Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

ユーザー企業内製CSIRTにおける対応のポイント

1,228 views

Published on

2016/11/30 Internet Week 2016での、猪野の講演資料になります

Published in: Technology
  • Be the first to comment

ユーザー企業内製CSIRTにおける対応のポイント

  1. 1. ユーザー企業内製CSIRTにおける 対応のポイント 猪野 裕司 グループマネジャー インシデントレスポンスグループ サイバーセキュリティエンジニアリング部 株式会社リクルートテクノロジーズ
  2. 2. (C) Recruit Technologies Co.,Ltd. All rights reserved. 自己紹介 2 猪野 裕司(いの ゆうじ) 株式会社リクルートテクノロジーズ 大手SI子会社にてセールス、製品サポートなどの傍ら、セキュリティに 興味を持ち始め、CTFに参加、勉強会の開催などを実施。 2011年に海外駐在をきっかけに別のキャリアパスを歩み始めたはずが、 帰国をきっかけにセキュリティ界隈に出戻り。やっぱり、セキュリティが好き! 2016年2月リクルートテクノロジーズに入社、10月マネージャー着任。 Hardening Value Chain 優勝チームリーダー、ハンドル名はyumano。 共著「実践CSIRT現場で使えるセキュリティ事故対応」 氏名 所属 略歴
  3. 3. (C) Recruit Technologies Co.,Ltd. All rights reserved. 目次 3 2. Recruit-CSIRTのご紹介 5. まとめ 3. Recruit-CSIRTの構想 1. Recruitについて 4. Recruit-CSIRTにおける改善活動
  4. 4. (C) Recruit Technologies Co.,Ltd. All rights reserved. 目次 4 1. Recruitについて
  5. 5. (C) Recruit Technologies Co.,Ltd. All rights reserved. 5 Recruitについて -ビジネスモデル- 世界中の生活者と産業界に「まだ、ここにない、出会い。」を提供。 マッチング カスタマー (一般ユーザー) クライアント (サービス提供企業)
  6. 6. (C) Recruit Technologies Co.,Ltd. All rights reserved. 6 Recruitについて -ビジネスモデル- 選択・意思決定 を支援する情報サービスの提供。
  7. 7. (C) Recruit Technologies Co.,Ltd. All rights reserved. 7 Recruitについて -ソリューションの変化- 紙からネット への展開が促進。 ITの進化とともにソリューションの進化も求められる。 PC 紙 スマートデバイス
  8. 8. (C) Recruit Technologies Co.,Ltd. All rights reserved. 8 Recruitについて -構成- リクルートグループは複数の事業会社、機能会社から構成。 リクルートホールディングス リクルートキャリア リクルート住まいカンパニー リクルートライフスタイル リクルートジョブズ リクルートスタッフィング リクルートマーケティングパートナーズ スタッフサービス・ホールディングス リクルートマネジメントソリューションズ リクルートテクノロジーズ リクルートアドミニストレーション リクルートコミュニケーションズ 主要な事業会社 主要な機能会社 ビッグデータ機能部門 UI設計/SEO部門 テクノロジーR&D部門 事業・社内IT推進部門 インフラ部門 大規模プロジェクト推進部門
  9. 9. (C) Recruit Technologies Co.,Ltd. All rights reserved. 目次 9 2. Recruit-CSIRTのご紹介 1. Recruitについて
  10. 10. (C) Recruit Technologies Co.,Ltd. All rights reserved. 2. Recruit-CSIRTのご紹介 –構成- 10 Recruit-CSIRTは2015年4月に設立された組織。 リクルートホールディングス(RHD)、リクルートテクノロジーズ(RTC)、リクルート アドミニストレーション(RAD)により構成。 外部セキュリティ組織 内部統制担当者/ システムセキュリティリーダ A社 B社 C社 ・・・ RHD+RTC+RAD グループ会社 12社
  11. 11. (C) Recruit Technologies Co.,Ltd. All rights reserved. 2. Recruit-CSIRTのご紹介 –RTC内組織- 11 SOC QMG IRG CSIRT 技術部隊 IRG Incident Response Group QMG Quality Management Group SOC Security Operation Center サイバー攻撃への対応をリード ・事故発生時の対応支援 ・外部関連機関との連携 ・早期警戒(脅威情報の収集および対策検討) ・Recruit-CSIRTの運営、各社展開 被害最小化 未然防止早期検知 サイバー攻撃を早期検知し、被害拡大を防止 ・グループ共通インフラのセキュリティ監視 ・未知マルウェアの監視、解析、一次対応 ・被害発生時のフォレンジック (ネットワークおよびPC) ・内部不正のモニタリング 平時からセキュリティを向上、被害を未然に防止 ・脆弱性診断、開発者教育などのセキュア開発支援 ・セキュリティパッチの情報収集および各社展開 ・システム運用の簡易監査
  12. 12. (C) Recruit Technologies Co.,Ltd. All rights reserved. 2013.8 RTC内CSIRT設立 2014.6 NCA加盟 2014.12 鴨志田入社 2015.4 Recruit-CSIRTとして再出発 2015.4 マルウェアアナリスト入社 2015.4 外部コンサル着任 2016.4 フォレンジックアナリスト着任 2015.9 マルウェアアナリスト入社 2016.2 インシデントハンドラ入社 2016.3 アプリセキュリティエンジニア入社 準備期間 ひとり CSIRT ふたり CSIRT みんなでCSIRT (個人プレー中心) 2016.6 外部ホワイトハッカー着任 2. Recruit-CSIRTのご紹介 –IRG沿革- 12 IRG Incident Response Group スタート時点はひとりCSIRTから始まったが、中途採用を中心に優秀なメンバ ーを集めながら1年強で高度な技術を持つグループCSIRTを構築 2016.6 FIRST加盟 2016.10 ホワイトハッカー着任 高度組織化 (チームプレー)
  13. 13. (C) Recruit Technologies Co.,Ltd. All rights reserved. 2 6 3 7 4 85 1 2. Recruit-CSIRTのご紹介 –IRGメンバ- 13 IRG Incident Response Group 組織マネージャ IRG工数 IRG工数 マルウェア アナリスト IRG工数 マルウェア アナリスト IRG工数 フォレンジック アナリスト IRG工数 ホワイトハッカー IRG工数 外部 コンサルタント IRG工数 外部 ホワイトハッカー IRG工数 アプリセキュリティ エンジニア
  14. 14. (C) Recruit Technologies Co.,Ltd. All rights reserved. 目次 14 2. Recruit-CSIRTのご紹介 3. Recruit-CSIRTの構想 1. Recruitについて
  15. 15. (C) Recruit Technologies Co.,Ltd. All rights reserved. 3. Recruit-CSIRTの構想 –全体像- 15 どのようなCSIRTでありたいかを重視。 目標は、各社から感謝、経営から信頼される技術力の高いCSIRTの構築。 CSIRT 経営各社 1 2 3 from to fromto 感謝 信頼 技術力
  16. 16. (C) Recruit Technologies Co.,Ltd. All rights reserved. 3. Recruit-CSIRTの構想 –全体像- 16 どのようなCSIRTでありたいかを重視。 目標は、各社から感謝、経営から信頼される技術力の高いCSIRTの構築。 CSIRT 経営各社 1 2 3 from to fromto 感謝 信頼 技術力
  17. 17. (C) Recruit Technologies Co.,Ltd. All rights reserved. 3. Recruit-CSIRTの構想 –あるべき姿- 17 CSIRT 技術力 経営各社 1 2 3 技術力のある組織の構築は、3Stepで推進。 Step 2 モチベート Step 1 採用/育成 Step 3 技術力
  18. 18. (C) Recruit Technologies Co.,Ltd. All rights reserved. 3. Recruit-CSIRTの構想 –あるべき姿 (育成)- 18 技術力を持つ人材の調達および育成により、 CSIRTを支える人材の高度化を図る。 CSIRT 経営各社 1 2 3 Step 2 モチベート Step 1 採用/育成 Step 3 技術力 採用する 育成する 技術力の高いCSIRTであることを アピールすることで、高度な技術力を 持つ人材を集める セキュリティトレーニングの受講(費用は 会社負担)や、CTFへの参加を推奨し、 技術力を培う
  19. 19. (C) Recruit Technologies Co.,Ltd. All rights reserved. 3. Recruit-CSIRTの構想 –あるべき姿 (モチベート)- 19 メンバの技術力を理解・評価。 更に、チーム/個々のプレゼンス向上・社会貢献の実感を促進。 CSIRT 経営各社 1 2 3 Step 2 モチベート Step 1 採用/育成 Step 3 技術力 社内 社外 1 2 3 1 メンバを理解・評価 • いち専門家として意見を尊重 • メンバの「スゴさ」を理解し、評価 2 社内からの評価 • 社内にて貢献度/技術力の高さを アピールし、高評価を獲得 3 社外アピール • 積極的にメディア寄稿やセミナー講演の 機会を提供
  20. 20. (C) Recruit Technologies Co.,Ltd. All rights reserved. 3. Recruit-CSIRTの構想 –あるべき姿 (技術力)- 20 インシデント対応の全プロセスを自社内で実施。 CSIRT 経営各社 1 2 3 再発防止対応検知 初動対応 • 顧客問い合わせ • 従業員による報告 • システム/監視 • インシデントの共有 • 教育 • 検知内容の精査 • 暫定対応 • 影響箇所の特定 • 証拠保全 • ログ収集 • 原因・被害調査 • 恒久対策 • バックアップ復元 全プロセスを自社内にて対応 インシデント対応プロセス(例) Step 2 モチベート Step 1 採用/育成 Step 3 技術力
  21. 21. (C) Recruit Technologies Co.,Ltd. All rights reserved. 目次 21 2. Recruit-CSIRTのご紹介 3. Recruit-CSIRTの構想 1. Recruitについて 4. Recruit-CSIRTにおける改善活動
  22. 22. (C) Recruit Technologies Co.,Ltd. All rights reserved. 2013.8 RTC内CSIRT設立 2014.6 NCA加盟 2014.12 鴨志田入社 2015.4 Recruit-CSIRTとして再出発 2015.4 マルウェアアナリスト入社 2015.4 外部コンサル着任 2016.4 フォレンジックアナリスト着任 2015.9 マルウェアアナリスト入社 2016.2 インシデントハンドラ入社 2016.3 アプリセキュリティエンジニア入社 準備期間 ひとり CSIRT ふたり CSIRT みんなでCSIRT (個人プレー中心) 2016.6 外部ホワイトハッカー着任 2. Recruit-CSIRTのご紹介 –IRG沿革- 22 IRG Incident Response Group スタート時(2015年4月)はひとりCSIRTから始まったが、中途採用を中心に優秀 なメンバーを集めながら1年強で高度な技術を持つグループCSIRTを構築 2016.6 FIRST加盟 2016.10 ホワイトハッカー着任 高度組織化 (チームプレー)
  23. 23. (C) Recruit Technologies Co.,Ltd. All rights reserved. 2013.8 RTC内CSIRT設立 2014.6 NCA加盟 2014.12 鴨志田入社 2015.4 Recruit-CSIRTとして再出発 2015.4 マルウェアアナリスト入社 2015.4 外部コンサル着任 2016.4 フォレンジックアナリスト着任 2015.9 マルウェアアナリスト入社 2016.2 インシデントハンドラ入社 2016.3 アプリセキュリティエンジニア入社 準備期間 ひとり CSIRT ふたり CSIRT みんなでCSIRT (個人プレー中心) 2016.6 外部ホワイトハッカー着任 2. Recruit-CSIRTのご紹介 –IRG沿革- 23 IRG Incident Response Group スタート時(2015年4月)はひとりCSIRTから始まったが、中途採用を中心に優秀 なメンバーを集めながら1年強で高度な技術を持つグループCSIRTを構築 2016.6 FIRST加盟 2016.10 ホワイトハッカー着任 高度組織化 (チームプレー) ここを お話しします
  24. 24. (C) Recruit Technologies Co.,Ltd. All rights reserved. 24 急激な組織の拡大により、案件の管理、ノウハウの蓄積の仕組みがないまま 走ってきた結果・・・ →過去の情報はメールとともに消え去り →また、メールの山に埋もれて効率が落ち →うやむやになっている案件があるかもわからず仕舞い →インシデントの傾向も調べるのが困難 4. 第1期 改善活動
  25. 25. (C) Recruit Technologies Co.,Ltd. All rights reserved. 25 案件管理システムを導入!! 各自のインシデントの状況の見える化を実施、グループ会社へも共有可能に! 技術者の対応内容、ノウハウ、改善ポイントを蓄積が可能に 4. 第1期 改善活動
  26. 26. (C) Recruit Technologies Co.,Ltd. All rights reserved. 26 情報共有ができたが、チームでCSIRTには程遠かった・・・ 案件をアサインするとひとりでクローズまで持ち込んでいる →チーム感が存在しない 原因:各自がスペシャリストであり、得意分野においては、ひとりで案件をクロ ーズできていた。そこに甘えて、案件の種類ごとに担当を固定してしまった。 4. 第2期 改善活動 問題点: エンジニアが業務を通じてスキルアップする 機会を作り出すことができていない・・・
  27. 27. (C) Recruit Technologies Co.,Ltd. All rights reserved. 27 Recruit-CSIRT内であるべき姿を議論 チーム内で行き着いた答えが うまい はやい やすい 4. 第2期 改善活動
  28. 28. (C) Recruit Technologies Co.,Ltd. All rights reserved. 4. 第2期 改善活動 • インシデントハンドリングプロセスの改善 • 改善前 28 問合せ 受付 対応 管理票 更新(日次) クローズアサイン こんな感じに見えても 心理的にこんな感じ タスク
  29. 29. (C) Recruit Technologies Co.,Ltd. All rights reserved. 4. 第2期 改善活動 • 改善後 – メンバー全員で初動の際に下記を議論し、対応方針 を定める • インシデントハンドリングの目的、達成すべきゴール • 考えらる仮説の列挙 • 取りうるタスク(調査、報告など)の列挙 – ある程度方針が定まったらタスクをチーム全体で分担 29 問合せ 受付 方針 設定 アサイン・対応
  30. 30. (C) Recruit Technologies Co.,Ltd. All rights reserved. 4. 第2期 改善活動 ーはやいの実現 • 改善前 – シングルスレッド • 改善後 – マルチスレッド チームで取り組むことで対応時間が短縮 30
  31. 31. (C) Recruit Technologies Co.,Ltd. All rights reserved. 4. 第2期 改善活動 ーうまいの実現 • 改善前 改善後 31 ゴール ゴール ゴール ゴール ゴール 各自がゴールを設定、熟練者と 初心者で最終目的がブレることが 熟練者の考え方が共有でき、チーム全体での成長が可能に! ゴールを間違えずに進むことができるように 全員が議論に参加することで、ブレを なくし、最終目的(アウトプット、品質) を高いレベルで統一可能 ゴール ゴール ゴール ゴール
  32. 32. (C) Recruit Technologies Co.,Ltd. All rights reserved. 4. 第2期 改善活動 ーうまいの実現 • 改善前 初めに方針(ゴール)決めがないと、調査の過程で見 つかった事実に振り回されゴールがブレることが・・・ 32 ゴール ゴール ゴール ゴール 「そもそも、何を目的にこのPC/マルウェアを調査 してるんだっけ?」みたいな話を避けることができる
  33. 33. (C) Recruit Technologies Co.,Ltd. All rights reserved. 4. 第2期 改善活動 ーやすいの実現 問題点: NWの分析機器のGUIが重く、レスポンスも遅いため、稼働 がかかっていたが仕方ないとあきらめていた →本質的でない部分での時間の浪費 →インシデントが集中的に発生した時の対応が困難 →広い範囲での分析が現実的でなかった・・・ 33 気分はコンピュータの奴隷
  34. 34. (C) Recruit Technologies Co.,Ltd. All rights reserved. 4. 第2期 改善活動 ーやすいの実現 分析機器のAPIを利用したアプリを開発 →ルーチンワークのオペレーション時間が1/15に →今まで分析が不可能だった膨大なパケットの深堀調査が 可能に →内製したのでチーム内での修正、改良が可能 34 コンピュータを奴隷にしている気分 同じ手作業は二度はやらない!
  35. 35. (C) Recruit Technologies Co.,Ltd. All rights reserved. 目次 35 2. Recruit-CSIRTのご紹介 5. まとめ 3. Recruit-CSIRTの構想 1. Recruitについて 4. Recruit-CSIRTにおける改善活動
  36. 36. (C) Recruit Technologies Co.,Ltd. All rights reserved. 5.まとめ Recruit-CSIRTの高度組織化の道は道半ば・・・ • ユーザー企業CSIRTだから、エンジニアの「やってみた い」を「できる」へ、 「やった方がいい」 を「やらない理 由はない」へ変えることができる環境を作れる • 自分たちの事だから、成果に直結する改善に フォーカス→うまい、やすい、はやいの実現 36

×