ユーザー企業内製CSIRTにおける対応のポイント

ユーザー企業内製CSIRTにおける
対応のポイント
猪野裕司
グループマネジャー
インシデントレスポンスグループ
サイバーセキュリティエンジニアリング部
株式会社リクルートテクノロジーズ

(C) Recruit Technologies Co.,Ltd. All rights reserved.
自己紹介
2
猪野裕司（いのゆうじ）
株式会社リクルートテクノロジーズ
大手SI子会社にてセールス、製品サポートなどの傍ら、セキュリティに
興味を持ち始め、CTFに参加、勉強会の開催などを実施。
2011年に海外駐在をきっかけに別のキャリアパスを歩み始めたはずが、
帰国をきっかけにセキュリティ界隈に出戻り。やっぱり、セキュリティが好き！
2016年2月リクルートテクノロジーズに入社、10月マネージャー着任。
Hardening Value Chain 優勝チームリーダー、ハンドル名はyumano。
共著「実践CSIRT現場で使えるセキュリティ事故対応」
氏名
所属
略歴

目次
3
2. Recruit-CSIRTのご紹介
5. まとめ
３. Recruit-CSIRTの構想
1. Recruitについて
4. Recruit-CSIRTにおける改善活動

目次
4

5
Recruitについて -ビジネスモデル-
世界中の生活者と産業界に「まだ、ここにない、出会い。」を提供。
マッチング
カスタマー
(一般ユーザー)
クライアント
(サービス提供企業)

6
Recruitについて -ビジネスモデル-
選択・意思決定を支援する情報サービスの提供。

7
Recruitについて -ソリューションの変化-
紙からネットへの展開が促進。
ITの進化とともにソリューションの進化も求められる。
PC
紙
スマートデバイス

8
Recruitについて -構成-
リクルートグループは複数の事業会社、機能会社から構成。
リクルートホールディングス
リクルートキャリア
リクルート住まいカンパニー
リクルートライフスタイル
リクルートジョブズ
リクルートスタッフィング
リクルートマーケティングパートナーズ
スタッフサービス・ホールディングス
リクルートマネジメントソリューションズ
リクルートテクノロジーズ
リクルートアドミニストレーション
リクルートコミュニケーションズ
主要な事業会社主要な機能会社
ビッグデータ機能部門
UI設計/SEO部門
テクノロジーR&D部門
事業・社内IT推進部門
インフラ部門
大規模プロジェクト推進部門

目次
9

2. Recruit-CSIRTのご紹介 –構成-
10
Recruit-CSIRTは2015年4月に設立された組織。
リクルートホールディングス(RHD)、リクルートテクノロジーズ(RTC)、リクルート
アドミニストレーション(RAD)により構成。
外部セキュリティ組織
内部統制担当者/
システムセキュリティリーダ
A社 B社 C社
・・・
RHD＋RTC＋RAD
グループ会社 12社

2. Recruit-CSIRTのご紹介 –RTC内組織-
11
SOC QMG
IRG
CSIRT
技術部隊
IRG
Incident Response Group
QMG
Quality Management Group
SOC
Security Operation Center
サイバー攻撃への対応をリード
・事故発生時の対応支援
・外部関連機関との連携
・早期警戒(脅威情報の収集および対策検討)
・Recruit-CSIRTの運営、各社展開
被害最小化
未然防止早期検知
サイバー攻撃を早期検知し、被害拡大を防止
・グループ共通インフラのセキュリティ監視
・未知マルウェアの監視、解析、一次対応
・被害発生時のフォレンジック (ネットワークおよびPC)
・内部不正のモニタリング
平時からセキュリティを向上、被害を未然に防止
・脆弱性診断、開発者教育などのセキュア開発支援
・セキュリティパッチの情報収集および各社展開
・システム運用の簡易監査

2013.8
RTC内CSIRT設立
2014.6
NCA加盟
2014.12
鴨志田入社
2015.4
Recruit-CSIRTとして再出発
2015.4
マルウェアアナリスト入社
2015.4
外部コンサル着任
2016.4
フォレンジックアナリスト着任
2015.9
2016.2
インシデントハンドラ入社
2016.3
アプリセキュリティエンジニア入社
準備期間
ひとり
CSIRT
ふたり
CSIRT
みんなでCSIRT
(個人プレー中心)
2016.6
外部ホワイトハッカー着任
2. Recruit-CSIRTのご紹介 –IRG沿革-
12
IRG
スタート時点はひとりCSIRTから始まったが、中途採用を中心に優秀なメンバ
ーを集めながら1年強で高度な技術を持つグループCSIRTを構築
2016.6 FIRST加盟
2016.10
ホワイトハッカー着任
高度組織化
(チームプレー)

2
6
3
7
4
85
1
2. Recruit-CSIRTのご紹介 –IRGメンバ-
13
IRG
組織マネージャ
IRG工数 IRG工数
マルウェア
アナリスト
IRG工数
マルウェア
アナリスト
IRG工数
フォレンジック
アナリスト
IRG工数
ホワイトハッカー
IRG工数
外部
コンサルタント
IRG工数
外部
ホワイトハッカー
IRG工数
アプリセキュリティ
エンジニア

目次
14

3. Recruit-CSIRTの構想 –全体像-
15
どのようなCSIRTでありたいかを重視。
目標は、各社から感謝、経営から信頼される技術力の高いCSIRTの構築。
CSIRT 経営各社
1
2 3
from to fromto
感謝信頼
技術力

3. Recruit-CSIRTの構想 –全体像-
16
どのようなCSIRTでありたいかを重視。
目標は、各社から感謝、経営から信頼される技術力の高いCSIRTの構築。
CSIRT 経営各社
1
2 3
from to fromto
感謝信頼
技術力

3. Recruit-CSIRTの構想 –あるべき姿-
17
CSIRT
技術力
経営各社
1
2 3
技術力のある組織の構築は、3Stepで推進。
Step 2
モチベート
Step 1
採用/育成
Step 3
技術力

3. Recruit-CSIRTの構想 –あるべき姿 (育成)-
18
技術力を持つ人材の調達および育成により、
CSIRTを支える人材の高度化を図る。
CSIRT 経営各社
1
2 3
Step 2 モチベート
Step 1 採用/育成
Step 3 技術力
採用する育成する
技術力の高いCSIRTであることを
アピールすることで、高度な技術力を
持つ人材を集める
セキュリティトレーニングの受講(費用は
会社負担)や、CTFへの参加を推奨し、
技術力を培う

3. Recruit-CSIRTの構想 –あるべき姿 (モチベート)-
19
メンバの技術力を理解・評価。
更に、チーム/個々のプレゼンス向上・社会貢献の実感を促進。
CSIRT 経営各社
1
2 3
Step 3 技術力
社内
社外
1
2
3
1 メンバを理解・評価
• いち専門家として意見を尊重
• メンバの「スゴさ」を理解し、評価
2 社内からの評価
• 社内にて貢献度/技術力の高さを
アピールし、高評価を獲得
3 社外アピール
• 積極的にメディア寄稿やセミナー講演の
機会を提供

3. Recruit-CSIRTの構想 –あるべき姿 (技術力)-
20
インシデント対応の全プロセスを自社内で実施。
CSIRT 経営各社
1
2 3
再発防止対応検知初動対応
• 顧客問い合わせ
• 従業員による報告
• システム/監視
• インシデントの共有
• 教育
• 検知内容の精査
• 暫定対応
• 影響箇所の特定
• 証拠保全
• ログ収集
• 原因・被害調査
• 恒久対策
• バックアップ復元
全プロセスを自社内にて対応
インシデント対応プロセス(例)
Step 3 技術力

目次
21

2013.8
RTC内CSIRT設立
2014.6
NCA加盟
2014.12
鴨志田入社
2015.4
2015.4
2015.4
2016.4
2015.9
2016.2
2016.3
準備期間
ひとり
CSIRT
ふたり
CSIRT
みんなでCSIRT
2016.6
22
IRG
スタート時(2015年4月)はひとりCSIRTから始まったが、中途採用を中心に優秀
なメンバーを集めながら1年強で高度な技術を持つグループCSIRTを構築
2016.6 FIRST加盟
2016.10
高度組織化

2013.8
RTC内CSIRT設立
2014.6
NCA加盟
2014.12
鴨志田入社
2015.4
2015.4
2015.4
2016.4
2015.9
2016.2
2016.3
準備期間
ひとり
CSIRT
ふたり
CSIRT
みんなでCSIRT
2016.6
23
IRG
スタート時(2015年4月)はひとりCSIRTから始まったが、中途採用を中心に優秀
なメンバーを集めながら1年強で高度な技術を持つグループCSIRTを構築
2016.6 FIRST加盟
2016.10
高度組織化
ここを
お話しします

24
急激な組織の拡大により、案件の管理、ノウハウの蓄積の仕組みがないまま
走ってきた結果・・・
→過去の情報はメールとともに消え去り
→また、メールの山に埋もれて効率が落ち
→うやむやになっている案件があるかもわからず仕舞い
→インシデントの傾向も調べるのが困難
４. 第1期改善活動

25
案件管理システムを導入！！
各自のインシデントの状況の見える化を実施、グループ会社へも共有可能に！
技術者の対応内容、ノウハウ、改善ポイントを蓄積が可能に

26
情報共有ができたが、チームでCSIRTには程遠かった・・・
案件をアサインするとひとりでクローズまで持ち込んでいる
→チーム感が存在しない
原因：各自がスペシャリストであり、得意分野においては、ひとりで案件をクロ
ーズできていた。そこに甘えて、案件の種類ごとに担当を固定してしまった。
問題点：
エンジニアが業務を通じてスキルアップする
機会を作り出すことができていない・・・

27
Recruit-CSIRT内であるべき姿を議論
チーム内で行き着いた答えが
うまい
はやい
やすい

• インシデントハンドリングプロセスの改善
• 改善前
28
問合せ
受付
対応
管理票
更新(日次)
クローズアサイン
こんな感じに見えても心理的にこんな感じ
タスク

• 改善後
– メンバー全員で初動の際に下記を議論し、対応方針
を定める
• インシデントハンドリングの目的、達成すべきゴール
• 考えらる仮説の列挙
• 取りうるタスク(調査、報告など)の列挙
– ある程度方針が定まったらタスクをチーム全体で分担
29
問合せ
受付
方針
設定
アサイン・対応

４. 第2期改善活動ーはやいの実現
• 改善前
– シングルスレッド
• 改善後
– マルチスレッド
チームで取り組むことで対応時間が短縮
30

４. 第2期改善活動ーうまいの実現
• 改善前改善後
31
ゴール
ゴール
ゴール
ゴール
ゴール
各自がゴールを設定、熟練者と
初心者で最終目的がブレることが
熟練者の考え方が共有でき、チーム全体での成長が可能に！
ゴールを間違えずに進むことができるように
全員が議論に参加することで、ブレを
なくし、最終目的(アウトプット、品質)
を高いレベルで統一可能
ゴール
ゴール
ゴール
ゴール

４. 第2期改善活動ーうまいの実現
• 改善前
初めに方針(ゴール)決めがないと、調査の過程で見
つかった事実に振り回されゴールがブレることが・・・
32
ゴール
ゴール
ゴール
ゴール
「そもそも、何を目的にこのPC/マルウェアを調査
してるんだっけ？」みたいな話を避けることができる

４. 第2期改善活動ーやすいの実現
問題点：
NWの分析機器のGUIが重く、レスポンスも遅いため、稼働
がかかっていたが仕方ないとあきらめていた
→本質的でない部分での時間の浪費
→インシデントが集中的に発生した時の対応が困難
→広い範囲での分析が現実的でなかった・・・
33
気分はコンピュータの奴隷

４. 第2期改善活動ーやすいの実現
分析機器のAPIを利用したアプリを開発
→ルーチンワークのオペレーション時間が1/15に
→今まで分析が不可能だった膨大なパケットの深堀調査が
可能に
→内製したのでチーム内での修正、改良が可能
34
コンピュータを奴隷にしている気分
同じ手作業は二度はやらない！

目次
35
5. まとめ

５．まとめ
Recruit-CSIRTの高度組織化の道は道半ば・・・
• ユーザー企業CSIRTだから、エンジニアの「やってみた
い」を「できる」へ、「やった方がいい」を「やらない理
由はない」へ変えることができる環境を作れる
• 自分たちの事だから、成果に直結する改善に
フォーカス→うまい、やすい、はやいの実現
36

ユーザー企業内製CSIRTにおける対応のポイント

More Related Content

What's hot

Viewers also liked

Similar to ユーザー企業内製CSIRTにおける対応のポイント

More from Recruit Technologies

Recently uploaded

ユーザー企業内製CSIRTにおける対応のポイント