脆弱性発見のプロ集団ーーリクルート「レッドチーム」の仕事とは?(3/5 ページ)

» 2018年01月16日 08時00分 公開
[高橋睦美ITmedia]
photo リクルートテクノロジーズ シニアセキュリティエンジニアの西村宗晃氏。RECRUIT RED TEAM立ち上げ時のリーダーで、リクルート入社前からバグハンターとして活動していた

 もともと西村氏は、「脆弱性、特にブラウザの脆弱性を探すのが好き」(同氏)なバグハンターとして知られる人物だ。2017年7月にRECRUIT RED TEAMに加わった杉山氏も、長年にわたってWebアプリケーションやスマートフォンアプリの脆弱性検査に携わっており、検査ツール「VEX」の開発に携わった経験もある、セキュリティ業界では指折りのエンジニアだ。

 そんなメンバーが集まっているため、ともに検査を行ったり、脆弱性についてブレインストーミングをしているだけで視点が増えたり、思いもよらない新しい攻撃方法が浮かぶこともあるという。それがRECRUIT RED TEAMの強みだ。

 「レッドチームは常に、攻撃者側の手口を学び続け、その発想力を上回らないといけない組織です。本当に攻撃が来る前に自分たちで模倣することで、未然に防ぐことがわれわれの価値だと思っています」(西村氏)

 こうして致命的な脆弱性が見つかれば、修正方法を提案するのもRECRUIT RED TEAMのミッションだ。具体的にソースコードの修正方法を提示することもあれば、前後の処理を追加し、問題を回避する方法を提案することもある。複数のシステムに使われているライブラリに脆弱性を発見した際には、たまたまその開発者が社内にいたこともあり、GitHubで修正依頼を出して対応してもらったという。

 「ブラックボックステストで外から攻撃するだけでは、内部のロジックが分からないので、修正方法もごく一般的な内容にとどまり、踏み込んだ提案はできません。われわれはソースコードも見られるので、『この部分をこう直してください』と具体的に言うことができるのです」(西村氏)

人材不足を補うための「社内留学」と「自動化」

 かつてリクルートグループでは、社員は企画に専念し、実際の開発作業は外部のベンダーに依頼すればいい、としていた時期があったという。だが、最近になって、優れたエンジニアを内部に抱え、その技術力でサービスを差別化する方向にシフトしてきた。

 その流れの中で、セキュリティについても内部でしっかり確認すべきという機運が高まってきたのがRECRUIT RED TEAMが生まれたきっかけだ。

 RECRUIT RED TEAMができる前は、コミュニティー活動における西村氏個人の評判を聞きつけた社内のエンジニアが依頼する形だったが、チームが立ち上がってからは「RECRUIT RED TEAMに検査してもらったらエラいことになった」と口コミが広がり、社内での知名度が跳ね上がったという。今では、3日に1回ほどのペースで相談があるほどだ。

 「ただ、今のわれわれの課題は、メンバーがスケールしないことなんです」と西村氏。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ