脆弱性発見のプロ集団ーーリクルート「レッドチーム」の仕事とは?(4/5 ページ)
インシデントを未然に防ぐために、社内のセキュリティリスクを洗い出す「レッドチーム」。日本でいち早く“自前”のレッドチームを立ち上げたリクルートテクノロジーズに、そのミッションと日々の活動を聞いた。
「人材領域でナンバーワン企業を目指す」という目標達成に向け、セキュリティの確保は欠かせない課題だが、「果たして、この少数の部隊でどこまで守れるかが課題だと感じています」(西村氏)という。
そこで取り組んでいることの1つが「人材育成」だ。ある程度の開発経験を持つエンジニアがRECRUIT RED TEAMに異動し、約半年で脆弱性検査やセキュリティエンジニアリングに関する知識を、実務を通して徹底的に学ぶ。その先はセキュリティを極めてもよし、元いた部署にレッドチームでの経験とノウハウを持ち帰って、セキュアな開発やソースコードレビューに役立ててもらうもよし、という具合だ。いわば「社内留学」のような取り組みといえる。
「“留学生”に『レッドチームは楽勝だった、意外とぬるかった』なんて言われたくないので、求めるレベルは高めに設定しています。例えば、かなり難度が高い資格であるSANS GWAPTの取得だとか、オープンソースソフトウェアのゼロデイ脆弱性を複数見つけるとかいったチャレンジングな課題を設け、圧倒的成長を遂げられるよう鍛えています」(西村氏)
今まさに、Androidアプリ開発の傍ら、セキュリティに興味を持ちCTF(Capture The Flag:セキュリティ技術を競うコンテスト)にも参加している若手エンジニアが加わり、鋭意特訓中だという。
もう1つの取り組みは、検査の自動化だ。権限管理の問題のように、どうしても人の目で検査せざるを得ない部分はあるものの、それ以外の部分はできる限り機械に任せられる仕組みを目指す。
「リクルート社内でよく使われているフレームワークや言語を前提に、ありがちな脆弱性を自動的に見つけられるような仕組みを作ろうとしています。いわゆるソースコードスキャナですが、決して汎用的なものではなく、われわれのソースコードの特徴を分かった上で、なるべく誤検出を減らし、本当に深刻な脆弱性を見つけたいと考えています」(杉山氏)。
ここで大切なのは、サービスそのものにダメージを与えないこと。セキュリティを優先するあまり、脆弱性を見つけるためにとにかく検査しまくり、サービスを落としてしまっては本末転倒だ。
そこで、開発チーム側の許可を得てGitHubのアクセス権限を与えてもらい、開発環境のソースを確認して脆弱性を報告するというアプローチを考えている。ビルドからセキュリティテスト、修正、デプロイまでを自動化する「DevSecOps」的な展開も期待できるが、本番サービスへの影響を考えると、それはやや先の話になりそうだという。
関連記事
- DeNA CERTに聞く、事業スピードを落とさないセキュリティの進め方
インターネットサービスでは常にスピードと安全が求められ、企業にとってその両立は大きな挑戦だ。業界大手のDeNAでビジネスとセキュリティのバランスを担っているのがCSIRTだ。 - インシデント対応の達人が語ったCSIRTブームに沸く日本企業への至言
セキュリティインシデントへ組織的に対応すべくCSIRT構築に取り組む企業が増えているが、その道のりは平たんではないようだ。JPCERT/CC、日本シーサート協議会、ANAグループ、ラックのエキスパートによる議論が行われた。 - CSIRTの設置よりも、やるべきことがありませんか?
企業の情報セキュリティを守る存在として注目を浴びる組織、CSIRT。最近その設置について相談を受けるケースが増えているが、そもそもCSIRT設置を検討する前に、社内でやっておくべきセキュリティ対策がある。 - 急増するCSIRT、立ち上げ後に考えたい次なるステップへの視点
企業ではCSIRTを設立する動きが広まる。新たに立ち上げたCSIRTが活動を推進していく上で考えておきたいポイントはどのようなものだろうか。日本シーサート協議会での取り組みをもとにまとめてみたい。 - PwC、サイバー攻撃の演習サービスを開始
現実に近い状況でサイバー攻撃を体験し、組織のセキュリティ対策の問題点を洗い出すという。
Copyright © ITmedia, Inc. All Rights Reserved.