検索
特集

リクルートのセキュリティオペレーションセンターが大切にする“永続性”と“再現性”とはITmedia Security Week 2021冬

組織として継続可能なセキュリティ対策に大切なことは何か。リクルートSOC/Recruit-CSIRTがITmedia Security Week 2021冬で講演した。

Share
Tweet
LINE
Hatena

リクルート セキュリティ統括室 セキュリティオペレーションセンター インシデントレスポンスグループ グループマネージャー / GCTI 六宮智悟氏

 リクルートのセキュリティチームは、とがった才能や個性、爆発力を持つ人材が脅威の最前線で戦っている――。そんなイメージを持たれがちな同社も、実は個に依存しない、組織として継続可能なセキュリティ対策に地道ながら取り組んでいるのはあまり知られていない事実かもしれない。

 リクルートSOC(Security Operation Center)のグループマネージャーを務め、Recruit-CSIRTメンバーとしても活動を続ける六宮智悟氏が、そうした“地味”な取り組みの大切さを、ITmedia Security Week 2021冬の講演「進むリモートワーク、薄れゆく境界、セキュリティポートフォリオを見直した話」で語った。

組織編成と併せてセキュリティ組織の改編を実施

 不動産ポータルサイト「SUUMO」や旅行情報サイト「じゃらん」、求人サイト「Indeed」など、さまざまな領域のマッチング情報を提供するリクルートグループ。1960年に創業し、今では従業員数約4万6000人を抱える企業に成長した。同グループは2021年4月に、事業の一つであるメディア&ソリューション事業において、主要な中核事業会社や機能会社をリクルートに統合。統合された会社の一つに、六宮氏が所属するリクルートテクノロジーズがあった。

 Recruit-CSIRTがリクルート傘下に統合されることも含め、六宮氏たちは事業全体にセキュリティ対策を展開できることから、統合を前向きな変化と歓迎した。

 2013年に社内CSIRTとして設立され、「ひとりCSIRT」「ふたりCSIRT」などを経て、2015年に本格始動したRecruit-CSIRT。当初は優秀なメンバーによる個人プレーが中心だった同組織も、六宮氏がジョインした2017年にはマルウェアアナリストやインシデントハンドラ、フォレンジックアナリストといったメンバーがそろい、実績を重ねながら高度組織としての体裁を整えていった時期だった。

 そうした中で迎えた2020年、翌年の統合に向け、「3線ディフェンス」の考え方を取り入れてセキュリティ組織を改編することになった。3線ディフェンスは、事業部門、管理部門、内部監査部門を3つの防衛線と定義し、それぞれに持たせるリスク管理機能を整理するセキュリティモデルだ。

 リクルートの場合、リスクマネジマント統括組織内の統括室が2線としてルールの策定や順守状況を評価するとともに、推進室が1線であるプロダクト組織がルールの装着、順守を自律的にするために統制する。その中で、SOCは2線として品質保証の共通機能となるアラート監視などを提供し、Recruit-CSIRTは1線と2線の代表者が密に協働しながらリスクの特定と対策、技術支援などを実施する枠組みに設置された。


現在のリクルートのセキュリティマネジメント体制(六宮氏の講演資料から引用)

セキュリティ対策の見直しのきっかけ

 実はその約2年前となる2018年夏、六宮氏たちは転機を迎えていた。国際競技大会の公式スポンサーとなったことで攻撃者からの目線に変化が想定されること、セキュリティ関連のハードウェアなどで保守終了が近づいていること、執務環境が変化して機器増設などの追加投資が必要になったこと、脅威のランドスケープが変化していることなど、さまざまな事象が重なり、これらを解決するために土台となるセキュリティ対策を見直すことにしたのだ。

 早速、六宮氏は当時のトップにその旨を提案した。すると、個別の対策では判断がしづらいので、中長期方針の総論としてポートフォリオを見直すのはどうかと提起されたという。

 六宮氏は、「Recruit-CSIRT立ち上げから約5年間、思いを共有する仲間を増やしながら、方向を同じにしてひたすら走り続けてきたが、そろそろ中長期方針で見直す次の段階に来たと感じた」と振り返る。

 こうしてセキュリティ対策の見直しが始まった。同社では、守る環境を情報区画として次の3つに分類し、境界防御を展開していた。

  1. 最重要と定義される情報:接続申請必須、接続には専用端末の利用と専用区画への入室が必要、作業は録画され監査対象となる、など
  2. 重要と定義されている情報:接続にVDIなど専用端末が必要、情報持ち出しは原則禁止で監視、監査の対象になる、など
  3. それ以外の情報:一般的なセキュリティ対策を実装

 その中から、見直しが必要な区画を執務環境に深く関わる2つ目と3つ目に設定。業務で利用する約7万のエンドポイントをマルウェア感染やサポート詐欺、アカウント侵害といったセキュリティリスクから守る施策を再検討することにした。

重要なことは“特別なことはしない”こと

 もっとも、六宮氏は「特別なことは何もしていない」と言う。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  2. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  5. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  6. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  7. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  8. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
  9. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  10. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
ページトップに戻る