10年の経験を経たRecruit-CSIRTに見る、平時とこれからのCSIRTのあり方――リクルート 鴨志田昭輝氏：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

[高橋睦美，ITmedia]

　そこでRecruit-CSIRTでは、有償・無償のサービスを利用してアンダーグラウンドに流通している認証情報を収集し、その中に従業員やクライアントの認証情報が含まれていないかどうかをモニタリングしている。万一流出した認証情報を発見した場合には、パスワードの初期化などしかるべき対策を取っている。

　また、GitHubをはじめとするインターネット上のサービスを自作のツールでクローリングし、リクルートに関連するリポジトリ内に認証キーが含まれていないかも確認している。これによって、意図せず公開されているクレデンシャルが悪用され、サーバの乗っ取りにつながるといったインシデントの防止を図っている。

　アクティブモニタリングのもう1つの取り組みが脅威ハンティングだ。さまざまなログやトラフィック、アクティビティなどを元に不審な行動や異常の兆候を検知していくものだが、「正直に言うと定型化が難しく、エンジニアの経験や勘によるところが大きい取り組みです」（鴨志田氏）。

　Recruit-CSIRTはこうしたアクティブモニタリング技術に取り組みながら、CSIRTの本業であるインシデントレスポンス支援、特に、複数のアカウント作成やポイントの不正取得といった広義のサイバー犯罪対策にも努めている。「リクルート全体で、組織横断で発生状況の把握や対応支援を行い、ノウハウを集約しています。同時に、捜査機関と連携して犯人の特定や検挙に協力し、そのノウハウも蓄積しています」（鴨志田氏）

CSIRTのメンバー集め、ポイントは「チームとしての魅力」

　最後に鴨志田氏は、こうしたRecruit-CSIRTの日常を支える人材をどのように集めてきたか、背景にあった考え方や戦略を紹介した。

　2014年12月に鴨志田氏が入社し、1人CISRT状態から始めたRecruit-CSIRTだが、外注ではなくプロフェッショナルが集まるチームを作り、内製で運用する方針だけは一貫してきた。外注に頼り過ぎると緊急時のリソース確保が保証できない他、考え方にブレが生じる恐れがあるからだ。

　ただ、人材事業を1つの柱とするリクルートという会社であっても、セキュリティ人材の採用には苦労したという。

　当初は「リクルートという素晴らしい会社でセキュリティの仕事をやりませんか」と会社推しのアプローチで人材を募っていたが、あまり響かなかったという。そこであるときから「セキュリティのプロフェッショナルとして誇りを持って正しいことをやりたい」という思いを抱くスペシャリストが幸せに働ける場を作り、Recruit-CSIRTというチームの魅力で勝負する方向に舵を切った。同時に、記事や講演といった対外的な露出を増やしながら、共感できるメンバーを集めていった。

　この過程で大事にしたのは「ストーリー」だ。

　鴨志田氏自身、元々はセキュリティベンダーで働いていたが、「売り上げに左右されず、正しいセキュリティをやりたい」という思いからユーザー企業に転身した経験がある。その思いを軸に、Recruit-CSIRTで働くことによって皆に感謝される仕事ができ、自分の成長と活躍につながることを訴えていった。広報の積極的な協力も相まって、結果として業界内の認知が高まり、存在感のあるメンバーが加わって、ここまでのチームを作ることができた。

　もっとも、タイミングも大きな要因だったのは事実だ。10年前にさかのぼると、セキュリティのスペシャリストを直接雇用するのは、会社としても雇われる側としても少数派だった。そんな時期にいち早くCSIRTを立ち上げてメンバーを募ったことが勝因の1つだ。

　鴨志田氏は過去10年のこうした取り組みを紹介した上で、最後にあらためて、自助、共助、公助の3つが重要であると強調した。そして「特に共助という観点から対応能力を高めていくには、いろいろな会社の人と協力関係を築いていきたいと考えています」と、積極的に情報交換を進める考えを示した。