20人規模のCSIRTを持つリクルート、立ち上げ当初は「募集しても人が来なかった」?:人集めに成功する秘訣とは?(3/4 ページ)
セキュリティエンジニアの不足が叫ばれる中、インシデントレスポンスだけでなく、脆弱性検査やフォレンジックなど、さまざまな一芸を持つ人材を集め、自社を超えて、セキュリティコミュニティー全体にも貢献しているRecruit-CSIRT。しかし、立ち上げ当初は「募集をしても全く人が来なかった」という。
エンジニアが成長できる機会をどう作るか?
幸せを感じられる「活躍」とともに、もう1つ大切なのは、成長する機会と環境を提供すること。「セキュリティに限らず、エンジニアとして自らのスキルをどう伸ばせるかというポイントを示すと、自身の市場価値を高めることにつながり、魅力を感じてもらえるのではないかと考えています」(松尾氏)
従って、求人の際も「このポジションで、企業が求めるこの仕事をしてください」というようなアプローチではなく、応募してきたエンジニアが何をやりたいのかという「Will(意志)」を聞くことで、「ここならばスキルを伸ばしていけそうだ」とイメージしてもらえるように工夫している。
海外のカンファレンスや、SANSなどが実施するトレーニングへの参加も積極的に後押ししている。また、インシデント発生時など“火事場”にしっかり働けるよう、普段は残業や会議をなるべく減らしており、コミュニケーションも基本的にSlackで行っている(もっとも、それでできた時間を生かし、新たな脆弱性探しなどに取り組むメンバーも多いという)。
鴨志田氏はこうしたビジョンを明確にし、経営層の理解も得た上で、共感してくれるメンバーを時間をかけて集めていった。最初は、インシデントハンドリングから何から自分で行っていたため、しんどい時期もあったというが、短期的にではなく中長期的に取り組んだという。Recruit-CSIRT立ち上げから1年あまりを経て、猪野裕司氏、西村宗晃氏といった、社外にも知られるセキュリティエンジニアがメンバーに加わり始めたころから、採用活動も順調になった。
採用が軌道に乗るまでには、「ユーザー企業で目線の高いCSIRTを目指す」というビジョンを共有して、採用活動の中でしっかり発信してくれる人事の力と、セミナーでの講演や取材を支援し、ビジョンを言語化して外部に発信する手助けをしてくれた広報の力も大きかったという。
「『○人欲しいのでよろしく』と募集を依頼した後はお任せで、人材が採れなかったら採れないで『どうしてなんだ』『今はマーケットが厳しいんで無理なんですよ』と、採用と現場が断絶している企業は少なくありません。しかし、採用と現場がタッグを組んでプロジェクトを進めない限り、望む人材は採れないでしょう。採用する側としても自信を持って口説けませんし、入社後に『話が違う』ということになるのも企業としてはつらい。いかに一緒に考え、断絶を無くしていくかが大事だと思います」(松尾氏)
関連記事
- 脆弱性発見のプロ集団ーーリクルート「レッドチーム」の仕事とは?
インシデントを未然に防ぐために、社内のセキュリティリスクを洗い出す「レッドチーム」。日本でいち早く“自前”のレッドチームを立ち上げたリクルートテクノロジーズに、そのミッションと日々の活動を聞いた。 - “役員も巻き込んで”危機意識を共有 ジャパンネット銀行の“脅威を自分ごと化させる”CSIRT
サイバーセキュリティに関するさまざまな取り組みで知られるジャパンネット銀行。2013年に立ち上げた「JNB-CSIRT」は、役員も訓練に巻き込んで危機意識を共有するなど、サイバー攻撃を“自分ごと化”する活動が特長だ。 - アクサ生命のCSIRT、“本気の”サイバー演習で見えた課題
ITmedia エンタープライズ主催のセキュリティセミナーで、アクサ生命のCISOが登場し、CSIRTとサイバーインシデントレスポンスの取り組みを紹介した。同社では情報漏えいなどのシナリオを想定した“本気の”演習を毎年行っているという。 - インシデント対応の達人が語ったCSIRTブームに沸く日本企業への至言
セキュリティインシデントへ組織的に対応すべくCSIRT構築に取り組む企業が増えているが、その道のりは平たんではないようだ。JPCERT/CC、日本シーサート協議会、ANAグループ、ラックのエキスパートによる議論が行われた。 - CSIRTの設置よりも、やるべきことがありませんか?
企業の情報セキュリティを守る存在として注目を浴びる組織、CSIRT。最近その設置について相談を受けるケースが増えているが、そもそもCSIRT設置を検討する前に、社内でやっておくべきセキュリティ対策がある。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは
本連載では、ランサムウェアを含む「マルウェア感染」という、さまざまな企業が頭を悩ませる問題について、リクルートグループのコンピュータインシデント対応チーム「Recruit-CSIRT」の発想と技術をお伝えする。今回は、代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する。
Copyright © ITmedia, Inc. All Rights Reserved.