Recruit-CSIRTに学ぶCSIRTの立ち上げ方

こんにちは、CyberSecurityTIMES編集部です。
【CTO渡辺が行く！】第3弾は、株式会社リクルートテクノロジーズ（以下リクルートテクノロジーズ）です。
リクルートテクノロジーズは、リクルートグループにおけるIT・ネットマーケティングテクノロジーの開発を行っています。
今回は、リクルートグループ全体のセキュリティ対策専門チームとして活躍する「Recruit-CSIRT」を統括されている執行役員　エグゼクティブマネージャーの鴨志田 昭輝様にお話を伺いました。

渡辺：それでははじめに、リクルートテクノロジーズの事業内容をお聞かせ頂けますでしょうか。
鴨志田：はい、弊社は2012年10月にリクルートグループのIT＆マーケティングカンパニーとして設立されました。IT・ネットマーケティング領域の専門力・イノベーション力で、リクルートグループのビジネスを進化させる役割を担っている会社です。
各社のIT戦略策定や実行、ビッグデータの利活用やUXデザイン、グループ共通の基幹システムやビジネスインフラ・ネットインフラの開発運用、大規模プロジェクトのマネジメントなど、担う役割は多岐にわたります。
その中でも重要な機能としてセキュリティがあり、私はサイバー攻撃対応の専門部隊である「Recruit-CSIRT」の代表としても活動しております。

渡辺：2012年設立とのことですが、「Recruit-CSIRT」も同じ時期に立ち上げられたのでしょうか？
鴨志田：2018年4月で立ち上げからちょうど3年です。「Recruit-CSIRT」の立ち上げは、サイバーセキュリティエンジニアリング部立ち上げ当時からの決定事項でした。当時、リクルートが提供する各サービスはそれぞれに異なるIDが振られているという状態で、お客様はサービス毎にIDを管理しなければならない状態でした。
そうした不便な状態を解消するため、IDを統合するというプロジェクトが発足しました。ID統合によってすべての情報を集約できるため、弊社でも情報の有効活用ができますし、お客様の利便性も上がります。
ただその反面、1IDに保持される情報量も増えますので、より一層のセキュリティ強化が必要となってきました。
そんな背景もあって経営層からも、より一層セキュリティに注力しようという方針が示され、サイバーセキュリティエンジニアリング部（Recruit-CSIRTが所属する部）の前進となるセキュリティ部が設立されました。

渡辺：システムの改善に伴いセキュリティ面での強化が進められたんですね。現在「Recruit-CSIRT」はどのくらいの人数で構成されているのでしょうか。
鴨志田：現在は20名ほど在籍しています。CSIRTの本業であるインシデントレスポンス、あとセキュリティオペレーションセンター、脆弱性検査など、さまざまな情報を収集したり、未然防止への取り組みなどに注力しています。

渡辺：「Recruit-CSIRT」立ち上げから丸3年経ちますが、発足当時に苦労したことを教えてください。
鴨志田：CSIRTが正式に発足するまでは、私一人のチームだったのでなにからなにまで一人でやらなければならなかったことが大変でしたね。CSIRT（Computer Security Incident Response Team）とはいえ、まだチームではなかったですからね。
人材採用がうまくいって、今では非常に優秀な人たちが参画していますが、発足当時の人材確保は非常に苦労しました。インシデント対応をして、再発防止策を考え、一人で組織を動かして、それでいて採用も進めてといった感じでした。
とはいえ発足当時は社内でCSIRTそのものが認知されていない状態だったので、インシデント報告はあまり上がってこなかったです。チーム間の信頼関係が重要なので、報告を強制にしていなかったこともありますが、はじめのうちは静かでしたね。
ちょっとした問題でも積極的に現場に入って調査をするようにしていたので、だんだんと周りに認知されて、インシデント報告や相談が増えてきました。
今までであれば、現場でうやむやになっていたインシデントも報告されるようになりましたね。
渡辺：現場での作業を通じて信頼関係を築かれたんですね。実際の作業のやり方で受け取り方が変わってくると思うので、鴨志田さんの途方も無い努力が伺えます。

渡辺：SUUMOやリクナビなど、リクルートが提供するサービスはたくさんありますが、これらの開発で使用する言語やミドルウェアには決まりがあるのでしょうか？
鴨志田：使用するパソコンは標準の仕様にするなど基盤の部分は共通であったりしますが、開発言語やミドルウェアは自由に選択してもらっています。サービスの特性によって変わってくるので、そこを統一することは難しいですね。
エンジニアのモチベーションのためにも、使い慣れているものを使わせてあげたいと考えていますので、強制はしないようにしています。
サービスによって異なる環境を築いている分、私たちCSIRTの存在が重要になってきます。
開発された時期や使用しているものもバラバラなので、統一されたインフラに比べると需要が高いと感じていますね。

渡辺：CSIRTとしてインシデントがあった際には動かれると思うのですが、脆弱性の情報はどのようにキャッチアップされているのでしょうか？
鴨志田：脆弱性情報は毎日ウォッチしていて、オープンソースならコードまでしっかりと見ますし、一次情報は必ず確認しますね。たとえ CVSSスコアが低かったとしても、内容を確認しロードバランサーを一撃で落とす攻撃など、緊急度の高いものは即時で動くようにしています。
そういった脆弱性情報は「Recruit-CSIRT」のメンバー以外も見られるようにSlackの専用チャンネルで公開しています。「そのシステムはうちのチームも使ってるよ」と声が上がれば、瞬く間に情報を集めます。
渡辺：スピード感は大事ですね。他のメンバーの人も見られるような状態になっているのは良いことだと思います。自分たちだけでは把握できないものを使っていたりするかもしれないですし、新たな発見のきっかけになりますね。

渡辺：先程も採用に苦戦したとお話がありましたが、CSIRTに入れるような人材はどのような人なのでしょうか？
鴨志田：「Recruit-CSIRT」が所属しているサイバーセキュリティエンジニアリング部では以下の３つの行動指針を掲げており、採用においてもこのような志向があるかを確認しています。

・リアリティ
・レスポンシビリティ
・スペシャリティ

この３つですね。1つ目のリアリティ、これはセキュリティはこうじゃないと駄目だとか一つでも脆弱性があったら駄目といった極論を述べない人を指します。リクルートで展開するサービスもリクナビのように大きく育ったものもあればスタートアップのものもあるわけです。そのフェーズによってやれるものとそうではないものがあると考えています。そういった現実感をきちんと理解して提案できるような人ですね。
もう一つはレスポンシビリティ。あまり上から押し付けない人を選んでいます。
ガバナンス一択で上からの圧力をかけやすい人は私たちのCSIRTには合わないと考えています。
最後に、スペシャリティ。突出した才能、というわけではなくてその人にとって一番得意なものを積極的に専門的に磨き上げられるような人材ですね。もともとリクルート全体としてなのですが、言われてやるではなくて自分からやる、勝ちに行くといった人材を求めていますね。

最近は、社内でもセキュリティに興味がある人を受け入れる取り組みを行っています。正式に参画するというより、勉強のために入ってくるというものです。
半年間くらい本来の持ち場から離れて私たちのチームに入り、セキュリティへの取り組みとは一体どういうものか、インシデントはどのように対応しているかといったことを学んでもらっています。
この取り組みは非常に良い結果を出しています。何故かと言うと、セキュリティ知識を持った人材が開発やインフラ側にいることで、お互いの意思疎通がしやすくなるからです。「Recruit-CSIRT」で学んだ人をハブとして相談や積極的な意見出しがされるようになりました。
この取り組みは自らの意思で勉強したいという熱意ある人が応募して参加という感じなのですが、学習意欲が高いため、情報の吸収も早く成長が著しいですね。

渡辺：先日、御社の「Recruit-CSIRT」が平成30年度の「サイバーセキュリティに関する総務大臣奨励賞」を受賞されたとのことですが、受賞の理由はどういったものだったのでしょうか？
鴨志田：今回、「サイバーセキュリティに関する総務大臣奨励賞」を受賞できたのは、「Recruit-CSIRT」としてセキュリティに関する情報を積極的に開示していったからだと思います。
当然ですが、セキュリティの問題はリクルートだけの問題ではなくて、他社さんにも関係があることなんですよね。それこそ業界的にライバルとなるような企業でも、システム側からするとライバルではなくて一緒に頑張っていく戦友なわけですから、そういった人たちに向けて自分たちが知り得た情報を開示すべきだと考えています。
他のCSIRTから情報をもらって発展させることもあれば、検体の共有をして共同で調査をすることもありますね。
弊社の技術ブログで情報の発信も行っており、できるだけ多くの人に知らせて、業界全体を良くするために頑張っています。

渡辺：情報の発信は大切ですね。価値ある情報を独占するのではなく、発信することで業界全体のセキュリティレベル向上に貢献していらっしゃるのですね。インプットよりもアウトプットすることのほうが難しいですが、それを率先することでより良い結果を生むことができたんですね。

渡辺：鴨志田さんが「Recruit-CSIRT」の活動のなかで最も大切にしていることを教えてください。
鴨志田：セキュリティをやる上でいろんな人・場所で感謝される、メンバーがそれぞれ満足できるような組織づくりをしようと考えています。
セキュリティって頑張れば頑張るほど、他の人には理解されないものだと考えていて、セキュリティレベルが向上すると、事故も起こらない、被害が出ないけれどもそれって自分たちの頑張りのおかげなのかはわからないし周りからは理解されにくいかと思います。因果関係が明確にしづらい分、成果も分かりにくいと言えるかもしれません。
それに、セキュリティを強化すればするほど、ユーザーにとって不便になる可能性もありますよね。そういった部分で反発されて、成果も見えないなんて状況、とても辛いですよね。そうならないためにも、どんなに小さなことでも感謝するようにしていたり、自分を押し付けないようにしています。

そのほかにも、「Recruit-CSIRT」を頼ってくれた人たちには、全力で応えるようにしています。
お互いの信頼関係がモノを言うと思っていまして、例えばインシデントが発生したときに「誰の責任なのか？」ということは聞かないようにするとかですね。誰かの責任を問うと、保身に入ってしまうと言いますか、協力してくれなくなってしまうんですね。そんなことしていたら刻々と状況が悪くなってしまいます。
そうならないためにも、誠心誠意取り組むようにメンバーへも話をしています。

渡辺：自社でCSIRTを持つ最大のメリットを挙げるとしたら何が挙げられますでしょうか？
鴨志田：やはり、トラブルやインシデントが発生した場合に迅速に行動できるところです。
初動をすごく早く、現場を見てその内容をそっくりそのまま経営層に伝えることができるんです。現場の出来事を意思決定の場まで持っていけることは非常に良いことだと考えています。
外部に委託しているとそれだけで初動が遅れてしまいますし、対応リソースの質もピンきりだったりするので、そう考えると自由に動きやすく一定のクオリティを担保できる自社CSIRTは良い仕組みだと考えています。
あとはCSIRTを名乗っている以上、ほかのCSIRTからの情報が入ってきやすいというメリットもありますね。表層化していない面白い話題や最新の情報を交換できたり、非常に価値があると感じています。
渡辺：CSIRTだからこそ知ることができる最新のセキュリティ情報というのは非常に興味深いですね。それぞれが独自のロジックで調査したものもあるでしょうし、CSIRTによって情報の内容も異なるでしょうし、大きなメリットですね。

渡辺：これから先、取り組んでいきたいものはどのようなものでしょうか？
鴨志田：私たちのグループは2020年の東京オリンピックのスポンサーになっておりまして、それを狙った標的型攻撃が今後も増えると予想されています。なかでも破壊型の標的型攻撃を防御するセキュリティレベルをいかに上げていくかが、大きなテーマだと考えています。個人情報漏洩を防ぐことと、破壊攻撃によるシステムダウンを防ぐことは守り方もやり方も違いますから、そういった攻撃によって異なる対応の仕方をもっと良くしていこうと思います。

ありがとうございました。30年度「サイバーセキュリティに関する総務大臣奨励賞」を受賞された「Recruit-CSIRT」を代表して鴨志田様にお話いただきました。
自社でCSIRTを持つことによって、セキュリティに対する取り組みが非常に柔軟であること、CSIRT以外の方たちとも良い関係を築けていると感じました。
インシデントやトラブル発生時の初動が早い点は、内製化でなければできない利点のひとつであると言えるでしょう。今まで培ってきたお互いの信頼関係によってセキュリティレベルを向上できているのではないでしょうか。
業界全体のセキュリティレベルを向上させる「Recruit-CSIRT」、今後の活躍に期待です。

***

当サイト「CyberSecurityTIMES」を運営している弊社サイバーセキュリティクラウドでは、Webセキュリティ対策のソフトウェア「攻撃遮断くん」を提供しております。

専門家によるサポートも充実しておりますので、お気軽にお問合せください。

「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。