20人規模のCSIRTを持つリクルート、立ち上げ当初は「募集しても人が来なかった」?:人集めに成功する秘訣とは?(1/4 ページ)
セキュリティエンジニアの不足が叫ばれる中、インシデントレスポンスだけでなく、脆弱性検査やフォレンジックなど、さまざまな一芸を持つ人材を集め、自社を超えて、セキュリティコミュニティー全体にも貢献しているRecruit-CSIRT。しかし、立ち上げ当初は「募集をしても全く人が来なかった」という。
ランサムウェアやコインマイナー(仮想通貨発掘プログラム)のまん延、Web改ざんなどのセキュリティインシデントは残念ながら減る気配がない。
加えて、サイバーセキュリティを経営責任の1つとして捉え、事前の防御だけでなく事後対応も視野に入れ、自社のみならず関連会社やパートナーも含めた対策を実施すべきと呼び掛ける「サイバーセキュリティ経営ガイドライン」の改訂などもあり、セキュリティ対策に本腰を入れる企業が増え始めている。
しかし、そこで企業が、“必ずと言っていいほど直面するの”が「適した人材を採用できない」という課題だ。あらゆる分野で人材不足が叫ばれる昨今だが、エンジニア、特にセキュリティエンジニアにおいてはひときわ深刻だ。
一口に「セキュリティ人材」といっても、CSOからミドルマネジャーなどの橋渡し役、現場でのセキュリティ運用から、セキュア開発までさまざまなスキルがある。そして、そのいずれもが「足りない」「いない」という声が圧倒的だ。社内で育成するには時間がかかり、社外に募集をかけても求める人材が集まらない。
足りない、いないと嘆くのは簡単だが、攻撃者は待ってくれない。どうすれば自社のセキュリティ対策に取り組んでくれる人材に来てもらえるのか――。先日、「サイバーセキュリティに関する総務大臣奨励賞」を受賞したリクルートテクノロジーズのCSIRT、Recruit-CSIRTを率いる鴨志田昭輝氏は、3年前にこの問題に直面。人事や広報担当と何度も議論を重ね、Recruit-CSIRTのビジョンを明確に打ち出すことで、ともに働く仲間を集めてきたという。
深いセキュリティ技術を内製化、得られた知見を業界に共有する「Recruit-CSIRT」
2015年に鴨志田氏が1人でに立ち上げたRecruit-CSIRTには、2018年3月末時点で20人ほどの社員が所属している。
インシデントレスポンス、セキュリティ監視を行うセキュリティオペレーション(SOC)、脆弱性検査などを行うセキュリティエンジニアリングの3チームに分かれ、リクルートグループが提供するさまざまなサービスのインフラやアプリケーションのセキュリティ強化とインシデント対応に当たっている。フィードバックを得ながら少しずつ活動の範囲を広げ、セキュリティに関する「よろず悩み相談」も視野に入れているそうだ。
最適なCSIRTの形は、企業の業務内容や組織形態、そして文化によって変わるため、それぞれの企業ごとに異なるものだ。リクルートテクノロジーズの場合は、インシデントハンドリングだけでなく、フォレンジックや脆弱性検査、マルウェア解析といった、一般的にはセキュリティ専門企業にアウトソースするような作業も内製化し、自社内で対応してきた。
関連記事
- 脆弱性発見のプロ集団ーーリクルート「レッドチーム」の仕事とは?
インシデントを未然に防ぐために、社内のセキュリティリスクを洗い出す「レッドチーム」。日本でいち早く“自前”のレッドチームを立ち上げたリクルートテクノロジーズに、そのミッションと日々の活動を聞いた。 - “役員も巻き込んで”危機意識を共有 ジャパンネット銀行の“脅威を自分ごと化させる”CSIRT
サイバーセキュリティに関するさまざまな取り組みで知られるジャパンネット銀行。2013年に立ち上げた「JNB-CSIRT」は、役員も訓練に巻き込んで危機意識を共有するなど、サイバー攻撃を“自分ごと化”する活動が特長だ。 - アクサ生命のCSIRT、“本気の”サイバー演習で見えた課題
ITmedia エンタープライズ主催のセキュリティセミナーで、アクサ生命のCISOが登場し、CSIRTとサイバーインシデントレスポンスの取り組みを紹介した。同社では情報漏えいなどのシナリオを想定した“本気の”演習を毎年行っているという。 - インシデント対応の達人が語ったCSIRTブームに沸く日本企業への至言
セキュリティインシデントへ組織的に対応すべくCSIRT構築に取り組む企業が増えているが、その道のりは平たんではないようだ。JPCERT/CC、日本シーサート協議会、ANAグループ、ラックのエキスパートによる議論が行われた。 - CSIRTの設置よりも、やるべきことがありませんか?
企業の情報セキュリティを守る存在として注目を浴びる組織、CSIRT。最近その設置について相談を受けるケースが増えているが、そもそもCSIRT設置を検討する前に、社内でやっておくべきセキュリティ対策がある。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは
本連載では、ランサムウェアを含む「マルウェア感染」という、さまざまな企業が頭を悩ませる問題について、リクルートグループのコンピュータインシデント対応チーム「Recruit-CSIRT」の発想と技術をお伝えする。今回は、代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する。
Copyright © ITmedia, Inc. All Rights Reserved.