設立当初は数組織から始まった日本シーサート協議会も一昨年には 10 周年を迎え、現在は320を超える組織が所属するコミュニティに成長しました。この10数年で国内外を問わず多くの組織でCSIRTが組織されて運用されていますが、CSIRTは千差万別でそれぞれの組織で目的や運営方法が異なります。
リクルートグループでは2015年4月にCSIRTを設立し、もうすぐ5年目を迎えようとしています。ある程度の形に落ち着きながら、これからも成長するCSIRTの一例として、これまでの取り組みや現状について紹介します。
設立当初からのチーム方針は信頼と感謝
Recruit-CSIRTは2018年10月にセキュリティ組織の改編を行い、CSIRTを含むセキュリティ組織全体が永続的な成長を続ける組織となるために、以前お伝えした課題の解決などに向けて新しいフェーズを迎えています。そのような中でチーム構成は適時最適化を行っており、現在のRecruit-CSIRTは、リクルートおよびリクルートテクノロジーズによって構成される以下のような体制で、200以上のサービス、および約5万台のエンドポイントで発生するインシデント対応を行っています。
具体的には、SOCが異常検知や一次対応を担い、事業への影響が大きくかつ重要度が高いと判断した場合は、IRTを中心としたCSIRTメンバーがインシデントレスポンスを行う体制となっています。 また、インシデントマネジメント領域ではSEGが未然防止や再発防止を担い、SMGが平時からグループ各社と連携し、迅速な意思決定や支援を担っています。
設立当初は数名だったメンバーも、現在では20名ほどの体制まで成長しました。今でこそグループ内でも認知され、インシデント対応時に相談される存在となったCSIRTですが、設立当初はやはり認知度は低く、セキュリティ組織というだけで敬遠されることもありました。そのような背景もあって、Recruit-CSIRTは設立当初から変わることなく「信頼と感謝」を大切にするコトとして掲げて活動をしています。
特に設立当初は、ちょっとした問題でも積極的に現場に入って一緒に調査をするように心がけ、現在も「顔の見えるCSIRT」「伴走しながら一緒に正しい道を模索するCSIRT」であることを大切にしています。そのほか、CSIRTのステッカーを作ってインシデント支援の際に配布したり、チームパーカーを作ったりして、対応時に誰がCSIRT メンバーなのかをわかりやすくするなどの工夫を続けています。
このような草の根活動もあってか、今ではグループ内での認知度も上がり、些細なことでも相談をしてもらえる「接しやすいセキュリティ組織」として信頼されているのではないかと考えています。また、最近では中途ばかりだったチームに新人を迎えたり、「社内留学」制度を通じて他チームの方にセキュリティ関連業務を体験してもらったりといった活動も行い、これまで以上に身近なセキュリティ組織として、永続的に成長ができるように心がけています。
インシデント対応時の心がけ
コストや利便性とのバランスを踏まえて考えると、完璧で安全なセキュリティの実現は困難であり、事故や事件は何かしら必ず起きるというものです。事故が起きた時はCSIRTが一丸となってインシデント対応をリードします。
当社におけるインシデント対応はインシデントの検知から対応、再発防止までのすべてのプロセスを内製化しています。
インシデント対応を内製化するには2つの理由があります。まずはスピードの観点です。有事の際は迅速にメンバーを確保し、即座に対応にアサインすることが可能となります。また、品質の面でも優れていると考えています。インシデント対応をベンダーに依頼する際に、こちらのシステムの構成などの前提情報を説明する必要がありますが、緊急のインシデント対応中にすべてを説明しきることは困難です。また、インシデントによってはすべての情報がそろわないことが頻繁にあります。そのような状況で、CSIRTはさまざまな仮説から結論を導き、対応を判断するのです。
内製CSIRTのほうが普段の状況を押さえており、システムの情報、自社の方針や状況を理解できているため、状況に合わせた対応判断を正確に行うことが可能となります。
そして、IRTのインシデント対応の心得は「はやい、やすい、うまい」の3つと定義しています。以下、この3つを実現する方法を紹介しましょう。