連載
» 2018年10月16日 05時00分 公開

@IT脆弱性対応セミナー2018:“Hack Everything”をモットーに――リクルートは脆弱性対応をいかにハックしたのか

@ITは、2018年9月11日、東京で「@IT脆弱性対応セミナー」を開催した。本稿では、基調講演「リクルートにおける脆弱性対応の今と未来」の内容をお伝えする。

[谷崎朋子,@IT]

“Hack Everything”をモットーに

リクルートテクノロジーズ セキュリティエンジニアリンググループ マネジャー 西村宗晃氏

 @ITは、2018年9月11日、東京で「@IT脆弱性対応セミナー」を開催した。本稿では、基調講演「リクルートにおける脆弱性対応の今と未来」の内容をお伝えする。

 1960年に創業したリクルートは、現在4万人の従業員を抱える大手グループ企業。『ホットペッパー』『ゼクシィ』『じゃらん』などの情報サービスを中心に事業展開する同グループは、媒体が紙からWeb、スマートデバイスへと移り変わる中でサイバーセキュリティの重要性を認識し、セキュリティ専任部隊「Recruit-CSIRT」を設置。リクルート各社を横断してIT・ネットマーケティング領域のテクノロジー開発を担うリクルートテクノロジーズ内に、技術面の脅威の早期検知、被害最小化、未然防止をそれぞれ担当するSOC(セキュリティオペレーションセンター)やインシデントレスポンスグループ、セキュリティエンジニアリンググループを配置した。

Recruit-CSIRT(2018年9月発表時点)

 そのセキュリティエンジニアリンググループのマネジャーを務めるのが、2017年10月に同職に就任したばかりの西村宗晃氏だ。ソフトウェアの脆弱(ぜいじゃく)性を発見、報告するバグハンターとしても名をはせる西村氏は、任命されたときに「どうすれば組織に対してバリューを出せるのか」について思い悩んだという。

 そんな彼の目にとまったのは、監訳で携わった書籍『ブラウザハック』(Wade Alcorn著、Christian Frichot著、Michele Orru著、翔泳社 刊)だ。迷うことはない。今まで通り、ハックし続ければいい。施策をただ回すのではなく、ビジネス的な合理性を損なわず、技術的に正しく美しく、何よりも自分たちがわくわくするモノに磨き上げる――。西村氏は“Hack Everything”をモットーに、さまざまな“ハック”に取り組んだ。

脆弱性ハンドリングの強化

 中でも一番大きなハックは、脆弱性ハンドリングの強化だ。西村氏が入社する前の2015年までは、ある国内の脆弱性情報サービスをベースに対応していたが、「20日間経過しても情報が配信されない」「CVEの割り当てられていない脆弱性に抜けがある」「自社環境の深刻度評価と乖離(かいり)がある」といった問題があった。

 これを改善すべく、西村氏はJPCERT/CCと早期警戒パートナーシップを締結し、公表前の脆弱性情報を入手できるように整備。主要なソフトウェアについては一次情報に当たり、攻撃コードの中身を読んで通知の有無を決定するようにした。

 ただし、初動を早めることには成功したものの、日々の情報確認に手間がかかり、複数メンバーで対応するにもリスク判断が異なる案件では確認作業が発生。脆弱性のクロールに数時間かかる状態に陥った。

 そこで西村氏は、品質面で評価の高い脆弱性データベース「VulnDB」を導入。API経由で社内Slackと連携させて、毎朝、チャンネルに情報をプッシュする自作bot「脆弱性太郎」(略して「ZEITA」)を作成。ZEITAがリスト化した脆弱性を母集団にチェック作業ができるようになり、手間は大幅に削減された。他にも、世の中に攻撃コードが出たときに通知するCustom Slashコマンドや脆弱性の確認作業を効率化するツール「tokudaZ」(インフラソリューション部 ELIXIR1G 徳田聡介氏が作成)などを作成した。

VulnDBと社内Slackを連携させて「脆弱性チャンネル」を作成

 うれしいことに、ZEITAには副次的効果があった。「興味を持つ社内の開発者が増え、2018年9月時点でフォロー数は350人。コードレベルまで解析していることも伝わり、チームの信頼が高まり、対応をお願いしたときの反応も早くなった」

 現在は、自動収集したサーバ構成情報と脆弱性情報を、オープンソースソフトウェアの脆弱性スキャナー「Vuls」の「Vuls Server」機能で突き合わせ、開発者に通知する「RAFFLESIA」アーキテクチャを整備中だ。AWS Systems Managerとのインテグレーションなど、改善に取り組んでいる。今後は、コードライブラリの脆弱性チェックも改善する予定だ。

「RAFFLESIA」アーキテクチャ

 これ以外にも、内製プラットフォーム検査ツール「CASVAL」(CAsual Vulnerabiity AnaLyzer)や、新コードのデプロイ時にCIで脆弱性検査を自動実行が可能になるAPI「CASVAL REM(Remote Execution Module)」などを開発。一部サービスを対象に試験稼働中だ。

“社内の消防団”を増やすなど、組織/人材面でも“Hack Everything”

 西村氏は、組織/人材面でも“Hack Everything”を実施した。

 例えば、600ページを超える紙製の開発者教育資料をWeb化し、言語/環境別のセキュリティガイドをGitHub Pagesで配信。IssueやPull Requestで内容の陳腐化を防ぐ他、開発者がネット検索でガイドを発見したときに社内からのアクセスであれば社内イントラへのリンクを表示、ガイドの利活用を促進する仕組み作りを進めている。

 また、開発者と連携してサイバー攻撃などに対応するRED TEAMを発足した他、セキュリティの専門家ではないが脆弱性検査ができる“社内の消防団”を増やし、自分たちのサービスの脆弱性を理解し対応できるよう、他部署から一定期間メンバーを受け入れる“社内留学”も実施した。

 そして、西村氏はメンバーの進化の先を見据えた施策も講じている。

 「メンバーには、技術的な合理性やROIといった、より具象レベルでの理解を促進し、組織に価値貢献できる“セキュリティ+エンジニア”人材に成長してもらえるよう環境を整備し始めました。そうした進化は、私のメンバーが積んでいくキャリアの希少性を保つことにもつながると考えています」

 最後に西村氏は次のように述べ、講演を終えた。

 「“Hack Everything”の精神で変化を楽しみながら成長してもらいたい。そのためにも、今後もさまざまな取り組みを行っていきたいと考えています」

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。