編集部からのお知らせ
解説:1st ? 2nd ? 3rd ? データ活用での選択
セキュリティの懸念高まる産業用制御機器
Gartner Summit

セキュリティエンジニアの幸せを重視する--リクルートのCSIRT構築

日川佳三

2019-08-28 06:00

 ガートナー ジャパン主催の「ガートナー セキュリティ&リスク・マネジメントサミット2019」が8月5~7日に開催された。ゲスト基調講演にリクルートテクノロジーズの鴨志田昭輝氏が登壇、「新たな時代に生き残るセキュリティ~リクルートにおける取り組みを振り返って~」と題し、リクルートにおけるCSIRT(インシデント対応チーム)の構築について振り返った。

リクルートテクノロジーズ ITソリューション本部 サイバーセキュリティ部専門役員の鴨志田昭輝氏
リクルートテクノロジーズ ITソリューション本部 サイバーセキュリティ部専門役員の鴨志田昭輝氏

 鴨志田氏がリクルートテクノロジーズに入社したのは2014年の暮れのこと。全くのゼロの状態から3年でCSIRT(Computer Security Incident Response Team)を作った。鴨志田氏が入社した当時はセキュリティエンジニアがほとんどおらず、“ひとりCSIRT”から始めた。2015年4月からの1年間は、CSIRT活動に並行して人材の採用に力を入れた。

 社内で人材を募集したが、最初はなかなか採用が進まなかった。この状況を打開するため鴨志田氏は、CSIRTチームのMVV(ミッション、ビジョン、バリュー)を定め、CSIRTを内製化する方針を社内で発表した。これを受けて続々とメンバーが集まった。「ガバナンス(統治)はやらず、現場のユーザーを支援する。楽しみながらCSIRT業務にあたる」(鴨志田氏)。こうした組織を作った。

ガバナンスはしない、現場を支援するプロであれ

 鴨志田氏は、インシデントレスポンスを徹底的に内製化することを大切にした。第1の理由として、外注すると対応でのスピードと品質が落ちる。外注の場合、有事の際にメンバーを即座に確保できない恐れがある。品質においても、ログがそろわないと対応できない。内製なら、ログがなくてもある程度は状況を判断できる。

 CSIRTの設立にあたっては、どのような組織を作りたいかを明確に定めた。鴨志田氏は以前、ベンダー企業に在籍しており、「お金を稼ぐこと」を第一に求められてきた。この経験から「お金を稼ぐことよりも、セキュリティの専門家が楽しく働ける環境を作りたい」という考えを強く持った。だから、セキュリティの仕事が好きな人を中心に採用した。「楽しみながらCSIRT業務をやりたかった」(鴨志田氏)

 セキュリティの施策やルールを現場に押し付けるのではなく、プロのエンジニアとして現場を支えたかった。セキュリティのエンジニアで構成し、各社を技術的に支援する。ガバナンスはしないと決めていた。何かセキュリティ上の問題が発生しても、CSIRTに連絡するかどうかは現場の自由とした。ただし、連絡が来たら助ける。「ガバナンスではなく、現場と信頼関係を築きたかった」(鴨志田氏)

 セキュリティエンジニアの幸せを重視することをCSIRTのミッションとした。「専門家が来て幸せになる組織にしたかった。幸せの定義は、活躍と成長。活躍とは、現場から感謝されたり、経営から信頼されたりすること。成長とは、専門性を高め続けることだ」(鴨志田氏)

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]