将来起こりうる脅威を予測する
――まずは、お2人がいらっしゃるセキュリティアーキテクチャーグループ(SAG)はどういった部署なのか教えてください。
松原由美子氏(以下、松原):サイバーセキュリティの観点から「現状世の中でどんなことが起きていて、なにが課題で、それに対して我々はどう手を打つべきか」について具体的なソリューションを考え、提示し、実行するのがミッションです。
――お2人は役割が異なっていますが、それぞれどのようなお仕事をされていますか?
中村光宏氏(以下、中村):既存セキュリティ製品では検知できないような未知の脅威を調査しています。
具体的には、イベントログや外部のインテリジェンスを統合解析できる基盤を作り、サイバー攻撃や不正をしている人を見つけるレーダーを作り、異常検知や予兆検知の取り組みをしています。
日々、数百万のユーザーが我々のサービスを利用しています。そして数多くの従業員がその基盤を支えています。これまでの世の中のサイバー攻撃の事例を考えると、まだ見つかっていない脅威もそれなりにあると思われます。今後起こり得る脅威を予測する必要もあります。
松原:セキュリティアーキテクチャーグループ(SAG)の責任者をやっています。
SAGはセキュリティ面の課題をソリューションファーストで解決しにいっています。具体的にはたくさんのセキュリティアプライアンスやソリューションを課題に応じて開拓し、検証し、導入して運用を行います。その導入シナリオから運用のサービスレベル維持まで広く担当しています。
また、中村さんが取り組んでいるように、アプライアンスの制限に縛られない潜在的なリスクの可視化も積極的に取り組んでいます。
常に課題感を持ち、その課題を解決するために1つも2つも上のチャレンジができる、そんな組織を目指してディレクションを行っています。
――中村さんはリクルートテクノロジーズに来る前はなにをされていたんですか?
中村:10年間ほどセキュリティ会社にいました。入社後にペネトレーションテスト事業を立ち上げ、国内企業や官公庁に対し脆弱性診断サービスを提供していました。
2011年あたりからサイバー攻撃のトレンドが変化し、標的型攻撃による大量の個人情報流出事故が、各報道機関で取り上げられるようになりました。例えば、SQLインジェクションのようなWebアプリケーション特有の外部からの攻撃だけでなく、むしろバックドア経由で社内の端末が次々と遠隔操作され、そして最終的には機密情報が盗まれる、という執念深い攻撃が増えてきました。
このようなインシデントを対処する対サイバー攻撃専門の部門を新たに立ち上げ、インシデントレスポンスやフォレンジック、あるいはログ解析といった解析業務にも活動を広げていました。
――具体的にはどのようなお仕事をされていたのでしょうか。
中村:すでにサイバー攻撃を受け、機密情報が漏えいした組織からの依頼が大半でした。ですので、すでに起こってしまったインシデントの火消しが中心です。攻撃者がどのように侵入し、どのような情報をどういう経路で持ち出したのか、本当に流出したのか、まだ攻撃は続いているのか。それらを明らかにする作業でした。加えて、今後どうすれば被害を最小化できるのか、再発防止のアドバイザリーも担当していました。
ユーザー企業だからこそできるセキュリティの醍醐味とは
――そこから、リクルートテクノロジーズに転職されたきっかけは?
中村:結局、前職では攻撃されてからの事後対応がほとんどでした。僕がやりたかったのは「攻撃を未然に防ぐ」こと。つまり予兆検知です。情報漏えい事故により企業が最悪な状況に追い込まれる前に、なにかしらの対策を打ちたいと感じていました。
そのためにはユーザー企業のなかに入り込んでいかなければと。じゃないと日本はずっとやられっぱなしの状況が続くんじゃないかなという危機感を持っていました。リクルートなら、その流れを変えられるのかなと思っていました。
松原:今の企業の構造上、どうしてもセキュリティベンダーは事後対応が多くなってしまう。セキュリティはやっぱり、外の会社になかなか中を見せたくないっていうモチベーションがどうしても働くし、情報もあまり外に出したくないというのが前提だったりするので。その点うちみたいなユーザー企業のセキュリティ部門は、環境としては大きく違います。今後発生しうるリスクに関しても「我が事」として取り組んでいけるんです。
中村:ここに入るか迷っている時、「リクルートはこれからセキュリティに力を入れるんだ」という話を聞かせてもらったんですよ。そして、具体的な取り組み内容を教えてもらい、本当にセキュリティをやる「おつもり」があるのかも確認しました。そして「社運をかけてでもぜひやっていきたい」という意志が聞けたので、入社を決めました。
転職して早々に“絶句”、しかし今は
――実際にリクルートに来てみて、最初の印象はどうでしたか?
中村:戦場から……なんというか、こう、平和なところに来たなと(笑)。
松原:ちょうど中村さんが入社した頃は、我々の経営課題として、セキュリティポリシーやガバナンスを刷新することに一番フォーカスが当たっていたんですよ。彼はテクノロジーファースト、エンジニアファーストで入ってきて、事実を深掘りしていきたいというときに、ちょうど「ガバナンスどうする?」とか言ってきたんで「話ちゃうやん!」ってことになった(笑)。なので、それでまず絶句して、まったく話が噛み合わずに喧嘩の毎日(笑)。
インシデントはいつ起きるかわからないのに「ガバナンス上、どうあるべきか」といった話が多く、リクルートとしてのあるべきセキュリティを作りたかったのに、「ぜんぜんみんなそんなことしてないじゃん」みたいな。
中村:温度感がぜんぜん違っているところがあったなと。僕が育ってきたセキュリティの世界と、リクルートの事業を創出するという文化は、当たり前ですがぜんぜん違うので、価値観も最初から一緒っていうわけでもないですよね。でもそのギャップはとにかく壮絶でした(笑)。
――それでも今こうしてご活躍されているということは、状況が変わってきたんですか?
中村:はい、今は変化してきているなと感じます。とにかく当時からみなさんの「なんとかしないといけない」という課題意識、責任感は強かった。ただ、その具体的なやり方とか、ベストパスとか、なにが正解なのか、お手本にしてる考え方とか違ったんだろうなと。
近年のサイバー攻撃は、教科書的なセキュリティ投資だけでは損失を避けられない。これは間違いない。一方、僕は転職直後は「とりあえずリクルートの文化に合わせたほうがいいのかな」と片目をつぶっていました。でも、「このままじゃこの会社のセキュリティはダメになるんじゃないか」という確信も抱きつつあって。
とにかくなにか結果を出せるよう頑張ろうと思いつつ、でも、なかなか1人ではうまくいかず、もがき苦しんでいた時期もありました。
――どうやって周囲を巻き込んだのですか?
中村:うちの会社は中途入社でも、いろんな部署の偉い人と話ができるんです。自分が話したい人の予定表を見て、空いている時間にMTGを入れて聞きたいことを聞けます。相手がめちゃくちゃ忙しい役員でも社長でも、拒否権ないんです(笑)。
それでいろんな人と話してるうちに、リクルートのセキュリティに対する課題感も徐々にわかってきました。なんだかんだで、みんなやっぱり同じ方向は向いてるんだろうなと思い、それが「方向性や足並みを合わせれば、もしかしたらうまくいくのかな」と考えるきっかけになりました。
そこで、ある先輩が「これやってみる?」っていうチャンスをくれたんですよね。それがペネトレーションテストのお話でした。入ってから数ヵ月後でしたがそのプロジェクトを担当し、ようやく結果を出せました。
結局、転職組だとしても、無理に転職先のスタイルに合わせる必要もないんだなと。僕にとっては「己の技術を使って現実を見せる」ということが一番の早道でした。自分がしていることに耳を傾けてくれる人、助けてくれる人が徐々に増え、そこからちょっと変わり始めました。
松原:それを見ていて、中村さんみたいな人がより「エンジニアファースト、テクノロジーファースト」でやっていけるような環境をどうやってつくっていくかということを考えている矢先に、リクルートもリスト攻撃を受けてしまいました。全社的にセキュリティ対応の温度感がバッと上がったという環境変化も、その時の中村さんにとっては追い風になりました。
中村:2014年9月ですよね。結局その時は、みんなのチームワーク、気合いと根性で乗り越えた感じですよね。
不眠不休で対応したリスト攻撃、そこから得た教訓は
――その時はどのように対応されたのですか?
松原:もう単純に、関係者全員で不眠不休で対応しました。
中村:2週間ぐらい続きましたよね。
松原:かなり緊急タスクフォースで対応して、ほかの仕事は結局できなくなり(笑)。もう仕事が止まりますよね、ああいうことがあると。トラブルはなんでもそうだと思いますけど。
中村:仕事にならない日が続き……。
松原:で、みんな疲れてきちゃうから、機嫌も悪くなるし(笑)。
中村:攻撃を受けて対応する機会、それはそれで僕にとって1つのチャンスではあったんですけど、やっぱりその時は改善すべきことがたくさんあった。それが個人的にすごく悔しくて……。口で言っているだけではダメだと。みんなが助かることを考えなければいけないと思いました。
もはやリスト攻撃による教訓を、絶好の機会にするしかなかった。対応が落ち着いた後、「予兆検知のための解析基盤を作りたい」と手を挙げ、任せてもらうことができました。
――その機会が中村さんが今ご活躍されるきっかけになったのですね。
松原:そうですね。中村さんに期待していることはかなり高度なんです。ペネトレーションテストを担当してもらった時にも未知の脆弱性を特定してもらい、改修方法や考えられるリスクまで提示してくれました。経営にどう影響するかもファクトでわかるじゃないですか。そうすると、エンジニアは共感するし経営層も理解ができる。どんどん結果を出していくことがいい循環につながっていった、っていう感じですね。
リスト攻撃を乗り越えたのをきっかけに、リクルートのセキュリティ領域において、中村さん自身で活躍の場を広げていった感じです。
――やっぱり、言い続ける、やり続けることで変わってきた部分はあるんですか? 社内の意識の違いとかも。
松原:ありますね。リクルートテクノロジーズはリクルートグループ各社と協働でセキュリティ課題に取り組んでいきますが、普通、部署間の調整から始まります。それってすごく正当な手続きですけど、とっても大変なものです。セキュリティ領域って、とても機密性の高い情報が含まれますから。
だけど、中村さんはそれを超えて、「こういうものがあれば、こういうアウトプットが出せる」ということを自分でつくり出して、それをグループ各社のエンジニアたちに話をしにいく。つまり、現場間で外堀を埋めて、「これって、すごくいいじゃん」って思わせる「友達作戦」。
その結果、彼らも共感し、自分たちのマネジメント層に「やりたい」って上げてくれるようになります。基本、リクルートってボトムアップの会社なので。
そんな、組織の垣根を超えたどフラットな活動を、コツコツと中村さんが続けていました。
――そういった地道な活動が大切なんですね。
松原:ほんとにそうです。でも、実はまだ彼の野望にはまだまだたどり着いてない。中村さんの理想はすごく高いので、実現にはまだ時間がかかります(笑)。
中村:この会社にいると、やりたいことがどんどん増えますからね(笑)。
でも理想と仕事はちゃんとわけてますよ。リスト攻撃検知の取組みでは、みなさんを巻き込んだぶん、本当にいい成果が出せました。リスト攻撃以外にもさまざまな不正行為の検知が可能になったし、この取り組みで得られたことは本当に大きかった。
みなさんが積極的に協力してくれて、助けてくれたから、成功したと思っています。インシデント解析に掛かる時間や品質が劇的に向上したし、当時を振り返ると、もはや悟りを開いて禅の境地に達した感覚です(笑)。
