年々、企業を狙うサイバー攻撃が増えている今日だが、「水と安全はタダ」だった日本の企業にとって、セキュリティにどの程度取り組むべきかの判断は難しい。
そうした中、リクルートテクノロジーズは、CSIRT(Computer Security Incident Response Team)をはじめ、リクルートグループの堅牢なセキュリティ体制を築いている。このたび、2018年の「サイバーセキュリティに関する総務大臣奨励賞」も受賞しており、同社の取り組みは企業がセキュリティ体制を構築する上でお手本になると言えよう。
そこで、企業がセキュリティ向上に取り組む上でのヒントを得るべく、リクルートテクノロジーズのセキュリティチームに、これまでの取り組みと課題について聞いてみた。
お話を伺ったのは、リクルートテクノロジーズ ITソリューション統括部 サイバーセキュリティエンジニアリング部の西村宗晃氏(クオリティマネジメントグループ グループマネジャー)、六宮智悟氏(セキュリティオペレーションセンター)、市田達也氏(インシデントレスポンスグループ)の3名だ。
事故対応、攻撃後の被害の究明を内製化
まず、リクルートにおいてセキュリティ組織はどのように生まれ、進化していったのだろうか?
土台にあるのは、リクルートの本業のデジタル化だ。ご存じのように、リクルートは就職や結婚など各種情報サービスを展開している。これまで紙で提供してきた情報サービスがオンラインに移動するにあたって、社会的責任として顧客の個人情報を守らなければならないという経営側の意識があったという。そこで、ゼロからセキュリティ組織を立ち上げることになった。
当初はセキュリティ施策を決定し、それを運営するブレーンまでを社員が担当し、エンジニアリング業務はベンダーに委託していた。「施策を立案して各事業にそれらを入れていくのがコンピタンスであり、技術はベンダーに任せていたと聞いています。当時は、技術に関する知識もそれほどなく、ベンダーからの提案の良し悪しの判断も難しいという側面もあったようです」と、西村氏は語る。
-
リクルートテクノロジーズ ITソリューション統括部 セキュリティエンジニアリング部 クオリティマネジメントグループ グループマネジャー 西村宗晃氏
内製化に向けて舵をシフトしたのが2015年頃だ。リクルートは前年の2014年に東証一部に上場、そこで経営陣がサイバーセキュリティを今後の取り組みの1つとして挙げた。その後、大手EC企業でサイバー犯罪対策室を立ち上げた鴨志田昭輝氏が入社して、本格的なセキュリティ組織づくりが始まった。 同氏は現在、リクルートテクノロジーズ 執行役員 サイバーセキュリティエンジニアリング部 エグゼクティブマネジャーを務めている。
鴨志田氏の下、外部からの起用、エンジニアの採用を進めた。ベンダーの品質管理にも着手し、CSIRTが発足したのもこの時期だ。「インシデントレスポンス、セキュリティオペレーション、クオリティマネジメントの3つのグループを合わせて「Recruit CSIRT」とする、バーチャルな組織が立ち上がりました」と西村氏は説明する。
内製化を行った業務は事故対応、攻撃後の被害の究明などだ。「障害などが発生した場合、ベンダーに頼むとタイムラグが生じることは避けられません。そこで、障害にまつわる対応は自分たちでやれるようにしたようです」と西村氏。セキュリティに関する業務の一部を内製化することにより、自社で技術が蓄積され、より成熟したことができるようになったそうだ。
自社で品質管理を行うようになったことで、ベンダーとの関係も「(ベンダーのサービスをそのまま)鵜呑みにするのではなく、社内で咀嚼して必要なことだけ依頼するようになりました」と西村氏。
CSIRTの活動が良かったのか、エンジニアが次々と集まるようになった。リクルートのセキュリティ組織の歴史を語ってくれた西村氏をはじめ、セキュリティベンダーのCSIRTで技術統括をしていた六宮氏、同じくセキュリティベンダー勤務で「顧客にレポートを書いていたが、それが最後どう受け止められどう現場で対応されているのか知りたかった」という市田氏もその一人だ。「尖っていて面白そう。中に入って本当にイメージ通りの集団なのかを見てみたいと思いました。エンジニアにとっては、魅力的な場所だと思います」と六宮氏は語る。
-
リクルートテクノロジーズ ITソリューション統括部 セキュリティエンジニアリング部 セキュリティオペレーションセンター 六宮智悟氏
セキュリティ対策は着地点を明確に
「Recruit-CSIRT」では、サイバー攻撃の被害最小化、早期検知、未然防止を実現するために活動している。年を追うごとに増えるサイバー攻撃に対し、どのような組織を作り、対応していくべきか悩む企業も少なくない。一方でセキュリティ人材は不足している。そうした中、リクルートテクノロジーズはなぜうまくいったのだろうか。その答えは、組織のセキュリティ体制の成熟度に合わせた人材の採用と活用にありそうだ。
西村氏は「経営がセキュリティに理解を示していない段階でエンジニアを採用してもうまくいきません。そこで、必要となるのは、経営との橋渡し人材だと考えます。業界特有の監査などを把握している人材も重宝されるかもしれません」と話す。つまり、経営が理解できるようにセキュリティ対策を説明できるコンサルのような「橋渡し人材」、業界固有の規制の遵守をチェックできる監査が必要というわけだ。
経営が一定の理解を示し、予算がつくようになると次のステップだ。そこでは、「セキュリティ技術のわかるコンサル人材が必要とされます。この段階では、技術人材も重宝される場合があると思いますが、人数として多くは必要とされません」と、西村氏は言う。
ベンダーの技術を評価して品質管理でき、事業部門に対してはセキュリティの必要性を説明して施策を実行してもらう。根気強くコミュニケーションを取り続けられる人が求められる。同社も現在、このレベルにあり、さらなるステップアップを目指している。
「どこに自社の目標があるのか、明確に言語化していないから難しいのでは?」と、企業の課題を指摘するのは六宮氏だ。前職のセキュリティベンダーでは、多くの顧客が現場と経営層の目標にギャップがあるまま運用していると感じたと振り返る。「自社のCSIRTの目指す姿を定義した結果であれば、技術業務をベンダーに委託した運用でも十分です。どのような姿を目指すのかを経営層と相互に理解することが重要です」とアドバイスする。
