10年の経験を経たRecruit-CSIRTに見る、平時とこれからのCSIRTのあり方――リクルート 鴨志田昭輝氏：ITmedia エグゼクティブセミナーリポート（1/2 ページ）

有事に対応するだけではなく、リスト型攻撃やカード不正が日常となった“平時”も含めてどのような価値貢献をするかが問われるようになってきた。

[高橋睦美，ITmedia]

リクルート リスクマネジメント室 CSIRTユニット Vice President 鴨志田昭輝氏

　リクルートは、一般顧客であるユーザーと企業顧客であるクライアントをマッチングするビジネスモデルに基づいて、SUUMOやゼクシィ、リクナビ、じゃらん、カーセンサーといった多様なインターネットサービスを提供している。その中では残念ながらセキュリティインシデントも起こるが、それらに日々対応しているのが、リクルートグループ全体のCSIRTである「Recruit-CSIRT」だ。

　旧子会社で立ち上がった組織を下敷きに、ほぼ「1人CSIRT」状態からRecruit-CSIRTを立ち上げ、徐々に仲間を集めながら組織を拡大してきた同社リスクマネジメント室 CSIRTユニット Vice Presidentの鴨志田昭輝氏が、「セキュリティインシデント発生に備えた体制構築のポイント」と題し、これまでの約10年の歴史を、どのように人材を集めてきたかも含めて振り返った。

有事だけでなく平時の貢献も求められるようになったCSIRT

　インシデント対応や未然防止に努めるCSIRTという組織が国内で注目を集めるようになったのは2011年頃からだ。背景としては、サイバー攻撃が年々増加してきたこともあるが、それだけでなく、「サイバーセキュリティ経営ガイドライン」などが定められ、セキュリティ対策が企業の社会的責任の一環と位置付けられるようになったことも大きいという。

　Recruit-CSIRTも、当初は、その当時横行していたリスト型攻撃への対応に、鴨志田氏1人で追われるような状態だった。だが徐々にチームのメンバーが増え、対応のノウハウも蓄積してきたこともあって、攻撃は今も続いているものの、組織として非常に安定している。

　そして、以前はセキュリティ組織の下にあったRecruit-CSIRTが、2024年4月にはCSIRTユニットとして独立することになった。「有事に対応するだけではなく、リスト型攻撃やカード不正が日常となった“平時”も含めてどのような価値貢献をするかが問われるようになってきました」と鴨志田氏は話す。

　その平時の取り組みとして、重点を置いているテーマが2つあるという。1つは対外関係の強化だ。

　2024年1月に発生した能登半島地震の報道に接し、あらためて自助、共助、公助の重要性を感じたという。「自分たちだけで頑張る自助の世界観だけではなく、同業他社やセキュリティベンダーと一緒に対応を進めていく共助、警察やNISC、公共機関に支援を求める公助という観点からも有事対応能力を高めていく必要があると、この震災を機に痛感しました」（鴨志田氏）

　もう1つの重点テーマは脅威インテリジェンスの活用だ。

　サイバーセキュリティの脅威は常に変化し続けている。鴨志田氏は、外部環境の脅威をきちんと分析した上で、潜在的なサイバー攻撃を事前に察知して備えるなど、セキュリティに関わる経営判断を手助けすることが重要だと述べた。そして、さまざまなレイヤーのインテリジェンスを活用し、サイバーセキュリティ保険によるリスク移転の最適化に今期は取り組んでいくとした。

単純な運用監視を超えた「アクティブモニタリング」に注力

　Recruit-CSIRTは現在、兼務も含めた社員10人、パートナー2人という体制で運用されている。いわゆるインシデントレスポンスも重要な役割だが、それだけでなく、アクティブモニタリングやサイバー犯罪対応といった平時の活動も重要な柱だ。

　ランサムウェアをはじめとする昨今のサイバー攻撃は、攻撃対象の調査から始まることが多い。そこで、攻撃者目線で自組織を調査するアクティブモニタリングを行った上で対策を講じることが、非常に効果的だと同氏は説明した。

　「モニタリングというと一般的には、セキュリティ機器からアラートが上がり、そのアラートを分析して実際の影響を見ていく、SOCによる受動的な監視が連想されます。これも重要な役割ですが、それとは別に、攻撃者目線でインターネット側から自社を調べるアクティブモニタリングがCSIRTの役割です」（鴨志田氏）

　このアクティブモニタリングの具体的な手段として、最優先かつ最重要な施策が「ASM」（アタックサーフェイスマネジメント）であるとした。

　ASMとは、インターネット側から自社システムをスキャンし、攻撃対象となる可能性の高い脆弱性のある機器や穴を洗い出す取り組みだ。すでに導入している企業も出てきているだろう。

　ただ「何も考えずにスキャンすると、非常に膨大な数の検出結果が出てきます。自社の環境や特性を踏まえた評価を行い、真に対応すべきものを抽出するところに専門性が必要とされますし、それこそ僕たちCSIRTがやるべき仕事だと思っています」（鴨志田氏）

　Recruit-CSIRTではこういった調整を加えながらASMを実施し、パッチが適用されていない機器や、CSIRT側が把握していなかった裏のメンテナンス口を見つけてきた。さらに、スキャンを一巡、二巡させて運用が落ち着いてきた段階で、脆弱性マネジメント部隊に業務を移管したところだという。

　アクティブモニタリングの別の施策として、漏洩認証情報のモニタリングも行っている。

　残念ながら、さまざまな対策を実施していても、端末がマルウェアに感染してIDとパスワードが漏洩したり、他のサービスで使い回されていた認証情報が漏れてしまったりと、いろいろな経路で認証情報が漏れてしまう事態は起こる。