ユーザー企業内製CSIRTにおける対応のポイント

1. ユーザー企業内製CSIRTにおける対応のポイント猪野裕司グループマネジャーインシデントレスポンスグループサイバーセキュリティエンジニアリング部株式会社リクルートテクノロジーズ

2. (C) Recruit Technologies Co.,Ltd. All rights reserved. 自己紹介 2 猪野裕司（いのゆうじ）株式会社リクルートテクノロジーズ大手SI子会社にてセールス、製品サポートなどの傍ら、セキュリティに興味を持ち始め、CTFに参加、勉強会の開催などを実施。 2011年に海外駐在をきっかけに別のキャリアパスを歩み始めたはずが、帰国をきっかけにセキュリティ界隈に出戻り。やっぱり、セキュリティが好き！ 2016年2月リクルートテクノロジーズに入社、10月マネージャー着任。 Hardening Value Chain 優勝チームリーダー、ハンドル名はyumano。共著「実践CSIRT現場で使えるセキュリティ事故対応」氏名所属略歴

8. (C) Recruit Technologies Co.,Ltd. All rights reserved. 8 Recruitについて -構成- リクルートグループは複数の事業会社、機能会社から構成。リクルートホールディングスリクルートキャリアリクルート住まいカンパニーリクルートライフスタイルリクルートジョブズリクルートスタッフィングリクルートマーケティングパートナーズスタッフサービス・ホールディングスリクルートマネジメントソリューションズリクルートテクノロジーズリクルートアドミニストレーションリクルートコミュニケーションズ主要な事業会社主要な機能会社ビッグデータ機能部門 UI設計/SEO部門テクノロジーR&D部門事業・社内IT推進部門インフラ部門大規模プロジェクト推進部門

10. (C) Recruit Technologies Co.,Ltd. All rights reserved. 2. Recruit-CSIRTのご紹介 –構成- 10 Recruit-CSIRTは2015年4月に設立された組織。リクルートホールディングス(RHD)、リクルートテクノロジーズ(RTC)、リクルートアドミニストレーション(RAD)により構成。外部セキュリティ組織内部統制担当者/ システムセキュリティリーダ A社 B社 C社・・・ RHD＋RTC＋RAD グループ会社 12社

11. (C) Recruit Technologies Co.,Ltd. All rights reserved. 2. Recruit-CSIRTのご紹介 –RTC内組織- 11 SOC QMG IRG CSIRT 技術部隊 IRG Incident Response Group QMG Quality Management Group SOC Security Operation Center サイバー攻撃への対応をリード・事故発生時の対応支援・外部関連機関との連携・早期警戒(脅威情報の収集および対策検討) ・Recruit-CSIRTの運営、各社展開被害最小化未然防止早期検知サイバー攻撃を早期検知し、被害拡大を防止・グループ共通インフラのセキュリティ監視・未知マルウェアの監視、解析、一次対応・被害発生時のフォレンジック (ネットワークおよびPC) ・内部不正のモニタリング平時からセキュリティを向上、被害を未然に防止・脆弱性診断、開発者教育などのセキュア開発支援・セキュリティパッチの情報収集および各社展開・システム運用の簡易監査

12. (C) Recruit Technologies Co.,Ltd. All rights reserved. 2013.8 RTC内CSIRT設立 2014.6 NCA加盟 2014.12 鴨志田入社 2015.4 Recruit-CSIRTとして再出発 2015.4 マルウェアアナリスト入社 2015.4 外部コンサル着任 2016.4 フォレンジックアナリスト着任 2015.9 マルウェアアナリスト入社 2016.2 インシデントハンドラ入社 2016.3 アプリセキュリティエンジニア入社準備期間ひとり CSIRT ふたり CSIRT みんなでCSIRT (個人プレー中心) 2016.6 外部ホワイトハッカー着任 2. Recruit-CSIRTのご紹介 –IRG沿革- 12 IRG Incident Response Group スタート時点はひとりCSIRTから始まったが、中途採用を中心に優秀なメンバーを集めながら1年強で高度な技術を持つグループCSIRTを構築 2016.6 FIRST加盟 2016.10 ホワイトハッカー着任高度組織化 (チームプレー)

13. (C) Recruit Technologies Co.,Ltd. All rights reserved. 2 6 3 7 4 85 1 2. Recruit-CSIRTのご紹介 –IRGメンバ- 13 IRG Incident Response Group 組織マネージャ IRG工数 IRG工数マルウェアアナリスト IRG工数マルウェアアナリスト IRG工数フォレンジックアナリスト IRG工数ホワイトハッカー IRG工数外部コンサルタント IRG工数外部ホワイトハッカー IRG工数アプリセキュリティエンジニア

18. (C) Recruit Technologies Co.,Ltd. All rights reserved. 3. Recruit-CSIRTの構想 –あるべき姿 (育成)- 18 技術力を持つ人材の調達および育成により、 CSIRTを支える人材の高度化を図る。 CSIRT 経営各社 1 2 3 Step 2 モチベート Step 1 採用/育成 Step 3 技術力採用する育成する技術力の高いCSIRTであることをアピールすることで、高度な技術力を持つ人材を集めるセキュリティトレーニングの受講(費用は会社負担)や、CTFへの参加を推奨し、技術力を培う

19. (C) Recruit Technologies Co.,Ltd. All rights reserved. 3. Recruit-CSIRTの構想 –あるべき姿 (モチベート)- 19 メンバの技術力を理解・評価。更に、チーム/個々のプレゼンス向上・社会貢献の実感を促進。 CSIRT 経営各社 1 2 3 Step 2 モチベート Step 1 採用/育成 Step 3 技術力社内社外 1 2 3 1 メンバを理解・評価 • いち専門家として意見を尊重 • メンバの「スゴさ」を理解し、評価 2 社内からの評価 • 社内にて貢献度/技術力の高さをアピールし、高評価を獲得 3 社外アピール • 積極的にメディア寄稿やセミナー講演の機会を提供

20. (C) Recruit Technologies Co.,Ltd. All rights reserved. 3. Recruit-CSIRTの構想 –あるべき姿 (技術力)- 20 インシデント対応の全プロセスを自社内で実施。 CSIRT 経営各社 1 2 3 再発防止対応検知初動対応 • 顧客問い合わせ • 従業員による報告 • システム/監視 • インシデントの共有 • 教育 • 検知内容の精査 • 暫定対応 • 影響箇所の特定 • 証拠保全 • ログ収集 • 原因・被害調査 • 恒久対策 • バックアップ復元全プロセスを自社内にて対応インシデント対応プロセス(例) Step 2 モチベート Step 1 採用/育成 Step 3 技術力

22. (C) Recruit Technologies Co.,Ltd. All rights reserved. 2013.8 RTC内CSIRT設立 2014.6 NCA加盟 2014.12 鴨志田入社 2015.4 Recruit-CSIRTとして再出発 2015.4 マルウェアアナリスト入社 2015.4 外部コンサル着任 2016.4 フォレンジックアナリスト着任 2015.9 マルウェアアナリスト入社 2016.2 インシデントハンドラ入社 2016.3 アプリセキュリティエンジニア入社準備期間ひとり CSIRT ふたり CSIRT みんなでCSIRT (個人プレー中心) 2016.6 外部ホワイトハッカー着任 2. Recruit-CSIRTのご紹介 –IRG沿革- 22 IRG Incident Response Group スタート時(2015年4月)はひとりCSIRTから始まったが、中途採用を中心に優秀なメンバーを集めながら1年強で高度な技術を持つグループCSIRTを構築 2016.6 FIRST加盟 2016.10 ホワイトハッカー着任高度組織化 (チームプレー)

23. (C) Recruit Technologies Co.,Ltd. All rights reserved. 2013.8 RTC内CSIRT設立 2014.6 NCA加盟 2014.12 鴨志田入社 2015.4 Recruit-CSIRTとして再出発 2015.4 マルウェアアナリスト入社 2015.4 外部コンサル着任 2016.4 フォレンジックアナリスト着任 2015.9 マルウェアアナリスト入社 2016.2 インシデントハンドラ入社 2016.3 アプリセキュリティエンジニア入社準備期間ひとり CSIRT ふたり CSIRT みんなでCSIRT (個人プレー中心) 2016.6 外部ホワイトハッカー着任 2. Recruit-CSIRTのご紹介 –IRG沿革- 23 IRG Incident Response Group スタート時(2015年4月)はひとりCSIRTから始まったが、中途採用を中心に優秀なメンバーを集めながら1年強で高度な技術を持つグループCSIRTを構築 2016.6 FIRST加盟 2016.10 ホワイトハッカー着任高度組織化 (チームプレー) ここをお話しします

26. (C) Recruit Technologies Co.,Ltd. All rights reserved. 26 情報共有ができたが、チームでCSIRTには程遠かった・・・案件をアサインするとひとりでクローズまで持ち込んでいる →チーム感が存在しない原因：各自がスペシャリストであり、得意分野においては、ひとりで案件をクローズできていた。そこに甘えて、案件の種類ごとに担当を固定してしまった。４. 第2期改善活動問題点：エンジニアが業務を通じてスキルアップする機会を作り出すことができていない・・・

29. (C) Recruit Technologies Co.,Ltd. All rights reserved. ４. 第2期改善活動 • 改善後 – メンバー全員で初動の際に下記を議論し、対応方針を定める • インシデントハンドリングの目的、達成すべきゴール • 考えらる仮説の列挙 • 取りうるタスク(調査、報告など)の列挙 – ある程度方針が定まったらタスクをチーム全体で分担 29 問合せ受付方針設定アサイン・対応

31. (C) Recruit Technologies Co.,Ltd. All rights reserved. ４. 第2期改善活動ーうまいの実現 • 改善前改善後 31 ゴールゴールゴールゴールゴール各自がゴールを設定、熟練者と初心者で最終目的がブレることが熟練者の考え方が共有でき、チーム全体での成長が可能に！ゴールを間違えずに進むことができるように全員が議論に参加することで、ブレをなくし、最終目的(アウトプット、品質) を高いレベルで統一可能ゴールゴールゴールゴール

33. (C) Recruit Technologies Co.,Ltd. All rights reserved. ４. 第2期改善活動ーやすいの実現問題点： NWの分析機器のGUIが重く、レスポンスも遅いため、稼働がかかっていたが仕方ないとあきらめていた →本質的でない部分での時間の浪費 →インシデントが集中的に発生した時の対応が困難 →広い範囲での分析が現実的でなかった・・・ 33 気分はコンピュータの奴隷

34. (C) Recruit Technologies Co.,Ltd. All rights reserved. ４. 第2期改善活動ーやすいの実現分析機器のAPIを利用したアプリを開発 →ルーチンワークのオペレーション時間が1/15に →今まで分析が不可能だった膨大なパケットの深堀調査が可能に →内製したのでチーム内での修正、改良が可能 34 コンピュータを奴隷にしている気分同じ手作業は二度はやらない！

36. (C) Recruit Technologies Co.,Ltd. All rights reserved. ５．まとめ Recruit-CSIRTの高度組織化の道は道半ば・・・ • ユーザー企業CSIRTだから、エンジニアの「やってみたい」を「できる」へ、「やった方がいい」を「やらない理由はない」へ変えることができる環境を作れる • 自分たちの事だから、成果に直結する改善にフォーカス→うまい、やすい、はやいの実現 36