20人規模のCSIRTを持つリクルート、立ち上げ当初は「募集しても人が来なかった」?:人集めに成功する秘訣とは?(2/4 ページ)
セキュリティエンジニアの不足が叫ばれる中、インシデントレスポンスだけでなく、脆弱性検査やフォレンジックなど、さまざまな一芸を持つ人材を集め、自社を超えて、セキュリティコミュニティー全体にも貢献しているRecruit-CSIRT。しかし、立ち上げ当初は「募集をしても全く人が来なかった」という。
「いろいろな理由がありますが、アウトソースだと品質面でのコントロールが難しいことが大きな理由です」と鴨志田氏は述べる。また、外部に依頼する場合よりもスピーディに対応できる上、解析結果を出すだけでなく、それを踏まえた事業判断や対処までを見届けられるのも、技術の内製にこだわる理由だ。
そして、解析したマルウェアや脆弱性の情報を社内でのインシデント対応に生かすだけでなく、JPCERTコーディネーションセンター(JPCERT/CC)を通じて社外にも共有するなど、日本全体のセキュリティ対策向上の底上げにも貢献してきた。こうしたセキュリティコミュニティーへの貢献が、JPCERT/CCからの感謝状や総務大臣奨励賞につながっている。
「最初は全然採用できなかった」 苦戦の船出
今や日本国内では屈指の大所帯となったRecruit-CSIRTだが、3年前に人を募集し始めたころは、「最初はもう全然採用できませんでした。採用するかどうかという以前に、応募に人が来ませんでした」と鴨志田氏は振り返る。
だが、鴨志田氏はそれを「困った、困った」で終わらせなかった。採用業務を担当している松尾奈美氏と議論を重ね、どうすればセキュリティエンジニアにとって魅力を感じてもらえる職場になるかを検討した。
「一般的な求人の多くが、“会社そのもの”をアピールポイントにしており、弊社も最初は『リクルートでセキュリティの仕事をしてみませんか?』という形で応募したのですが、全く人が来ません。そこで“会社推し”をやめ、Recruit-CSIRTというセキュリティ組織をアピールする形に切り替えました。ビジョンに共感してもらいつつ、『技術力を活用できる』と宣伝したわけです」(松尾氏)。
組織内の特定の部署のビジョンを打ち出す形の求人は非常に珍しい。そこで掲げたビジョンは「3年後に日本一のCSIRTを実現する」こと。そして、「セキュリティエンジニアが幸せに働ける職場を目指す」というものだった。もちろん、幸せの定義は人によって異なるが、ユーザー企業におけるセキュリティエンジニアの幸せとは、「成長と活躍」だと鴨志田氏は考えている。
ユーザー企業への転職前は、セキュリティベンダーで働いていたという鴨志田氏。当時を振り返ると、上から降りてくる売り上げの目標に追われることもあり、いつも顧客にとって本当に最適な解を提供できていたとは、残念ながら言い難かったと振り返る。「現状に違和感を覚え、セキュリティのプロフェッショナルとして、誇りを持って正しいことをやりたいと考えるようになり、ユーザー企業に転職しました」(鴨志田氏)
現在は、インシデント対応や脆弱性検査といった活動をRecruit-CSIRTで展開する中で、現場のエンジニアから感謝され、「幸せ」を感じるシーンもあるという。自身のスキルをストレートに事業に役立てられるユーザー企業でこそ、セキュリティエンジニアは幸せになれる――というのが同氏の持論だ。
関連記事
- 脆弱性発見のプロ集団ーーリクルート「レッドチーム」の仕事とは?
インシデントを未然に防ぐために、社内のセキュリティリスクを洗い出す「レッドチーム」。日本でいち早く“自前”のレッドチームを立ち上げたリクルートテクノロジーズに、そのミッションと日々の活動を聞いた。 - “役員も巻き込んで”危機意識を共有 ジャパンネット銀行の“脅威を自分ごと化させる”CSIRT
サイバーセキュリティに関するさまざまな取り組みで知られるジャパンネット銀行。2013年に立ち上げた「JNB-CSIRT」は、役員も訓練に巻き込んで危機意識を共有するなど、サイバー攻撃を“自分ごと化”する活動が特長だ。 - アクサ生命のCSIRT、“本気の”サイバー演習で見えた課題
ITmedia エンタープライズ主催のセキュリティセミナーで、アクサ生命のCISOが登場し、CSIRTとサイバーインシデントレスポンスの取り組みを紹介した。同社では情報漏えいなどのシナリオを想定した“本気の”演習を毎年行っているという。 - インシデント対応の達人が語ったCSIRTブームに沸く日本企業への至言
セキュリティインシデントへ組織的に対応すべくCSIRT構築に取り組む企業が増えているが、その道のりは平たんではないようだ。JPCERT/CC、日本シーサート協議会、ANAグループ、ラックのエキスパートによる議論が行われた。 - CSIRTの設置よりも、やるべきことがありませんか?
企業の情報セキュリティを守る存在として注目を浴びる組織、CSIRT。最近その設置について相談を受けるケースが増えているが、そもそもCSIRT設置を検討する前に、社内でやっておくべきセキュリティ対策がある。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは
本連載では、ランサムウェアを含む「マルウェア感染」という、さまざまな企業が頭を悩ませる問題について、リクルートグループのコンピュータインシデント対応チーム「Recruit-CSIRT」の発想と技術をお伝えする。今回は、代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する。
Copyright © ITmedia, Inc. All Rights Reserved.