脆弱性発見のプロ集団ーーリクルート「レッドチーム」の仕事とは?(5/5 ページ)
インシデントを未然に防ぐために、社内のセキュリティリスクを洗い出す「レッドチーム」。日本でいち早く“自前”のレッドチームを立ち上げたリクルートテクノロジーズに、そのミッションと日々の活動を聞いた。
セキュリティ成熟度に応じて変わる「レッドチーム」の役割
10月にリーダーを引き継いだ杉山氏は、RECRUIT RED TEAMの目的を「セキュリティやリスク管理の課題を技術的に解決すること」と定義している。脆弱性検査に限らず、さまざまなセキュリティの“お悩み相談室”として、一方的に解を押し付けるのではなく、ともに解決方法を考えていきたいという。
「4月に立ち上げた当時は、私個人宛に『侵入して検査してほしい』という話が多かったので、それをRECRUIT RED TEAMという形で組織化して、攻撃者の目線で脆弱性検査をやっていこうと話していました。しかし、杉山さんたちと話を重ねたり、事業部側のニーズを聞いたりしているうちに、モノを安全にするための『守るノウハウ』が強く求められていることが分かりました。そうした変化を踏まえ、活動の再定義を進めている段階です」(西村氏)
例えば、SOCと連携しながら、Slack上で最新の脆弱性やそれを狙う攻撃コードを検証し、該当するソフトが社内のどこで動いているかを確認し、早期警戒情報を共有したり、過去の社内での対応事例を基にして、再発防止に向けた脆弱性事例を共有したり……他にも脆弱性修正のサポートや、脆弱なソフトを「体験」しながらの実習、教育など、セキュリティの困りごとに関するさまざまなメニューを用意していく。
それを先取りした活動の1つが、複数の国産IT資産管理ソフトウェアの脆弱性を発見したことだろう。
2016年末、資産管理ソフトウェアの『SKYSEA Client View』に深刻な脆弱性が存在することが報告された。このニュースを聞いた西村氏は「これを機にサイバー攻撃の潮目が変わり、日本企業を狙うときには国産ソフトウェアの脆弱性が狙われるかもしれない」と考え、社内で利用されているものも含めた複数のソフトウェアを調査。結果として、複数の国産資産管理ソフトウェアに脆弱性を発見し、IPAならびにJPCERT/CCを通じて報告した。一連のてん末は、セキュリティカンファレンス「Code Blue 2017」で発表されている。
「依頼のあるなしにかかわらず、社内のどこにセキュリティリスクがあるかを考えて調べました。頼まれて行うサービスだけではなく、俯瞰(ふかん)的な視点で会社のセキュリティリスクを突き止め、その問題を能動的に、エンジニアリング力を生かして解決していく。そんな組織にしたいですね」(西村氏)
それ以外にも、開発中のソースコードスキャナや、社内向けセキュリティドキュメント類を一般公開するという形で、より直接的に社会貢献したいと考えているそうだ。「今のRECRUIT RED TEAMのやり方ならば、攻撃コードではなく、守る方法や安全に直していく方法を公開することになるので、社会に貢献しやすいと思います」(杉山氏)
西村氏は「海外の情報をいろいろ調べてみると、『これがレッドチームだ』という明確な定義はないようです。例えばペネトレーションテストに特化していたり、あるいは社内のDecSecOpsの推進を役割と位置付けていたり、さまざまな組織があります。そう考えると、個々の組織におけるセキュリティのマチュリティ(成熟度)に合わせて成長していくのがレッドチームかもしれません」と話す。
組織のセキュリティ意識やニーズに合わせて、“攻撃集団”から“よろず屋”へと姿を変えつつあるRECRUIT RED TEAM。今、自社に本当に必要なセキュリティ施策は何か――これを考え続けることが、レッドチームの役割であり、存在価値なのだろう。
関連記事
- DeNA CERTに聞く、事業スピードを落とさないセキュリティの進め方
インターネットサービスでは常にスピードと安全が求められ、企業にとってその両立は大きな挑戦だ。業界大手のDeNAでビジネスとセキュリティのバランスを担っているのがCSIRTだ。 - インシデント対応の達人が語ったCSIRTブームに沸く日本企業への至言
セキュリティインシデントへ組織的に対応すべくCSIRT構築に取り組む企業が増えているが、その道のりは平たんではないようだ。JPCERT/CC、日本シーサート協議会、ANAグループ、ラックのエキスパートによる議論が行われた。 - CSIRTの設置よりも、やるべきことがありませんか?
企業の情報セキュリティを守る存在として注目を浴びる組織、CSIRT。最近その設置について相談を受けるケースが増えているが、そもそもCSIRT設置を検討する前に、社内でやっておくべきセキュリティ対策がある。 - 急増するCSIRT、立ち上げ後に考えたい次なるステップへの視点
企業ではCSIRTを設立する動きが広まる。新たに立ち上げたCSIRTが活動を推進していく上で考えておきたいポイントはどのようなものだろうか。日本シーサート協議会での取り組みをもとにまとめてみたい。 - PwC、サイバー攻撃の演習サービスを開始
現実に近い状況でサイバー攻撃を体験し、組織のセキュリティ対策の問題点を洗い出すという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.