Zenn
🦎

セキュリティ瓦版サービスを立ち上げたときの話

2024/11/18に公開
OSINT
脅威インテリジェンス
idea

最近、セキュリティ瓦版というワードをXで見かけた。

とても身に覚えがあったので、当時のことを思い出しながら文章に起こしてみようと思う。

セキュリティ瓦版とは?

多分震源はここ。

https://x.com/yskmerlion/status/1856521742325555663?s=46&t=wD2cYbrUFpT729c1uYtK5A

脅威インテリジェンスサービスやOSINTレポートサービスみたいに銘打って、月次でトレンド情報を配信するサービスのことを指していると思われる。

なぜ立ち上げたか

当時自分はセキュリティ商材のSIをするチームに所属していた。

部署がCS(カスタマーサクセス)のアプローチを大事にして、アップ/クロスセルを狙うのだ!!!という方針を打ち出して、それに乗っかったのがきっかけ。

あと、自分の経験の中で、客との定例会議中にトレンド情報をネタにして雑談していたら反応がよかったという思い出があった。

→だったらこれをサービスとして立て付ければよいのでは?という安直な考え

何をしたか?

OSINT(という名前を冠したトレンド情報)配信サービスを立ち上げた。

内容としては、当時自分が興味で収集していた情報(Twitter、各種rss、Podcastなどがソース)を要約して、月イチでお客さんに提供する、というたぶん読んでいる人の想像通りのもの。

同時に、裏テーマとして情報収集を育成対象にやってもらうことによって育成効果を狙った。

サービスの提供体制

このサービスを立ち上げるにあたって、投入する人的リソースを以下のように配置した

  • 情報収集担当
    育成対象ともいう。指定された情報ソースを持ち回りで毎日見て、レポートに使えそうな情報とその要約をメモっておく。
    一ヶ月経ったらメモの中からレポートに使えそうな情報を抜き出して(ここは育成対象のスキル具合によってはレビュー担当が主導することも多かった)、レポートの草案を書いてみる。
    一度に2人くらいアサインして、一ヶ月ごとに別の人に担当が移っていく仕組み。
  • レビュー担当
    自分はこっちに所属していた。レポートに挙げるネタのレビューと、作成してくれたレポートのレビュー(および修正までやることも)
    あと、使用する情報ソースもメンテしていた。

ただし、この時余計なこだわりを入れたことにより、サービスの寿命を産まれる前から縮めることになる。

余計なこだわりとは

当時の自分は、OSINTとはActionableであるべきだろうという思い強く持っていた。

その結果、ただトレンド情報を流すのではなく、当時SIで担当していたセキュリティ製品で対応可能性な脆弱性や動向にフォーカスして情報を選定した。

もちろんレポート内容は客ごとにチューニングして、客の環境に影響のあるものを優先的に載せていた。

こだわりという点で少し余談ではあるが、当時からニュースを拾ってきてまとめることをOSINTと呼ぶのには感覚的にすごく抵抗があった。あったのだが、社内での説明の通しやすさとか、面倒なオタクくんと思われそうという心配などなどの関係で、苦い顔をしながらOSINTという文言を使っていた気がする。

ちょっと詳しい人と話すときには、「OSINT、というには烏滸がましいんですけどこんなことをしていて〜」みたいな、むしろ冗長な話し方をしていたので、諦めてどっちかにスタンスを寄せ切ればいいのに、と今になっては思わないでもない。

何が起こったか?

客サイド

  • トレンド情報を強制的にインプットされても、微妙な反応
  • この脆弱性を対応した方がいいですよと伝える→じゃあやっといて、で終わり

あれ?これ、もしかして響いてなくね?

内部サイド

情報収集を割り振った人からこんな意見が続出

  • 今までの業務もあるのに、こんなことやってる時間がありません!!!
  • 単純作業でつまらないです!!

あと、育成効果を狙っている割には、一ヶ月に2人しか担当しないので、(そんなに大所帯なチームじゃないとはいえ)継続的な育成効果があるようには見えない

どのようにサービスが変遷したか?

  • 収集対象の情報ソースがどんどん減っていった

    どうせレポートにかけないソースは見る意味ないという意見になってきた。

    e.g.)「どうせ客に関係のある業界トレンドや製品の脆弱性の情報しかピックアップしないのなら、こんないろんな経路の情報ソース指定して仕事を増やさないでくださいよ!!!」
    最終的に、なんかもうJVNだけ見ておけばいいのでは?みたいな流れが仕上がってきた。

  • 情報収集してくれる人もどんどんダレてきた
    情報ソースが単純化していくのと同時に、読んでて面白いニュースも減っていたのもあって、ただの単純作業化してきて全然楽しくなさそうな感じになってしまっていた。

結果、それサービスとしての意味ある?一次ソースをrssでも取ったらよくないか🤔みたいな感じに。

最終的にどうなったか

残念ながら自分が途中で異動命令を受けてしまったので、最後まで見守ることは出来なかった。

が、おそらくサービスとしては畳んだはず。

異動直前は畳むための仕込みをやってから出て行ったし、あそこから心機一転テコ入れし直して立て直す!みたいなことはないんじゃないかな…。

まとめ

  • セキュリティ瓦版サービスを立ち上げたけど、うまくいかなくなって多分畳んだ
  • サービス化前に客の反応がよかった理由は、会話の流れの中で客が興味を持っている話題を投下していたからだろう。要は雑談およびエンジニア個人の知識でウケていただけで、サービスとしての需要が別にそこには無かったことに気づいていなかったのが敗因の一つ。
  • 自分は興味があるからセキュリティ界隈のトレンド情報を追っていたけど、元々興味ない人が業務でやれと言われたら苦痛(当たり前)
  • 育成したいなら色々先に考えるべきことがあったはず。単純に「いっぱい情報inputしてればそのうち詳しくなってくるし勘所もわかるようになるよね」はただのポジショントーク。
    人間興味対象じゃないと情報は深掘りしません。(自戒)

余談

その後経験した別の部署で、似たような事を運用に乗せている場所に出会った。

自分が立ち上げたサービスとの違いは以下の通り

  • 対象が客向けでなく社内
    • 社内の啓蒙を目的の一つとしていた。
    • 集めた情報は社内チャットに流すのだが、使用していたチャットツールの関係で、見にくいand埋れがちになってた。(これはチャットツール側の非なので、勿体無い感はある。)
  • 若手の育成という観点がより重視されていた
    • その組織の若手は全員アサインされており、交代で情報収集
    • 若手がまとめた情報をレビューして、最終的に社内に投げるかを先輩が判断するための仕組みが整っていた(Power Appsとか使ってた気がする)
      • 一人当たりの負担は自分のやったときより少なそうだった。

それを外から眺めて思ってたこと。

  • 育成というお題目を大々的に掲げた方が、なんでやってるんだっけ?感はなかった
  • とはいいつつ、育成観点でニュースのサマリ作らせてるのに、生成AI丸投げ要約が途中から増えてきてこれどうなの?と思わないでもない
  • せっかくOSINTしてるんだから、ビジネス化しようぜという声が観測されていた。その先は沼だぞ……。
  • というか、自分は先にチャネルがあって立ち上げたけど、このサービスは単体で販売チャネルを新規開拓しようとしていた。そんな順調にうまくいくだろうか?

結局この部署も、サービスインを見届けることなく別の所へ移ったので後のことは知らない。

今はどうなっているんだろうか。うまく回っているかな?気になってきた。

Discussion