脆弱性発見のプロ集団ーーリクルート「レッドチーム」の仕事とは？（5/5 ページ）

[高橋睦美，ITmedia]

セキュリティ成熟度に応じて変わる「レッドチーム」の役割

　10月にリーダーを引き継いだ杉山氏は、RECRUIT RED TEAMの目的を「セキュリティやリスク管理の課題を技術的に解決すること」と定義している。脆弱性検査に限らず、さまざまなセキュリティの“お悩み相談室”として、一方的に解を押し付けるのではなく、ともに解決方法を考えていきたいという。

　「4月に立ち上げた当時は、私個人宛に『侵入して検査してほしい』という話が多かったので、それをRECRUIT RED TEAMという形で組織化して、攻撃者の目線で脆弱性検査をやっていこうと話していました。しかし、杉山さんたちと話を重ねたり、事業部側のニーズを聞いたりしているうちに、モノを安全にするための『守るノウハウ』が強く求められていることが分かりました。そうした変化を踏まえ、活動の再定義を進めている段階です」（西村氏）

　例えば、SOCと連携しながら、Slack上で最新の脆弱性やそれを狙う攻撃コードを検証し、該当するソフトが社内のどこで動いているかを確認し、早期警戒情報を共有したり、過去の社内での対応事例を基にして、再発防止に向けた脆弱性事例を共有したり……他にも脆弱性修正のサポートや、脆弱なソフトを「体験」しながらの実習、教育など、セキュリティの困りごとに関するさまざまなメニューを用意していく。

RECRUIT RED TEAMで用意しているメニュー。脆弱性診断から教育まで多岐にわたる

　それを先取りした活動の1つが、複数の国産IT資産管理ソフトウェアの脆弱性を発見したことだろう。

　2016年末、資産管理ソフトウェアの『SKYSEA Client View』に深刻な脆弱性が存在することが報告された。このニュースを聞いた西村氏は「これを機にサイバー攻撃の潮目が変わり、日本企業を狙うときには国産ソフトウェアの脆弱性が狙われるかもしれない」と考え、社内で利用されているものも含めた複数のソフトウェアを調査。結果として、複数の国産資産管理ソフトウェアに脆弱性を発見し、IPAならびにJPCERT/CCを通じて報告した。一連のてん末は、セキュリティカンファレンス「Code Blue 2017」で発表されている。

　「依頼のあるなしにかかわらず、社内のどこにセキュリティリスクがあるかを考えて調べました。頼まれて行うサービスだけではなく、俯瞰（ふかん）的な視点で会社のセキュリティリスクを突き止め、その問題を能動的に、エンジニアリング力を生かして解決していく。そんな組織にしたいですね」（西村氏）

　それ以外にも、開発中のソースコードスキャナや、社内向けセキュリティドキュメント類を一般公開するという形で、より直接的に社会貢献したいと考えているそうだ。「今のRECRUIT RED TEAMのやり方ならば、攻撃コードではなく、守る方法や安全に直していく方法を公開することになるので、社会に貢献しやすいと思います」（杉山氏）

　西村氏は「海外の情報をいろいろ調べてみると、『これがレッドチームだ』という明確な定義はないようです。例えばペネトレーションテストに特化していたり、あるいは社内のDecSecOpsの推進を役割と位置付けていたり、さまざまな組織があります。そう考えると、個々の組織におけるセキュリティのマチュリティ（成熟度）に合わせて成長していくのがレッドチームかもしれません」と話す。

　組織のセキュリティ意識やニーズに合わせて、“攻撃集団”から“よろず屋”へと姿を変えつつあるRECRUIT RED TEAM。今、自社に本当に必要なセキュリティ施策は何か――これを考え続けることが、レッドチームの役割であり、存在価値なのだろう。