リクルートテクノロジーズは、サイバーセキュリティ対策として、2014年秋より「RSA Security Analytics(RSA SA)」を導入している。巧妙化するサイバー攻撃と対峙(たいじ)するためには、セキュリティ脅威を可視化し、「どこで」「何が起きているのか」を知る必要があるとの判断からだ。
7月19日にシンガポールで開催された「RSA APJ SUMMIT 2016」には、同社でITソリューション統括部サイバーセキュリティコンサルティング部 セキュリティアーキテクチャーグループマネージャを務める松原由美子氏が、事例紹介セッションに登壇した。終了後、日本メディアの取材に応じ、RSA SA導入の狙いと、その効果などを説明した。
リクルートテクノロジーズでITソリューション統括部サイバーセキュリティコンサルティング部 セキュリティアーキテクチャーグループマネージャを務める松原由美子氏
リクルートテクノロジーズは、リクルートグループ全体のITインフラの運用を担っている会社である。松原氏が所属するサイバーセキュリティコンサルティング部は、ITのスペシャリストとして、グループ全体のセキュリティ対策を専門に担当している。同社では、グループ共通の情報セキュリティ基盤を強化するプロジェクトを進めていた。その一環として導入したのが、RSA SAであったという。
RSA SAは、各種ログとネットワークパケットをリアルタイムで収集し、相関分析することで攻撃を検知するSIEM(Security Information and Event Management/セキュリティ情報イベント管理)である。松原氏はRSA SA導入の狙いについて、「セキュリティ脅威の可視化」を挙げる。
「それまでのSIEMでは、異常を検知するとセンサーでアラートを上げていた。検知後にマルウェアを分析すれば、ある程度の攻撃内容は理解できる。しかし、『何が発生したのか』『なぜ発生したのか』までは分からない。それを調べる1つの手段として、可視化を進めたいと考えた」(松原氏)
マルウェア分析は、「そのマルウェアがどういう行動をするか」を解析し、対策を講じる。一方、通信(パケットの流れ)を可視化することで、「そのマルウェアがどこから“落ちて”きたのか」「そのマルウェアが何をしようとしているのか」さらに、「そのマルウェアによってどのようなインシデントが引き起こされる可能性があるのか」といった予兆を把握できる。
リクルートでは、RSA SAを社内だけでなく、社外のシステムにも導入している。同社は、リクナビ、ゼクシィ、じゃらんといった200超のウェブサイトや、約350モバイルアプリを運用している。こうしたウェブサイトに対しても、脆弱性を試す攻撃は続く。もちろん、アプリ側に脆弱性がなければ問題はないが、脆弱性は日々発生する。今日は対応十分でも、明日には脆弱性が発生するかもしれない。
松原氏は、「RSA SAによるネットワークパケットの収集/分析で、『どこから』『どのような攻撃があるのか』を把握できるようになった。実際、外部の改ざんされたサイト(マルウェア配布サイト)を特定することも、1カ月に数回はある」と説明する。