脆弱性発見のプロ集団ーーリクルート「レッドチーム」の仕事とは?(3/5 ページ)
インシデントを未然に防ぐために、社内のセキュリティリスクを洗い出す「レッドチーム」。日本でいち早く“自前”のレッドチームを立ち上げたリクルートテクノロジーズに、そのミッションと日々の活動を聞いた。
もともと西村氏は、「脆弱性、特にブラウザの脆弱性を探すのが好き」(同氏)なバグハンターとして知られる人物だ。2017年7月にRECRUIT RED TEAMに加わった杉山氏も、長年にわたってWebアプリケーションやスマートフォンアプリの脆弱性検査に携わっており、検査ツール「VEX」の開発に携わった経験もある、セキュリティ業界では指折りのエンジニアだ。
そんなメンバーが集まっているため、ともに検査を行ったり、脆弱性についてブレインストーミングをしているだけで視点が増えたり、思いもよらない新しい攻撃方法が浮かぶこともあるという。それがRECRUIT RED TEAMの強みだ。
「レッドチームは常に、攻撃者側の手口を学び続け、その発想力を上回らないといけない組織です。本当に攻撃が来る前に自分たちで模倣することで、未然に防ぐことがわれわれの価値だと思っています」(西村氏)
こうして致命的な脆弱性が見つかれば、修正方法を提案するのもRECRUIT RED TEAMのミッションだ。具体的にソースコードの修正方法を提示することもあれば、前後の処理を追加し、問題を回避する方法を提案することもある。複数のシステムに使われているライブラリに脆弱性を発見した際には、たまたまその開発者が社内にいたこともあり、GitHubで修正依頼を出して対応してもらったという。
「ブラックボックステストで外から攻撃するだけでは、内部のロジックが分からないので、修正方法もごく一般的な内容にとどまり、踏み込んだ提案はできません。われわれはソースコードも見られるので、『この部分をこう直してください』と具体的に言うことができるのです」(西村氏)
人材不足を補うための「社内留学」と「自動化」
かつてリクルートグループでは、社員は企画に専念し、実際の開発作業は外部のベンダーに依頼すればいい、としていた時期があったという。だが、最近になって、優れたエンジニアを内部に抱え、その技術力でサービスを差別化する方向にシフトしてきた。
その流れの中で、セキュリティについても内部でしっかり確認すべきという機運が高まってきたのがRECRUIT RED TEAMが生まれたきっかけだ。
RECRUIT RED TEAMができる前は、コミュニティー活動における西村氏個人の評判を聞きつけた社内のエンジニアが依頼する形だったが、チームが立ち上がってからは「RECRUIT RED TEAMに検査してもらったらエラいことになった」と口コミが広がり、社内での知名度が跳ね上がったという。今では、3日に1回ほどのペースで相談があるほどだ。
「ただ、今のわれわれの課題は、メンバーがスケールしないことなんです」と西村氏。
関連記事
- DeNA CERTに聞く、事業スピードを落とさないセキュリティの進め方
インターネットサービスでは常にスピードと安全が求められ、企業にとってその両立は大きな挑戦だ。業界大手のDeNAでビジネスとセキュリティのバランスを担っているのがCSIRTだ。 - インシデント対応の達人が語ったCSIRTブームに沸く日本企業への至言
セキュリティインシデントへ組織的に対応すべくCSIRT構築に取り組む企業が増えているが、その道のりは平たんではないようだ。JPCERT/CC、日本シーサート協議会、ANAグループ、ラックのエキスパートによる議論が行われた。 - CSIRTの設置よりも、やるべきことがありませんか?
企業の情報セキュリティを守る存在として注目を浴びる組織、CSIRT。最近その設置について相談を受けるケースが増えているが、そもそもCSIRT設置を検討する前に、社内でやっておくべきセキュリティ対策がある。 - 急増するCSIRT、立ち上げ後に考えたい次なるステップへの視点
企業ではCSIRTを設立する動きが広まる。新たに立ち上げたCSIRTが活動を推進していく上で考えておきたいポイントはどのようなものだろうか。日本シーサート協議会での取り組みをもとにまとめてみたい。 - PwC、サイバー攻撃の演習サービスを開始
現実に近い状況でサイバー攻撃を体験し、組織のセキュリティ対策の問題点を洗い出すという。
Copyright © ITmedia, Inc. All Rights Reserved.