや依頼に返信します。これには通常 30 分から 1 時間ほどかかります。
Alex の午前中の多くはミーティングに費やされます。これもプラグインの一部で、参加することは Alex にとって重要です。1 日の最初のミーティングは、Security Operations チームの週次同期です。ミーティングで Alex はオンコール週のハイライトをチームと共有し、他のメンバーが先週何に取り組んだかを学びます。これにより、通常業務に戻るのが容易になるはずです。
ミーティングの合間のわずかな時間で、Alex は Issue を処理し、コメントに返信しようと試みます。
通常のセキュリティエンジニアリング業務にキャッチアップする一環として、Alex はオンコール時以外にエンジニアリング責任を共有しているもう 1 人のオペレーションチームメンバーと 1on1 を行います。彼らは、同僚が先週できたこと、そして両者が今週達成したいことについて話し合います。
いくつかのミーティングと昼食を経て、午後になります。
午後: 「クリーンアップ」モード
Alex はオンコール週の後にまとめなければならない懸案事項が多くあるため、オンコール後の数日間は少し慌ただしくなります。もうオンコールではないものの、Alex はオンコールシフト中に開かれた Issue のフォローアップを引き続き担当します。Alex は今もそれらのいくつかをオープンにしているため、今後数日でそれらをクローズすることが最優先です。
Alex はできる限り午後をミーティングのない状態に保とうとします。SecOps の業務では、オンコール中でなくても、自分のしていることから引き離される可能性のあることが無数にあることを Alex はよく知っています ― しかし、ありがたいことに今日の午後は静かな午後になりそうです。
先週発生したインシデントは、ほとんどがチームがこれまでに遭遇したことのないものでした(それが SecOps 業務の興奮の一部です!)。その結果、Alex には片付ける追加作業があります: 通常の作業(最後の作業項目を文書化し、物事をクローズしようとする)に加えて、Alex はこの午後に RCA(Root Cause Analysis)(リンク)と Runbook(リンク)の作成にも時間を費やします。Runbook の中には、先週インシデント対応の一環で Alex がその場で作成したコードスニペットが含まれているものもあるため、今、Alex はそのコードを洗練させ、同様のインシデントが再び発生した場合の将来の使用に備えて文書化していきます。これらすべては、チームを今後より効率的にし、学んだ教訓をチームと共有するためのものです。
Alex はプロセスの改善とチームの効率化に情熱を持っているため、文書化を正しく行うことが彼にとって重要です。法務やその他の関係者が問い合わせをしたい場合に物事が明確である必要があることは言うまでもありません。文書化が終わると、Alex は広いチームに連絡を取り、作業を共有してフィードバックを求めます。
先週のインシデントの片付けはまだ完了していません(すべての Issue がクローズされていない)が、物事は Alex がいくつかのバックログプロジェクトに目を向けられるところまで来ています。Alex はデスクの小さなノートパッドに TODO リストを保管しています ― それを見て、Alex は取り組むものをリストから選びます。
