「おれたちは日本一のCSIRTになる!」――リクルートのCSIRT飲み会に潜入してみた:セキュリティ酒場放浪記(1)(2/2 ページ)
「サイバーセキュリティの世界において、重要な情報は全て飲み会で交換されている」、そんなウワサが本当なのかを確かめるべく、「セキュリティ飲み会」に潜入し、その実態を探る実験的企画。今回は「リクルートテクノロジーズ編」だ。
ユーザー企業が精鋭を集め、CSIRTに真剣に取り組む理由は?
標的型攻撃による被害が相次いで報じられ、「事故前提型の対策」の必要性が叫ばれるようになったのと相前後して、ITやセキュリティ専業の企業だけでなく、いわゆるユーザー企業でも、組織内CSIRTの構築に取り組む動きが広がっている。
だが中には「1人CSIRT」のような状況に陥り、専門的な作業を外に任せるケースも少なくない。こうした「支援サービス」に頼る企業もある中、なぜRecruit-CSIRTは尖った人材を集め、全てを独自に行うのだろうか。
「ユーザー企業には専門的人材は不要だ、という声もありますが、私たちは『ユーザー企業だからこそ必要だ』と考えています。何か困ったことが起きてベンダーを呼ぼうとしても、すぐに来てくれるとは限りません。社内に専門の人材がいれば、例えばSQLインジェクション攻撃を検知したら、その場で技術的な詳細を見て対応できます。現在は、時間的猶予がどんどんなくなっていますから」と西村氏は述べる。
猪野氏も、昨今のセキュリティインシデントの増加を受けて、「ベンダー側も問い合わせが多くなり負荷が非常に高まっています。その上、ベンダーの中で誰が担当してくれるのかをこちらが指定することも、基本的にできない」と付け加えた。
これが可能な背景には、「実質」を重んじるリクルートグループの社風があるのかもしれない。「インシデントは確かに起きていますが、それほど大事になる前に対応できています。『初動対応をしっかり行っていれば、報告書は書かなくてもいい』というのが許されています。そもそも報告書って、書いても後日ほとんど見返すことはないですよね? 立派な体裁だと、説明した気になって、理解した気にはなれるけれど、あまり本質的ではないと思っています。CSIRTあるあるで8割がレポートに割かれるなんていう話も聞きますが、うちの場合はレポートにかける時間は1割に収めるようにしています」(猪野氏)。対応履歴はSlackに残し、案件管理システムと組み合わせて役割分担しているそうだ。
鴨志田氏も「レポートはお金を出せば書ける人がいますが、インシデントレスポンスや分析ができる人には限りがあります」と述べ、さらに「『手順書』に沿って、事務的に定められたオペレーションを行うのがCSIRTの業務ではない。Recruit-CSIRTでは、標準化できない、もっとハイレベルな部分に力を注いでいきたい」と語った。
こうしたRecruit-CSIRTの「困り事、相談事に応じる」という姿勢は、社内の他部署からも好評だという。
「セキュリティ部門というのはどうしても敬遠されがちですが、Recruit-CSIRTは総じて社内で感謝されていると思います。ユーザー企業自身にフォレンジックができる機能があれば、何か疑わしい事象があったときも、根拠を持って『シロ』『クロ』と言えます。そのため、フォレンジック担当が一番感謝される機会が多いんですが、それ以外にも、被害を未然に防ぐといった実績も積んで信頼を築き、今では、現場の人から細かなことも相談してもらえるようになっています」と述べる。
ただ、こうした仕事では、業務とプライベートの境目が曖昧になりがちだ。これに対してRecruit-CSIRTでは、コアタイムなしのフレックス勤務を採用し、またメンバーによっては、集中して作業する時間を確保できるよう配慮している。
「何より『活躍』と『成長』を大切にしたいと思っています。各分野のスペシャリストが集まる中で成長し、現場で困っている人を助け、会社の中で役に立っていると感謝されることが大きなモチベーションになっています」と鴨志田氏。さらに志を共にするメンバーを集め、目指すのは「日本一のCSIRT」だと言う。
だが、そんな鴨志田氏の決意表明を聞いた途端、メンバーたちから次々と意見が飛び出す。
「日本一のCSIRTと言うからには、具体的な証が必要ですよね」
「SANS関連の資格を取りまくるとか? 後は、全員が海外のカンファレンスで発表するとか」
「じゃ、ちょっと海外行ってこようか。インド辺りなんてどう? 数学とか暗号もついでに勉強して」
「海外だと英語かぁ。ペンテスター用語なら通じるんだけど日常会話はなかなか……」
こんなふうに伸び伸びと具申できるのも、このチームの魅力なのかもしれない。そしてそんな熱い議論の中、銀座の夜は瞬く間に更けていったのであった……。
Copyright © ITmedia, Inc. All Rights Reserved.