脆弱性発見のプロ集団ーーリクルート「レッドチーム」の仕事とは？（2/5 ページ）

[高橋睦美，ITmedia]

社内組織だからできる「致命的なものを効率よく見つける」脆弱性検査

RECRUIT RED TEAM リーダーの杉山俊春氏。長年にわたってWebアプリケーションやスマートフォンアプリの脆弱性検査に携わっていた、セキュリティ業界では指折りのエンジニアだ

　リクルートグループでは、就職や人材サービスをはじめ、旅行、住宅などさまざまな情報サービスを展開している。キャンペーンなどで一時的に提供されるものまで含めると、Webサービスやアプリの数は数百単位に上る。その上、買収などによって、全く異なる基盤、異なるセキュリティポリシーで開発されたサービスが加わることもある。

　リクルートテクノロジーズは、テクノロジーの側面からグループ全体のサービスを開発し、支える役割を担っている。その中に設けられたRECRUIT RED TEAMの業務の1つは、そこに脆弱（ぜいじゃく）性が含まれていないかどうかを検査することだ。

　もちろん、これらサービスの多くは社内で定めたガイドラインに沿って、一定のセキュリティを満たすように作られている。だが、バグのないソフトウェアはあり得ないのと同じで、セキュリティ面でも“完璧”はあり得ない。

　そこでRECRUIT RED TEAMでは、ツールを用いてさまざまな入力を試し、脆弱性をあぶり出す「ブラックボックステスト」だけでなく、ソースコードの内容を確認し、ロジックに立ち入って問題を見つけ出す「ホワイトボックステスト」を併用したペネトレーションテストを通じてリスクを探し出している。

　セキュリティコンサルティング企業が提供する脆弱性検査サービスでは、エビデンスのために、「ここは問題ないだろう」という部分も含め、網羅的に検査を行うのが一般的だ。これに対してRECRUIT RED TEAMの検査では、外部からの挙動を見るだけではなく、ソースコードまで確認し、本当に致命的な事態になり得るか、そうではないかを判断している。「これは、社内の組織だからこそ実現できるやり方だ」と杉山氏は話す。

　「なるべく致命的な脆弱性を見つけるようにしています。インフォメーションレベルの脆弱性も発見したら報告しますが、それよりも、本当に致命的な問題を効率よく見つけるための工夫をしています」（杉山氏）

　実際に検査をしてみると、いわゆる「マイページ」のように個人情報を扱うページについては、開発者も意識しており、きちんと作り込まれている一方で、枝葉の部分に意外な落とし穴が見つかるケースがあるという。「ページ単価」で行われることの多い外部の脆弱性検査では、スコープ外になりがちなこうした部分も確認できるのも、レッドチームならではのメリットだ。