セキュリティエンジニアの不足が叫ばれる中、インシデントレスポンスだけでなく、脆弱性検査やフォレンジックなど、さまざまな一芸を持つ人材を集め、自社を超えて、セキュリティコミュニティー全体にも貢献しているRecruit-CSIRT。しかし、立ち上げ当初は「募集をしても全く人が来なかった」という。
ランサムウェアやコインマイナー(仮想通貨発掘プログラム)のまん延、Web改ざんなどのセキュリティインシデントは残念ながら減る気配がない。
加えて、サイバーセキュリティを経営責任の1つとして捉え、事前の防御だけでなく事後対応も視野に入れ、自社のみならず関連会社やパートナーも含めた対策を実施すべきと呼び掛ける「サイバーセキュリティ経営ガイドライン」の改訂などもあり、セキュリティ対策に本腰を入れる企業が増え始めている。
しかし、そこで企業が、“必ずと言っていいほど直面するの”が「適した人材を採用できない」という課題だ。あらゆる分野で人材不足が叫ばれる昨今だが、エンジニア、特にセキュリティエンジニアにおいてはひときわ深刻だ。
一口に「セキュリティ人材」といっても、CSOからミドルマネジャーなどの橋渡し役、現場でのセキュリティ運用から、セキュア開発までさまざまなスキルがある。そして、そのいずれもが「足りない」「いない」という声が圧倒的だ。社内で育成するには時間がかかり、社外に募集をかけても求める人材が集まらない。
足りない、いないと嘆くのは簡単だが、攻撃者は待ってくれない。どうすれば自社のセキュリティ対策に取り組んでくれる人材に来てもらえるのか――。先日、「サイバーセキュリティに関する総務大臣奨励賞」を受賞したリクルートテクノロジーズのCSIRT、Recruit-CSIRTを率いる鴨志田昭輝氏は、3年前にこの問題に直面。人事や広報担当と何度も議論を重ね、Recruit-CSIRTのビジョンを明確に打ち出すことで、ともに働く仲間を集めてきたという。
2015年に鴨志田氏が1人でに立ち上げたRecruit-CSIRTには、2018年3月末時点で20人ほどの社員が所属している。
インシデントレスポンス、セキュリティ監視を行うセキュリティオペレーション(SOC)、脆弱性検査などを行うセキュリティエンジニアリングの3チームに分かれ、リクルートグループが提供するさまざまなサービスのインフラやアプリケーションのセキュリティ強化とインシデント対応に当たっている。フィードバックを得ながら少しずつ活動の範囲を広げ、セキュリティに関する「よろず悩み相談」も視野に入れているそうだ。
最適なCSIRTの形は、企業の業務内容や組織形態、そして文化によって変わるため、それぞれの企業ごとに異なるものだ。リクルートテクノロジーズの場合は、インシデントハンドリングだけでなく、フォレンジックや脆弱性検査、マルウェア解析といった、一般的にはセキュリティ専門企業にアウトソースするような作業も内製化し、自社内で対応してきた。
Copyright © ITmedia, Inc. All Rights Reserved.