リクルートグループのセキュリティ集団「Recruit-CSIRT」で、商用監視チームを率いる安東美穂さん。エンジニア未経験でチームに飛び込んだ経験から、後進に送るアドバイスとは。
「サイバーセキュリティ」と聞くと、その道の専門家たちがひしめく分野、といったイメージを持つ人も多いのではないだろうか。ほとんど全ての企業がネットワークに接続し、サイバー攻撃が日夜進化する今となっては必須の分野だが、“入口が狭い”印象は否めない。
そんな中、現在リクルートテクノロジーズのセキュリティ専門家集団「Recruit-CSIRT(Computer Security Incident Response Team)」で、リスクの高いサイバー攻撃を検知し、監視や分析を行う専門部隊「セキュリティオペレーションセンター(SOC)」の商用監視チームを率いる安東美穂さんは、2014年末に、エンジニアとしての経験が「ゼロ」の状態で転職してきた。それからわずか4年で専門チームを率いるまでの間に、何があったのか。
(前編はこちら→「エンジニア経験ゼロ」から「サイバーセキュリティのプロ」へ ある女子が果たした転身のきっかけ)
学生のころからITに触れ、転職前にクラウドサービスのサポートをしていたことがきっかけで、セキュリティに興味を持ったという安東さん。「人を募集しているので、ぜひ」と勧められ、2015年に立ち上がったばかりのRecruit-CSIRTに加わったものの、現実は甘くなかった。
Recruit-CSIRTは、SOCの他にも、サイバー攻撃に対するインシデントレスポンスチームを持ち、あらかじめ問題を見つけ出してサービスのセキュリティを高める脆弱(ぜいじゃく)性検査を行うなど、最新のセキュリティ情報のチェックや話合いを繰り返しながらセキュリティ向上に取り組む。就職サービスや人材情報、住宅情報など、リクルートグループの扱う膨大なサービスには「常にサイバー攻撃が来ている状態(安東さん)」で、その分CSIRTの役割は重い。しかも、入社直後の安東さんが配属されたのは、その最前線ともいえるSOCだった。
もともとクラウドサービスを扱った経験はあり、Linuxの資格も取っていた安東さんだが、入社後に一カ月の研修で学べたのは、ネットワークやデータベースも含めたインフラ関連の知識。その状態で、外部の提携機関から「深刻」あるいは「緊急対応が必要」とされたアラートをその場で分析し、リスクの範囲や攻撃者の意図を考えながら、関係者への連絡を含めた対応を判断する仕事を任された。それは、経験したことのないプレッシャーとの戦いだった。
現在は100人体制のCSIRTだが、当時は数人程度の規模だった。分からないことがあれば、上司や周囲のメンバーに聞けるが、夜間や休日などにアラート対応が発生すれば、基本的にはたった一人で立ち向かうことになった。
「冬の夜にアラートが発生し、寒さに震えながら、『果たしてこの解析結果は正しいのか、リクルート全体に影響を与えることにならないか』と自問自答したこともありました」と、安東さんは当時を振り返る。
Copyright © ITmedia, Inc. All Rights Reserved.