Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

ユーザー企業内製CSIRTにおける対応のポイント

2.035 Aufrufe

Veröffentlicht am

2017/01/10 FISCシステム監査普及連絡協議会 金融部会での、猪野の講演資料になります

Veröffentlicht in: Technologie
  • Login to see the comments

ユーザー企業内製CSIRTにおける対応のポイント

  1. 1. ユーザー企業内製CSIRTにおける 対応のポイント 猪野 裕司 グループマネジャー インシデントレスポンスグループ サイバーセキュリティエンジニアリング部 株式会社リクルートテクノロジーズ
  2. 2. (C) Recruit Technologies Co.,Ltd. All rights reserved. 自己紹介 2 猪野 裕司(いの ゆうじ) 株式会社リクルートテクノロジーズ 大手SI子会社にてセールス、製品サポートなどの傍ら、セキュリティに 興味を持ち始め、CTFに参加、勉強会の開催などを実施。 2011年に海外駐在をきっかけに別のキャリアパスを歩み始めたはずが、 帰国をきっかけにセキュリティ界隈に出戻り。やっぱり、セキュリティが好き! 2016年2月リクルートテクノロジーズに入社、10月マネージャー着任。 Hardening Value Chain 優勝チームリーダー、ハンドル名はyumano。 共著「実践CSIRT現場で使えるセキュリティ事故対応」 氏名 所属 略歴
  3. 3. (C) Recruit Technologies Co.,Ltd. All rights reserved. 目次 3 2. Recruit-CSIRTの人材方針 3. Recruit-CSIRTのご紹介 5. まとめ 4. Recruit-CSIRTの構想 1. Recruitについて
  4. 4. (C) Recruit Technologies Co.,Ltd. All rights reserved. 目次 4 2. Recruit-CSIRTの人材方針 3. Recruit-CSIRTのご紹介 5. まとめ 4. Recruit-CSIRTの構想 1. Recruitについて
  5. 5. (C) Recruit Technologies Co.,Ltd. All rights reserved. 5 Recruitについて -企業概要- ※2016年3月末時点 グループ従業員数 38,451名※ 連結売上高 約15,886億円※ 連結経常利益 約1,193億円※ グループ企業数 287社※ 創業 1960年 本社所在地 東京都千代田区 世界中の生活者と産業界に「まだ、ここにない、出会い。」を提供。
  6. 6. (C) Recruit Technologies Co.,Ltd. All rights reserved. 6 Recruitについて -沿革- 1960 広告代理店大学新聞広告社として創業 年 1963 株式会社日本リクルートセンターへ社名変更年 1984 株式会社リクルートへ社名変更年 2012 7事業会社、3機能会社からなる リクルートグループへ体制変更年 2014 東証1部に上場年
  7. 7. (C) Recruit Technologies Co.,Ltd. All rights reserved. 7 Recruitについて -ビジネスモデル- 選択・意思決定 を支援する情報サービスの提供。
  8. 8. (C) Recruit Technologies Co.,Ltd. All rights reserved. 8 Recruitについて -ビジネスモデル- 世界中の生活者と産業界に「まだ、ここにない、出会い。」を提供。 マッチング カスタマー (一般ユーザー) クライアント (サービス提供企業)
  9. 9. (C) Recruit Technologies Co.,Ltd. All rights reserved. 9 Recruitについて -ソリューションの変化- 紙からネット への展開が促進。 ITの進化とともにソリューションの進化も求められる。 PC 紙 スマートデバイス
  10. 10. (C) Recruit Technologies Co.,Ltd. All rights reserved. 10 Recruitについて -構成- リクルートグループは複数の事業会社、機能会社から構成。 リクルートホールディングス リクルートキャリア リクルート住まいカンパニー リクルートライフスタイル リクルートジョブズ リクルートスタッフィング リクルートマーケティングパートナーズ スタッフサービス・ホールディングス リクルートマネジメントソリューションズ リクルートテクノロジーズ リクルートアドミニストレーション リクルートコミュニケーションズ 主要な事業会社 主要な機能会社 ビッグデータ機能部門 UI設計/SEO部門 テクノロジーR&D部門 事業・社内IT推進部門 インフラ部門 大規模プロジェクト推進部門
  11. 11. (C) Recruit Technologies Co.,Ltd. All rights reserved. 11 Recruitについて -Recruit Technologiesについて- リクルートテクノロジーズは、IT・ネットマーケティング領域の専門部隊であり、 リクルートグループをITで牽引する企業。
  12. 12. (C) Recruit Technologies Co.,Ltd. All rights reserved. 目次 12 2. Recruit-CSIRTのご紹介 3. Recruit-CSIRTの人材の考え方 5. まとめ 4. Recruit-CSIRTの構想 1. Recruitについて
  13. 13. (C) Recruit Technologies Co.,Ltd. All rights reserved. Recruit-CSIRTのご紹介 –構成- 13 Recruit-CSIRTは2015年4月に設立された組織。 リクルートホールディングス(RHD)、リクルートテクノロジーズ(RTC)、リクルート アドミニストレーション(RAD)により構成。 外部セキュリティ組織 内部統制担当者/ システムセキュリティリーダ A社 B社 C社 ・・・ RHD+RTC+RAD グループ会社 12社
  14. 14. (C) Recruit Technologies Co.,Ltd. All rights reserved. Recruit-CSIRTのご紹介 –RTC内組織- 14 SOC QMG IRG CSIRT 技術部隊 IRG Incident Response Group QMG Quality Management Group SOC Security Operation Center サイバー攻撃への対応をリード ・事故発生時の対応支援 ・外部関連機関との連携 ・早期警戒(脅威情報の収集および対策検討) ・Recruit-CSIRTの運営、各社展開 被害最小化 未然防止早期検知 サイバー攻撃を早期検知し、被害拡大を防止 ・グループ共通インフラのセキュリティ監視 ・未知マルウェアの監視、解析、一次対応 ・被害発生時のフォレンジック (ネットワークおよびPC) ・内部不正のモニタリング 平時からセキュリティを向上、被害を未然に防止 ・脆弱性診断、開発者教育などのセキュア開発支援 ・セキュリティパッチの情報収集および各社展開 ・システム運用の簡易監査
  15. 15. (C) Recruit Technologies Co.,Ltd. All rights reserved. 2013.8 RTC内CSIRT設立 2014.6 NCA加盟 2014.12 鴨志田入社 2015.4 Recruit-CSIRTとして再出発 2015.4 マルウェアアナリスト入社 2015.4 外部コンサル着任 2016.4 フォレンジックアナリスト着任 2015.9 マルウェアアナリスト入社 2016.2 インシデントハンドラ入社 2016.3 アプリセキュリティエンジニア入社 準備期間 ひとり CSIRT ふたり CSIRT みんなでCSIRT (個人プレー中心) 2016.6 外部ホワイトハッカー着任 Recruit-CSIRTのご紹介 –IRG沿革- 15 IRG Incident Response Group スタート時点はひとりCSIRTから始まったが、中途採用を中心に優秀なメンバ ーを集めながら1年強で高度な技術を持つグループCSIRTを構築 2016.6 FIRST加盟 2016.10 ホワイトハッカー着任 高度組織化 (チームプレー)
  16. 16. (C) Recruit Technologies Co.,Ltd. All rights reserved. Recruit-CSIRTのご紹介 –目的- 16 各社を横串での対応が可能となるRecruit-CSIRTの構築により、 早期警戒及びより迅速な対応が可能に。 CSIRTがない場合 CSIRTがある場合 外部セキュリティ組織 A社 B社 C社 1 2 3 1 外部セキュリティ組織 A社 B社 C社 ・・・ 1 2 3 3 3 外部組織からの情報収集が確実に行えず、 早期警戒が不十分となる 1 外部セキュリティ組織からの情報収集を確実 に実施可能 1 各社がインシデント対応要員を抱える余裕 がなく、迅速に対応できない 2 インシデント対応可能な技術要員が各社横 断的に対応可能 2 インシデント情報が各社横断的に共有され ず、インシデントからの学習を生かしきれない 3 CSIRTが対応することで、各社で起きたイン シデント情報の共有/早期警戒が可能 3
  17. 17. (C) Recruit Technologies Co.,Ltd. All rights reserved. 目次 17 2. Recruit-CSIRTのご紹介 3. Recruit-CSIRTの人材方針 5. まとめ 4. Recruit-CSIRTの構想 1. Recruitについて
  18. 18. (C) Recruit Technologies Co.,Ltd. All rights reserved. Recruitのセキュリティ人材方針 –3つの役割- 18 セキュリティ人材を求められるスキルが異なる3つの役割に分割。 それぞれに最適な人材を採用することを方針としている 管 理 者 実 務 者 ①経営との懸け橋 ② IT Security プロマネ ③ セキュリティ 技術者(CSIRT/SOC) 取 締 役
  19. 19. (C) Recruit Technologies Co.,Ltd. All rights reserved. Recruit-CSIRTの人材方針 –サイバー攻撃の急増- 19 近年、サイバー攻撃が激増。一昨年から約4倍、昨年から約2倍に。 サイバー攻撃の数 128.8億 2013年 256.6億 2014年 2倍 545.1億 2015年 出典:ITPro (上) http://itpro.nikkeibp.co.jp/atcl/column/14/ 346926/030700469/ (下) http://itpro.nikkeibp.co.jp/atcl/news/15/ 021800582/
  20. 20. (C) Recruit Technologies Co.,Ltd. All rights reserved. Recruit-CSIRTの人材方針 –未知の脅威の急増- 20 未知の脅威も急増。 もはや事前のセキュリティ対策だけでは対応できない状況。 出典:Gartner Security Summit 2015 (Webroot)
  21. 21. (C) Recruit Technologies Co.,Ltd. All rights reserved. Recruit-CSIRTの人材方針 –人材不足- 21 セキュリティ人材8万人の不足に対し、1年に輩出される人材は0.1万人。 年々人材不足の加速が懸念される。 出典:「情報セキュリティ人材の育成に関する基礎調査」報告書について(IPA) http://www.ipa.go.jp/security/fy23/reports/jinzai/ 1年に輩出される セキュリティ経験を有する人材 0.1万/年 26.5 万 現在 8万 不足 必要人数 スキル 不足 15.9 万 出典:情報セキュリティ人材不足数等に関する追加分析について(概要)(IPA) http://www.ipa.go.jp/files/000040646.pdf
  22. 22. (C) Recruit Technologies Co.,Ltd. All rights reserved. Recruit-CSIRTの人材方針 –人材不足の加速- 22 東京オリンピックに向け、セキュリティ人材の取り合いが 加速する可能性が高い 出典:読売ICTフォーラム 2015 http://www.yomiuri.co.jp/project/ictforum2015/lecture_u02.html
  23. 23. (C) Recruit Technologies Co.,Ltd. All rights reserved. Recruit-CSIRTの人材方針 –人材の内製化- 23 サイバー攻撃の増加に耐えられるよう、セキュリティ人材を確保/教育し、 CSIRT活動の核を内製にて行うことを目指している。 世 間 サイバー攻撃 増 セキュリティ人材 少 方 針 CSIRT活動の核について、 内製にて実施できるよう、セキュリティ人材をそろえる。
  24. 24. (C) Recruit Technologies Co.,Ltd. All rights reserved. 目次 24 2. Recruit-CSIRTのご紹介 3. Recruit-CSIRTの人材方針 5. まとめ 4. Recruit-CSIRTの構想 1. Recruitについて
  25. 25. (C) Recruit Technologies Co.,Ltd. All rights reserved. Recruit-CSIRTの構想 –全体像- 25 どのようなCSIRTでありたいかを重視。 目標は、各社から感謝、経営から信頼される技術力の高いCSIRTの構築。 CSIRT 経営各社 1 2 3 from to fromto 感謝 信頼 技術力
  26. 26. (C) Recruit Technologies Co.,Ltd. All rights reserved. Recruit-CSIRTの構想 –あるべき姿- 26 CSIRT 技術力 経営各社 1 2 3 技術力のある組織の構築は、3Stepで推進。 Step 2 モチベート Step 1 採用/育成 Step 3 技術力
  27. 27. (C) Recruit Technologies Co.,Ltd. All rights reserved. Recruit-CSIRTの構想 –あるべき姿 (育成)- 27 技術力を持つ人材の調達および育成により、 CSIRTを支える人材の高度化を図る。 CSIRT 経営各社 1 2 3 Step 2 モチベート Step 1 採用/育成 Step 3 技術力 採用する 育成する 技術力の高いCSIRTであることを アピールすることで、高度な技術力を 持つ人材を集める セキュリティトレーニングの受講(費用は 会社負担)や、CTFへの参加を推奨し、 技術力を培う
  28. 28. (C) Recruit Technologies Co.,Ltd. All rights reserved. Recruit-CSIRTの構想 –あるべき姿 (モチベート)- 28 メンバの技術力を理解・評価。 更に、チーム/個々のプレゼンス向上・社会貢献の実感を促進。 CSIRT 経営各社 1 2 3 Step 2 モチベート Step 1 採用/育成 Step 3 技術力 社内 社外 1 2 3 1 メンバを理解・評価 • いち専門家として意見を尊重 • メンバの「スゴさ」を理解し、評価 2 社内からの評価 • 社内にて貢献度/技術力の高さを アピールし、高評価を獲得 3 社外アピール • 積極的にメディア寄稿やセミナー講演の 機会を提供
  29. 29. (C) Recruit Technologies Co.,Ltd. All rights reserved. Recruit-CSIRTの構想 –あるべき姿 (技術力)- 29 インシデント対応の全プロセスを自社内で実施。 CSIRT 経営各社 1 2 3 再発防止対応検知 初動対応 • 顧客問い合わせ • 従業員による報告 • システム/監視 • インシデントの共有 • 教育 • 検知内容の精査 • 暫定対応 • 影響箇所の特定 • 証拠保全 • ログ収集 • 原因・被害調査 • 恒久対策 • バックアップ復元 全プロセスを自社内にて対応 インシデント対応プロセス(例) Step 2 モチベート Step 1 採用/育成 Step 3 技術力
  30. 30. (C) Recruit Technologies Co.,Ltd. All rights reserved. 30 クライアント(A社)サイトが改竄され、ユーザ(従業員)の標準端末が マルウェア感染する事案が発生。 ユーザ A社 サイト マルウェア 配布サイト 外部不正 サイト 1 2 3 攻撃者 4 ! 改竄 アクセス リダイレクト ダウンロード CSIRT(SOC)検知 Recruit-CSIRTの構想 –インシデント対応事例-
  31. 31. (C) Recruit Technologies Co.,Ltd. All rights reserved. 31 検知したURL/FQDN/IPの遮断(暫定対応)を実施する。 特になし• 製品が検知したURL等を遮断(暫定対応) ス キ ル ユーザ 外部不正 サイト 1 セキュリティ対策製品にて不正通信を検知1 攻撃者 対 応 Recruit-CSIRTの構想 –インシデント対応事例-
  32. 32. (C) Recruit Technologies Co.,Ltd. All rights reserved. 攻撃者 32 Recruit-CSIRTではインシデントの全体像を明らかにし、 徹底的に原因を追究。根本対策を導き出す。 ユーザ A社 サイト マルウェア 配布サイト 外部不正 サイト ! 改竄 感染源の特定2 対 応 ス キ ル • ネットワーク フォレンジックの実施 • マルウェアに応じた不正通信の特徴の知識 (被害事例など) • ログ分析を効率化するスクリプト作成スキル 2 Recruit-CSIRTの構想 –インシデント対応事例-
  33. 33. (C) Recruit Technologies Co.,Ltd. All rights reserved. 攻撃者 33 感染源となったWebサイトを分析することでサイト改修を促し グループ内のみならず不特定多数のユーザへの被害拡大を防止。 ユーザ A社 サイト マルウェア 配布サイト 外部不正 サイト ! 改竄 Webサイトの分析による改竄部の特定3 対 応 ス キ ル • ソースコードの 確認 3 • 難読化されたコードのデコードスキル (必要なスキル変遷については次ページ参照) </script> <iframe src=“マルウェア配布サイトのURL" width="250" height="250"></iframe></div> <div id="container"> <!-- #header --> Recruit-CSIRTの構想 –インシデント対応事例-
  34. 34. (C) Recruit Technologies Co.,Ltd. All rights reserved. 34 昨今、不正なタグ/スクリプトが難読化処理が施されていることが多く、 より高度なデコードスキルが必要。 2015年 秋頃まで 2015年 秋以降 </script> <iframe src=“マルウェア配布サイトのURL" width="250" height="250"></iframe></div> <div id="container"> <!-- #header --> </script> <div id="xihnxtdqpit" style="display:none">i2f0qIAW3VBGid</div> <div id="flwwdtdobr" style="display:none">an dpafcr bcbsbvb jbdbhbwb. ubd abcnav dmcpafbwbtbyaneq cebrakasb. f cwaj coad b zbjb icubmbtcaa aaqaad paiakaqb rb y! cedrbjccb i, d eaqagc o d o bd cuet eqbncx efc b b uan; aqa baidhaacncf c fe. ed. nbz brbgabaqdfab diaaa bbxes 'bqaperbxbz' a. qa i amamd mdga, y cl dtcad r - cdbxca dg c ※数百行続く 不審なタグをgrep (iframe、script) 難読化処理されたコード をデコードするスキル (自作スクリプト、ツール) 改ざんサイト例(一部加工) 必要なスキル 初級 上級 (参考) 不正なタグ/スクリプトの難読化
  35. 35. (C) Recruit Technologies Co.,Ltd. All rights reserved. 35 未知マルウェアの場合は、動的/静的解析にて、影響範囲を特定。 動的/静的にかかわらず、解析経験/スキルの高いアナリストが不可欠。 マルウェア解析による影響範囲の特定4 対 応 ス キ ル • 動的解析/結果確認 • (静的解析) • 過検知 / 誤検知判断スキル • 解析スキル 攻撃者 ユーザ A社 サイト マルウェア 配布サイト 外部不正 サイト ! 改竄 4 他ユーザ Recruit-CSIRTの構想 –インシデント対応事例-
  36. 36. (C) Recruit Technologies Co.,Ltd. All rights reserved. 36 動的解析を実施し、必要に応じて静的解析を実施する。 どちらも高度な技術が必要であり、一般的には外部委託することが多い。 マルウェアのログ マルウェアのプログラム 観 点 • 作成されたファイル名 • 登録されたレジストリ名 • 通信先へのデータ送信内容 など 目 的 • マルウェアの挙動の一部抽出 • 感染原因の特定 • 影響範囲(情報漏洩有無も含む)の特定 • 標的型攻撃か否かの確認 など • プログラム内の変数名 • 埋め込まれている文字列 など • マルウェアの挙動の網羅的抽出 など 解 析 ソ ー ス ( 例 ) 動的解析/結果確認 静的解析 (参考) マルウェアの動的/静的解析
  37. 37. (C) Recruit Technologies Co.,Ltd. All rights reserved. 37 プロ向け 解析ツール の導入 マルウェア解析を 内製化!! • プロ向けツール使用方法の整理 • Malware Analysisの基礎の共有 • 分析のフォローアップ体制 • 日々進化する脅威情報の定期共有 ツール使用 ノウハウ の蓄積 実施内容 マルウェア解析の 知識・経験が必須 等 しかし、当社ではマルウェア解析の内製化を実現。 外部委託に比べても、スピード及び柔軟性において優位である。 解析結果が難解 ポイント (参考) マルウェア解析の内製化
  38. 38. (C) Recruit Technologies Co.,Ltd. All rights reserved. 38 1件あたりの解析スピード 内製後内製前 70% down! 一般的なマルウェア 自社を狙う 高度なマルウェア 分析の内製化により、分析品質を下げずにスピードUPに成功。 一般的なマルウェアに対しは、迅速に対応できるようになった。 ※標的型の高度なマルウェアに対する対応は次ページにて説明 (参考) マルウェア解析内製化による対応スピードのUP
  39. 39. (C) Recruit Technologies Co.,Ltd. All rights reserved. 39 社内環境 Odoribaレプリカ 自社のみを狙う標的型のマルウェアは、自社の環境内でのみしか動作 しないことがあるため、一般的なSandBoxでの解析では不十分。 社内のレプリカ環境(Odoriba)を用意し、マルウェアを培養して解析。 経営XX 会議.pptx 営業**会 議事録.xlsx 新規 M&A.docx 決算報告 資料_beta.doc MS/Google/Yahoo アカウント情報 FTP アカウント情報 メール ブラウザ履歴 おとりファイル(ダミー) etc・・・ (参考) 標的型マルウェアの解析
  40. 40. (C) Recruit Technologies Co.,Ltd. All rights reserved. 40 Odoriba構築には、標的型マルウェアの特徴をとらえての工夫が不可欠。 最新のマルウェア動向を熟知するマルウェアアナリストがいるからこそ実現。 (参考) 標的型マルウェアの解析の工夫 Odoriba リクルート標的型 マルウェア Point 1 VMのMACアドレスの 環境では動作しない Point 3 標的組織のIP以外の 環境では動作しない Point 2 VM固有のI/Oポートの 環境では動作しない Point 4 ファイルサーバなど 特定のシステムを探索 (ランサムウェア等) Point 1 MACアドレスを 採用メーカーの ものに変更 Point 3 組織が管理する IPを使用 Point 2 VMの 固有I/Oポート閉鎖 固有アプリ削除 Point 4 ダミーファイルサーバを 整備
  41. 41. (C) Recruit Technologies Co.,Ltd. All rights reserved. Recruit-CSIRTの構想 –各社との関係- 41 CSIRT 経営各社 感謝 1 2 3 各社から感謝される組織の構築は、3Stepで推進。 Step 2 ホスピタリティ Step 1 非強制 Step 3 感謝
  42. 42. (C) Recruit Technologies Co.,Ltd. All rights reserved. Recruit-CSIRTの構想 –各社との関係 (非強制)- 42 ルールで強制すると意図せず上下の関係が構築。 強制しないことで、相談しやすい環境を整備。 CSIRT 経営各社 1 2 3 Step 2 ホスピタリティ Step 1 非強制 Step 3 感謝 ルールで強制した場合 ルールで強制しない場合 各社がCSIRTに管理されている意識を持ち、 報告すると各社がインシデント発生について 責められると考える可能性がある 各社がCSIRTに対して仲間意識を持ち、 技術支援が必要な際に、積極的に相談 してもらえる A社 B社 … 対等関係 A社 B社 … 上下関係
  43. 43. (C) Recruit Technologies Co.,Ltd. All rights reserved. Recruit-CSIRTの構想 –各社との関係 (ホスピタリティ)- 43 各社からインシデント対応支援を要請された際は いつでもどこでも対応。 CSIRT 経営各社 1 2 3 Step 2 ホスピタリティ Step 1 非強制 Step 3 感謝 A社 A社顧客 いつでも支援 どこでも支援 インシデント対応支援を要請された際は、 平日/休日または昼夜問わず対応にあたる インシデント対応支援を要請された際は、 グループA社だけでなく、その顧客先へも出 向いて対応にあたる 10:00 PM AM 19:00 Mon Tue Wed Thu Fri Sat San
  44. 44. (C) Recruit Technologies Co.,Ltd. All rights reserved. Recruit-CSIRTの構想 –各社との関係 (感謝)- 44 CSIRTへの技術支援の感謝により、 インシデント発生時の頼れる存在の地位を確立。 CSIRTメンバにとってのモチベーションにもつながる。 CSIRT 経営各社 1 2 3 Step 2 ホスピタリティ Step 1 非強制 Step 3 感謝 技術支援 要請 技術支援 インシデント 収束 CSIRTへの 感謝 インシデント 発生 各社 リピート
  45. 45. (C) Recruit Technologies Co.,Ltd. All rights reserved. Recruit-CSIRTの構想 –経営との関係- 45 CSIRT 経営 信頼 各社 1 2 3 経営から信頼される組織の構築は、3Stepで推進。 Step 2 実績 Step 1 専門知識 Step 3 信頼
  46. 46. (C) Recruit Technologies Co.,Ltd. All rights reserved. Recruit-CSIRTの構想 –経営との関係 (専門知識)- 46 CSIRT 経営各社 1 2 3 CSIRTが技術的見解を示すことで、 経営が発生事象を把握の上、判断を下すことが可能。 Step 2 実績 Step 1 専門知識 Step 3 信頼 CSIRTがない場合 CSIRTがある場合 経営 各社 エスカレーション ? 経営 各社 エスカレーション ! 判断要素 各社からのエスカレーション内容が専門的で あったり、中身が欠損するなどし、経営にとっ ては事象の危険度や影響範囲が不明であ り、経営判断を下すことが困難 CSIRTが現場の状況を把握した上で、過去の経験を 交えて技術的な観点から、事象の危険度や影響範囲 などの判断要素を経営に提供するため、経営判断を 下しやすい
  47. 47. (C) Recruit Technologies Co.,Ltd. All rights reserved. Recruit-CSIRTの構想 –経営との関係 (実績)- 47 リスクの高低に関わらず、CSIRTが対応した実績を 月次で報告をするなど、経営へCSIRTの意義を実感させる。 CSIRT 経営各社 1 2 3 Step 2 実績 Step 1 専門知識 Step 3 信頼 リスクレベルがあまり高くないインシデントについ ては、経営に把握してもらう機会がないため、 CSIRTの意義を感じてもらいにくい。 経営 CSIRT 各社 連携・対応 リスクレベルが高いインシデントについては、 経営にエスカレーションされるため、CSIRT の意義を感じてもらいやすい。 経営 CSIRT 各社 連携・対応 把握 エスカレーション インシデント数 (イメージ) リスクレベル中低のインシデントリスクレベル高のインシデント
  48. 48. (C) Recruit Technologies Co.,Ltd. All rights reserved. Recruit-CSIRTの構想 –経営との関係 (信頼)- 48 厚い信頼により、CSIRTを維持するための 人・資金を出してもらい、CSIRT運用を円滑に回すことが可能。 CSIRT 経営各社 1 2 3 Step 2 実績 Step 1 専門知識 Step 3 信頼 CSIRT運用 人 資金
  49. 49. (C) Recruit Technologies Co.,Ltd. All rights reserved. Recruit-CSIRTにおける改善活動 49
  50. 50. (C) Recruit Technologies Co.,Ltd. All rights reserved. 2013.8 RTC内CSIRT設立 2014.6 NCA加盟 2014.12 鴨志田入社 2015.4 Recruit-CSIRTとして再出発 2015.4 マルウェアアナリスト入社 2015.4 外部コンサル着任 2016.4 フォレンジックアナリスト着任 2015.9 マルウェアアナリスト入社 2016.2 インシデントハンドラ入社 2016.3 アプリセキュリティエンジニア入社 準備期間 ひとり CSIRT ふたり CSIRT みんなでCSIRT (個人プレー中心) 2016.6 外部ホワイトハッカー着任 (参考) Recruit-CSIRTのご紹介 –IRG沿革- 50 IRG Incident Response Group スタート時(2015年4月)はひとりCSIRTから始まったが、中途採用を中心に優秀 なメンバーを集めながら1年強で高度な技術を持つグループCSIRTを構築 2016.6 FIRST加盟 2016.10 ホワイトハッカー着任 高度組織化 (チームプレー)
  51. 51. (C) Recruit Technologies Co.,Ltd. All rights reserved. 2013.8 RTC内CSIRT設立 2014.6 NCA加盟 2014.12 鴨志田入社 2015.4 Recruit-CSIRTとして再出発 2015.4 マルウェアアナリスト入社 2015.4 外部コンサル着任 2016.4 フォレンジックアナリスト着任 2015.9 マルウェアアナリスト入社 2016.2 インシデントハンドラ入社 2016.3 アプリセキュリティエンジニア入社 準備期間 ひとり CSIRT ふたり CSIRT みんなでCSIRT (個人プレー中心) 2016.6 外部ホワイトハッカー着任 (参考) Recruit-CSIRTのご紹介 –IRG沿革- 51 IRG Incident Response Group スタート時(2015年4月)はひとりCSIRTから始まったが、中途採用を中心に優秀 なメンバーを集めながら1年強で高度な技術を持つグループCSIRTを構築 2016.6 FIRST加盟 2016.10 ホワイトハッカー着任 高度組織化 (チームプレー) ここの お話です
  52. 52. (C) Recruit Technologies Co.,Ltd. All rights reserved. 52 急激な組織の拡大により、案件の管理、ノウハウの蓄積の仕組みがないまま 走ってきた結果・・・ →過去の情報はメールとともに消え去り →また、メールの山に埋もれて効率が落ち →うやむやになっている案件があるかもわからず仕舞い →インシデントの傾向も調べるのが困難 (参考)第1期 改善活動
  53. 53. (C) Recruit Technologies Co.,Ltd. All rights reserved. 53 案件管理システムを導入!! 各自のインシデントの状況の見える化を実施、グループ会社へも共有可能に! 技術者の対応内容、ノウハウ、改善ポイントを蓄積が可能に (参考)第1期 改善活動
  54. 54. (C) Recruit Technologies Co.,Ltd. All rights reserved. 54 情報共有ができたが、チームでCSIRTには程遠かった・・・ 案件をアサインするとひとりでクローズまで持ち込んでいる →チーム感が存在しない 原因:各自がスペシャリストであり、得意分野においては、ひとりで案件をクロ ーズできていた。そこに甘えて、案件の種類ごとに担当を固定してしまった。 (参考)第2期 改善活動 問題点: エンジニアが業務を通じてスキルアップする 機会を作り出すことができていない・・・
  55. 55. (C) Recruit Technologies Co.,Ltd. All rights reserved. 55 Recruit-CSIRT内であるべき姿を議論 チーム内で行き着いた答えが うまい はやい やすい (参考)第2期 改善活動
  56. 56. (C) Recruit Technologies Co.,Ltd. All rights reserved. (参考)第2期 改善活動 • インシデントハンドリングプロセスの改善 • 改善前 56 問合せ 受付 対応 管理票 更新(日次) クローズアサイン こんな感じに見えても 心理的にこんな感じ タスク
  57. 57. (C) Recruit Technologies Co.,Ltd. All rights reserved. (参考)第2期 改善活動 • 改善後 – メンバー全員で初動の際に下記を議論し、対応方針 を定める • インシデントハンドリングの目的、達成すべきゴール • 考えらる仮説の列挙 • 取りうるタスク(調査、報告など)の列挙 – ある程度方針が定まったらタスクをチーム全体で分担 57 問合せ 受付 方針 設定 アサイン・対応
  58. 58. (C) Recruit Technologies Co.,Ltd. All rights reserved. (参考)第2期 改善活動 ーはやいの実現 • 改善前 – シングルスレッド • 改善後 – マルチスレッド チームで取り組むことで対応時間が短縮 58
  59. 59. (C) Recruit Technologies Co.,Ltd. All rights reserved. (参考)第2期 改善活動 ーうまいの実現 • 改善前 改善後 59 ゴール ゴール ゴール ゴール ゴール 各自がゴールを設定、熟練者と 初心者で最終目的がブレることが 熟練者の考え方が共有でき、チーム全体での成長が可能に! ゴールを間違えずに進むことができるように 全員が議論に参加することで、ブレを なくし、最終目的(アウトプット、品質) を高いレベルで統一可能 ゴール ゴール ゴール ゴール
  60. 60. (C) Recruit Technologies Co.,Ltd. All rights reserved. (参考)第2期 改善活動 ーうまいの実現 • 改善前 初めに方針(ゴール)決めがないと、調査の過程で見 つかった事実に振り回されゴールがブレることが・・・ 60 ゴール ゴール ゴール ゴール 「そもそも、何を目的にこのPC/マルウェアを調査 してるんだっけ?」みたいな話を避けることができる
  61. 61. (C) Recruit Technologies Co.,Ltd. All rights reserved. (参考)第2期 改善活動 ーやすいの実現 問題点: NWの分析機器のGUIが重く、レスポンスも遅いため、稼働 がかかっていたが仕方ないとあきらめていた →本質的でない部分での時間の浪費 →インシデントが集中的に発生した時の対応が困難 →広い範囲での分析が現実的でなかった・・・ 61 気分はコンピュータの奴隷
  62. 62. (C) Recruit Technologies Co.,Ltd. All rights reserved. (参考)第2期 改善活動 ーやすいの実現 分析機器のAPIを利用したアプリを開発 →ルーチンワークのオペレーション時間が1/15に →今まで分析が不可能だった膨大なパケットの深堀調査が 可能に →内製したのでチーム内での修正、改良が可能 62 コンピュータを奴隷にしている気分 同じ手作業は二度はやらない!
  63. 63. (C) Recruit Technologies Co.,Ltd. All rights reserved. 目次 63 2. Recruit-CSIRTのご紹介 3. Recruit-CSIRTの人材方針 5. まとめ 4. Recruit-CSIRTの構想 1. Recruitについて
  64. 64. (C) Recruit Technologies Co.,Ltd. All rights reserved. まとめ 64 「どのようなCSIRTでありたいか」とともに、それを支える強い思いが最重要。 思い CSIRTの方針 セキュリティエンジニアが 活躍/成長できる場を 大切にしたい 技術力の高い CSIRTをつくる

×