「サイバーセキュリティの世界において、重要な情報は全て飲み会で交換されている」、そんなウワサが本当なのかを確かめるべく、「セキュリティ飲み会」に潜入し、その実態を探る実験的企画。今回は「リクルートテクノロジーズ編」だ。
サイバーセキュリティの世界で欠かせないのが、社内外での「情報共有」だ。そして最も円滑に機能する情報共有の場の1つに「飲み会」がある。
「重要な情報は全て酒席で交換されている」「セキュリティの世界においてアルコールの果たす役割は計り知れない」、そんなウワサも耳に入ってくる昨今だが、果たしてそれは本当なのだろうか?
ウワサの真相を検証し、普段は見られないセキュリティ担当者たちの姿に出会うべく始まった本企画。今回は、リクルートテクノロジーズの皆さまにご協力いただきました。
ここは銀座のとある焼肉店。1つのテーブルからこんな会話が聞こえてくる。
「SHA-1衝突しましたね」
「SHA-256にすればいいんだろうけど、パフォーマンスがなぁ……」
「64bit CPUのソフトウェア実装だと、実はSHA-512/256のほうが速いらしいですよ」
会話の主は、リクルートグループのセキュリティ事業を担い、200以上のサービスを守るRecruit-CSIRTのメンバーたちだ。そばで聞いていると、彼らの会話は常にこんな様子。たまに取材班が他の話題にそらそうとしても、気が付けば「あのJavaScriptならASLRで……」「FirefoxとChromeならいけるけど、Internet Explorerは……」といった調子で、セキュリティに関する議論に立ち戻ってしまう。
今回集まったのは、「1人CSIRT」としてRecruit-CSIRTの原型を立ち上げたサイバーセキュリティ エンジニアリング部 鴨志田昭輝氏をはじめとする6人。
リクルートテクノロジーズが提供するWebサービスやその基盤となるソフトウェアの脆弱(ぜいじゃく)性検査を担い、バグハンターとしても活躍する「にしむねあ」こと西村宗晃氏(クオリティマネジメントグループ兼インシデントレスポンスグループ)、フォレンジックを担当し「社内からも一番感謝されている」という川崎隆哉氏(同セキュリティオペレーションセンター)、「今日もレアなマルウェア検体を手に入れました!」とほくほく顏だったマルウェア解析担当の市田達也氏(セキュリティアーキテクチャーグループ兼インシデントレスポンスグループ)、爽やかな笑顔を絶やさぬものの、その内面は「マルウェアに魅せられている」という吉川允樹氏(クオリティマネジメントグループ兼インシデントレスポンスグループ)、そして、これらのそうそうたるメンバーをまとめる猪野裕司氏(インシデントレスポンスグループ グループマネジャー)という顔ぶれだ。
「皆がそれぞれ、自分の知らないことを知っているところが、とても良いチームだと思う」と川崎氏の言う通り、飲み会の中でも、時に激しく議論を交わしつつも、互いを“変態”と認め合う姿が見られた(変態は褒め言葉とのこと)。そんなRecruit-CSIRTのメンバーに、まずは普段の業務について聞いてみた。
鴨志田氏いわく「リクルートが本気で作ったチーム」というRecruit-CSIRTを構成するのは、全員が転職組だという20〜40代のメンバーたちだ。リクルートのサービス群の監視や脆弱性情報の調査、不正アクセスが発生した際の解析といったいわゆるCSIRTとしての業務を行う傍ら、他にも広く情報収集を行ったり、トレーニングを受けてスキルアップを図ったりもしているという。
「今週はSANSのトレーニングを受けました。『Advanced Digital Forensics』という講義で、自分なりにSplunkをいじっていろいろやっていたら、講師に『Keep going』と言われた(笑)」と市田氏。吉川氏も、「来週はOSINT(Open Source Intelligence)のトレーニングを受ける予定」だという。リクルートテクノロジーズでは、日常業務の中でもスキルアップを図れるスキームを取り入れているそうだ。
こうしたトレーニングを受けるモチベーションとしては、セキュリティを預かる使命感と同時に、「メンバーの存在」があるという。「自分は比較的中堅だが、メンバーは若いのに、全員が一本『これは負けない』という軸を持っている。それは認めつつ、若い人に『あれは違います、こうですよ』と言われると悔しいので、それをバネにフォレンジックを勉強している」(市田氏)。
また、ちょうどこの日、幾つかの情報共有スキームを通じて観測していた攻撃に関連する新しいマルウェア検体を入手したばかりという市田氏は、「インテリジェンス生成基盤の構築にもめどが立ってきたので、こうした『虫』をどんどん放り込み、基盤をより進化させていきたい」と言う。
そんな市田氏が「マルウェアの観察は楽しい。どう動くか分からないおもちゃをばらしていくような楽しさがあります」と語ると、攻撃サイドの視点を研究している吉川氏は「僕は解析の方はそんなに……。むしろ自分で検証用の疑似マルウェアを作ってウイルス対策ソフトの評価を行ったり、『どんなログが残って何を鍵に解析すればいいか』が分かったりする瞬間こそ面白いと思う」と張り合う。
するとすかさずフォレンジックを専門にする川崎氏が「いや、フォレンジックが一番楽しいです! 例えば不正調査では、PCに載っているソフトウェアを見ることで、『この人はそんなにリテラシーが高くないのではないか』などとスキルが推測できて、この人ならどんな操作をするか、するとレジストリにどんな履歴が残るか……と、人をプロファイリングしていく醍醐味があります」と主張する。
そして今度はそこに、搭載ブラウザの脆弱性を探すためだけにニンテンドー3DSを購入し、ほとんどプレイはしていないという西村氏が「マルウェア解析って、結局誰かが何らかの意図を持って作ったものを解析して、設計図を知る作業ですよね。その点脆弱性の調査は、まだ誰も気付いていない問題を見つけ出す。これがいいんだ」とかぶせる。
こんな具合に、お互い認め合いながらも決してブレないメンバーたちだが、「管理者としてはさぞ大変なのでは?」と思い猪野氏に聞いてみたところ、「僕、インシデントレスポンスが好きなんですよ。よくやむを得ずCSIRT役を任されて、悲壮感漂う感じでやっている人がいますが、僕は、少し語弊がありますが、インシデントが来るとある意味うれしいんです」と言う。同氏も、メンバーたちに負けず劣らずの“変態”だった。
「すごいでしょう。1つの分野だけでなく、他の人が取り組んでいることや興味あることを、オープンに議論して一緒にゴールを目指すという作業が、このメンバーだとうまく回るんです。いろいろな視点でインシデントを検討して、『これでいこう』と決めたら分担して進めていく。そしてそのプロセスが個々のエンジニアにとって血となり、肉となっていく。『自由にやりながらも、全員が成長できる場』になっていると思います」(猪野氏)
鴨志田氏も、「インシデントレスポンスには多面的な原因追及が必要です。その意味でも、多面的で良いチームができていると思います」と語る。
Copyright © ITmedia, Inc. All Rights Reserved.