ガートナー ジャパン主催の「ガートナー セキュリティ&リスク・マネジメントサミット2019」が8月5~7日に開催された。ゲスト基調講演にリクルートテクノロジーズの鴨志田昭輝氏が登壇、「新たな時代に生き残るセキュリティ~リクルートにおける取り組みを振り返って~」と題し、リクルートにおけるCSIRT(インシデント対応チーム)の構築について振り返った。
リクルートテクノロジーズ ITソリューション本部 サイバーセキュリティ部専門役員の鴨志田昭輝氏
鴨志田氏がリクルートテクノロジーズに入社したのは2014年の暮れのこと。全くのゼロの状態から3年でCSIRT(Computer Security Incident Response Team)を作った。鴨志田氏が入社した当時はセキュリティエンジニアがほとんどおらず、“ひとりCSIRT”から始めた。2015年4月からの1年間は、CSIRT活動に並行して人材の採用に力を入れた。
社内で人材を募集したが、最初はなかなか採用が進まなかった。この状況を打開するため鴨志田氏は、CSIRTチームのMVV(ミッション、ビジョン、バリュー)を定め、CSIRTを内製化する方針を社内で発表した。これを受けて続々とメンバーが集まった。「ガバナンス(統治)はやらず、現場のユーザーを支援する。楽しみながらCSIRT業務にあたる」(鴨志田氏)。こうした組織を作った。
ガバナンスはしない、現場を支援するプロであれ
鴨志田氏は、インシデントレスポンスを徹底的に内製化することを大切にした。第1の理由として、外注すると対応でのスピードと品質が落ちる。外注の場合、有事の際にメンバーを即座に確保できない恐れがある。品質においても、ログがそろわないと対応できない。内製なら、ログがなくてもある程度は状況を判断できる。
CSIRTの設立にあたっては、どのような組織を作りたいかを明確に定めた。鴨志田氏は以前、ベンダー企業に在籍しており、「お金を稼ぐこと」を第一に求められてきた。この経験から「お金を稼ぐことよりも、セキュリティの専門家が楽しく働ける環境を作りたい」という考えを強く持った。だから、セキュリティの仕事が好きな人を中心に採用した。「楽しみながらCSIRT業務をやりたかった」(鴨志田氏)
セキュリティの施策やルールを現場に押し付けるのではなく、プロのエンジニアとして現場を支えたかった。セキュリティのエンジニアで構成し、各社を技術的に支援する。ガバナンスはしないと決めていた。何かセキュリティ上の問題が発生しても、CSIRTに連絡するかどうかは現場の自由とした。ただし、連絡が来たら助ける。「ガバナンスではなく、現場と信頼関係を築きたかった」(鴨志田氏)
セキュリティエンジニアの幸せを重視することをCSIRTのミッションとした。「専門家が来て幸せになる組織にしたかった。幸せの定義は、活躍と成長。活躍とは、現場から感謝されたり、経営から信頼されたりすること。成長とは、専門性を高め続けることだ」(鴨志田氏)
