リクルートテクノロジーズのCSIRT構築における取り組みと課題
年々、企業を狙うサイバー攻撃が増えている今日だが、「水と安全はタダ」だった日本の企業にとって、セキュリティにどの程度取り組むべきかの判断は難しい。
そうした中、リクルートテクノロジーズは、CSIRT(Computer Security Incident Response Team)をはじめ、リクルートグループの堅牢なセキュリティ体制を築いている。このたび、2018年の「サイバーセキュリティに関する総務大臣奨励賞」も受賞しており、同社の取り組みは企業がセキュリティ体制を構築する上でお手本になると言えよう。
お話を伺ったのは、リクルートテクノロジーズ ITソリューション統括部 サイバーセキュリティエンジニアリング部の西村宗晃氏(クオリティマネジメントグループ グループマネジャー)、六宮智悟氏(セキュリティオペレーションセンター)、市田達也氏(インシデントレスポンスグループ)の3名だ。
○事故対応、攻撃後の被害の究明を内製化
まず、リクルートにおいてセキュリティ組織はどのように生まれ、進化していったのだろうか?
土台にあるのは、リクルートの本業のデジタル化だ。ご存じのように、リクルートは就職や結婚など各種情報サービスを展開している。これまで紙で提供してきた情報サービスがオンラインに移動するにあたって、社会的責任として顧客の個人情報を守らなければならないという経営側の意識があったという。そこで、ゼロからセキュリティ組織を立ち上げることになった。
当初はセキュリティ施策を決定し、それを運営するブレーンまでを社員が担当し、エンジニアリング業務はベンダーに委託していた。「施策を立案して各事業にそれらを入れていくのがコンピタンスであり、技術はベンダーに任せていたと聞いています。当時は、技術に関する知識もそれほどなく、ベンダーからの提案の良し悪しの判断も難しいという側面もあったようです」と、西村氏は語る。
内製化に向けて舵をシフトしたのが2015年頃だ。リクルートは前年の2014年に東証一部に上場、そこで経営陣がサイバーセキュリティを今後の取り組みの1つとして挙げた。その後、大手EC企業でサイバー犯罪対策室を立ち上げた鴨志田昭輝氏が入社して、本格的なセキュリティ組織づくりが始まった。 同氏は現在、リクルートテクノロジーズ 執行役員 サイバーセキュリティエンジニアリング部 エグゼクティブマネジャーを務めている。
鴨志田氏の下、外部からの起用、エンジニアの採用を進めた。ベンダーの品質管理にも着手し、CSIRTが発足したのもこの時期だ。「インシデントレスポンス、セキュリティオペレーション、クオリティマネジメントの3つのグループを合わせて「Recruit CSIRT」とする、バーチャルな組織が立ち上がりました」と西村氏は説明する。
内製化を行った業務は事故対応、攻撃後の被害の究明などだ。「障害などが発生した場合、ベンダーに頼むとタイムラグが生じることは避けられません。そこで、障害にまつわる対応は自分たちでやれるようにしたようです」と西村氏。セキュリティに関する業務の一部を内製化することにより、自社で技術が蓄積され、より成熟したことができるようになったそうだ。
自社で品質管理を行うようになったことで、ベンダーとの関係も「(ベンダーのサービスをそのまま)鵜呑みにするのではなく、社内で咀嚼して必要なことだけ依頼するようになりました」と西村氏。
CSIRTの活動が良かったのか、エンジニアが次々と集まるようになった。リクルートのセキュリティ組織の歴史を語ってくれた西村氏をはじめ、セキュリティベンダーのCSIRTで技術統括をしていた六宮氏、同じくセキュリティベンダー勤務で「顧客にレポートを書いていたが、それが最後どう受け止められどう現場で対応されているのか知りたかった」という市田氏もその一人だ。「尖っていて面白そう。中に入って本当にイメージ通りの集団なのかを見てみたいと思いました。エンジニアにとっては、魅力的な場所だと思います」と六宮氏は語る。
○セキュリティ対策は着地点を明確に
「Recruit-CSIRT」では、サイバー攻撃の被害最小化、早期検知、未然防止を実現するために活動している。年を追うごとに増えるサイバー攻撃に対し、どのような組織を作り、対応していくべきか悩む企業も少なくない。一方でセキュリティ人材は不足している。そうした中、リクルートテクノロジーズはなぜうまくいったのだろうか。その答えは、組織のセキュリティ体制の成熟度に合わせた人材の採用と活用にありそうだ。
西村氏は「経営がセキュリティに理解を示していない段階でエンジニアを採用してもうまくいきません。そこで、必要となるのは、経営との橋渡し人材だと考えます。業界特有の監査などを把握している人材も重宝されるかもしれません」と話す。つまり、経営が理解できるようにセキュリティ対策を説明できるコンサルのような「橋渡し人材」、業界固有の規制の遵守をチェックできる監査が必要というわけだ。
経営が一定の理解を示し、予算がつくようになると次のステップだ。そこでは、「セキュリティ技術のわかるコンサル人材が必要とされます。この段階では、技術人材も重宝される場合があると思いますが、人数として多くは必要とされません」と、西村氏は言う。
ベンダーの技術を評価して品質管理でき、事業部門に対してはセキュリティの必要性を説明して施策を実行してもらう。根気強くコミュニケーションを取り続けられる人が求められる。同社も現在、このレベルにあり、さらなるステップアップを目指している。
「どこに自社の目標があるのか、明確に言語化していないから難しいのでは?」と、企業の課題を指摘するのは六宮氏だ。前職のセキュリティベンダーでは、多くの顧客が現場と経営層の目標にギャップがあるまま運用していると感じたと振り返る。「自社のCSIRTの目指す姿を定義した結果であれば、技術業務をベンダーに委託した運用でも十分です。どのような姿を目指すのかを経営層と相互に理解することが重要です」とアドバイスする。
●第1フェーズ、第2フェーズを経て、もう1段上のフェーズへ
○2020年を目途にさらなる変化を目指す
リクルートテクノロジーズのCSIRTは現在、約30人の体制だ。開設してから3年が経過し、CSIRTは一定の成熟を見せ、スタッフ部門として展開している。一方で、変化の必要性を感じているともいう。西村氏は「今のCSIRTはスタッフ部門で各事業を支援するという一歩引いた立場だが、もっと直接事業貢献したい、さらには経験を社会に還元したい、世界に通用する能力を身に付けたいというメンバーが増えてきています」という。
目下の課題は2020年の東京オリンピックだ。リクルートはスポンサーとなっており、サイバー攻撃を受けることも予想される。また、「人材領域で世界ナンバー1になる」という目標を掲げており、その達成もやはり2020年に据えている。「これまでグローバル企業しか受けていないような、質も量も高い攻撃が、われわれの元にも来るかもしれない」(西村氏)と危機感を抱いているという。それに向けて、今後2年でエンジニアリング力を高め、それを支える風土も作っていく。
その芽は出始めている。市田氏は2017年にCSIRTのイベント「FIRST」で、標的型攻撃対策のために開発したツール「Odoriba」を発表した。このツールは、標的を定めて攻撃するというトレンドに対し、そのような攻撃を捕まえるために、社員が使うデスクトップに似せた環境を用意してマルウェアの分析を行うというものだ。「リクルートの課題を解決するために作成しましたが、他の人にも役に立つのではないかと思って発表しました」と市田氏。
市田氏は、これまで海外のカンファレンスに参加しても聴講するだけだったが、発表する側に回ったことで、予想外のフィードバックが得られたそうだ。
「カンファレンスで発表することは知識や技術を提供することに見えますが、意見やフィードバックをたくさんもらえることがわかりました。そんなチャンスが若手でも自分の意思で手に入る環境はありがたいです」と市田氏は笑顔で話す。
Odoribaはオープンソースとして公開したが、「運用する中で、攻撃のスピードに自分一人ではメンテナンスが追いつかなくなりました。現在は製品に頼っている面もありますが、製品の目利きや検証において自分で開発して培ったノウハウは無駄ではありませんでした。また、グローバル企業とのパイプができたことは大きいです」と、市田氏は胸を張る。
○セキュリティ人材の希少性をいかにして保つか
このような活動を紹介しながら、西村氏は「次の段階に進む時がきた」と新しいフェーズの始まりを予想する。
「ここで学んだことを外部に展開していきたい」という六宮氏や、自分が開発したツールを公開した市田氏のように、もっとエンジニアリング力を駆使し、「自分の手を使って」課題を解決していこうという人が増えている。同時に、第1段階である経営との橋渡しとセキュリティ監査、第2段階のセキュリティ技術がわかるコンサル人材、技術人材にとどまるのではなく、「より高度なものが求められている」と感じているという。
業界は人手不足だが、背景には2020年の東京オリンピックに向けた特需がある。それが終わった時に、自分たちはコモディティになるのではないか、西村氏はそんな想いを語る。
セキュリティ業界の希少性を享受すると同時に、業界からのニーズがあるところにとどまるには、どうすればよいのだろうか。西村氏の場合、「自分たちで必要なものを作る」が回答かもしれないという。六宮氏も「エンジニアとして輝き、背中を見てもらえるにはどうすれば良いかが課題」としつつ、「セキュリティはエンジニアリングという尖ったものだけでなく、それをきちんと回すオペレーションも必要。その両輪が大切」と念を押す。
3人の口からは、「もっと自分の腕を磨きたい」「世の中を良くしたい」などという言葉が何度も聞かれた。「Recruit-CSIRT」の次のステージはどのようになるのだろうか。先頭集団を走る者にしか味わえない悩みがどのように実を結ぶのか、興味深い。
