Más contenido relacionado
La actualidad más candente (20)
Similar a ユーザー企業内製CSIRTにおける対応のポイント (20)
ユーザー企業内製CSIRTにおける対応のポイント
- 2. (C) Recruit Technologies Co.,Ltd. All rights reserved.
自己紹介
2
猪野 裕司(いの ゆうじ)
株式会社リクルートテクノロジーズ
大手SI子会社にてセールス、製品サポートなどの傍ら、セキュリティに
興味を持ち始め、CTFに参加、勉強会の開催などを実施。
2011年に海外駐在をきっかけに別のキャリアパスを歩み始めたはずが、
帰国をきっかけにセキュリティ界隈に出戻り。やっぱり、セキュリティが好き!
2016年2月リクルートテクノロジーズに入社、10月マネージャー着任。
Hardening Value Chain 優勝チームリーダー、ハンドル名はyumano。
共著「実践CSIRT現場で使えるセキュリティ事故対応」
氏名
所属
略歴
- 3. (C) Recruit Technologies Co.,Ltd. All rights reserved.
目次
3
2. Recruit-CSIRTのご紹介
5. まとめ
3. Recruit-CSIRTの構想
1. Recruitについて
4. Recruit-CSIRTにおける改善活動
- 5. (C) Recruit Technologies Co.,Ltd. All rights reserved.
5
Recruitについて -ビジネスモデル-
世界中の生活者と産業界に「まだ、ここにない、出会い。」を提供。
マッチング
カスタマー
(一般ユーザー)
クライアント
(サービス提供企業)
- 7. (C) Recruit Technologies Co.,Ltd. All rights reserved.
7
Recruitについて -ソリューションの変化-
紙からネット への展開が促進。
ITの進化とともにソリューションの進化も求められる。
PC
紙
スマートデバイス
- 8. (C) Recruit Technologies Co.,Ltd. All rights reserved.
8
Recruitについて -構成-
リクルートグループは複数の事業会社、機能会社から構成。
リクルートホールディングス
リクルートキャリア
リクルート住まいカンパニー
リクルートライフスタイル
リクルートジョブズ
リクルートスタッフィング
リクルートマーケティングパートナーズ
スタッフサービス・ホールディングス
リクルートマネジメントソリューションズ
リクルートテクノロジーズ
リクルートアドミニストレーション
リクルートコミュニケーションズ
主要な事業会社 主要な機能会社
ビッグデータ機能部門
UI設計/SEO部門
テクノロジーR&D部門
事業・社内IT推進部門
インフラ部門
大規模プロジェクト推進部門
- 10. (C) Recruit Technologies Co.,Ltd. All rights reserved.
2. Recruit-CSIRTのご紹介 –構成-
10
Recruit-CSIRTは2015年4月に設立された組織。
リクルートホールディングス(RHD)、リクルートテクノロジーズ(RTC)、リクルート
アドミニストレーション(RAD)により構成。
外部セキュリティ組織
内部統制担当者/
システムセキュリティリーダ
A社 B社 C社
・・・
RHD+RTC+RAD
グループ会社 12社
- 11. (C) Recruit Technologies Co.,Ltd. All rights reserved.
2. Recruit-CSIRTのご紹介 –RTC内組織-
11
SOC QMG
IRG
CSIRT
技術部隊
IRG
Incident Response Group
QMG
Quality Management Group
SOC
Security Operation Center
サイバー攻撃への対応をリード
・事故発生時の対応支援
・外部関連機関との連携
・早期警戒(脅威情報の収集および対策検討)
・Recruit-CSIRTの運営、各社展開
被害最小化
未然防止早期検知
サイバー攻撃を早期検知し、被害拡大を防止
・グループ共通インフラのセキュリティ監視
・未知マルウェアの監視、解析、一次対応
・被害発生時のフォレンジック (ネットワークおよびPC)
・内部不正のモニタリング
平時からセキュリティを向上、被害を未然に防止
・脆弱性診断、開発者教育などのセキュア開発支援
・セキュリティパッチの情報収集および各社展開
・システム運用の簡易監査
- 12. (C) Recruit Technologies Co.,Ltd. All rights reserved.
2013.8
RTC内CSIRT設立
2014.6
NCA加盟
2014.12
鴨志田入社
2015.4
Recruit-CSIRTとして再出発
2015.4
マルウェアアナリスト入社
2015.4
外部コンサル着任
2016.4
フォレンジックアナリスト着任
2015.9
マルウェアアナリスト入社
2016.2
インシデントハンドラ入社
2016.3
アプリセキュリティエンジニア入社
準備期間
ひとり
CSIRT
ふたり
CSIRT
みんなでCSIRT
(個人プレー中心)
2016.6
外部ホワイトハッカー着任
2. Recruit-CSIRTのご紹介 –IRG沿革-
12
IRG
Incident Response Group
スタート時点はひとりCSIRTから始まったが、中途採用を中心に優秀なメンバ
ーを集めながら1年強で高度な技術を持つグループCSIRTを構築
2016.6 FIRST加盟
2016.10
ホワイトハッカー着任
高度組織化
(チームプレー)
- 13. (C) Recruit Technologies Co.,Ltd. All rights reserved.
2
6
3
7
4
85
1
2. Recruit-CSIRTのご紹介 –IRGメンバ-
13
IRG
Incident Response Group
組織マネージャ
IRG工数 IRG工数
マルウェア
アナリスト
IRG工数
マルウェア
アナリスト
IRG工数
フォレンジック
アナリスト
IRG工数
ホワイトハッカー
IRG工数
外部
コンサルタント
IRG工数
外部
ホワイトハッカー
IRG工数
アプリセキュリティ
エンジニア
- 14. (C) Recruit Technologies Co.,Ltd. All rights reserved.
目次
14
2. Recruit-CSIRTのご紹介
3. Recruit-CSIRTの構想
1. Recruitについて
- 15. (C) Recruit Technologies Co.,Ltd. All rights reserved.
3. Recruit-CSIRTの構想 –全体像-
15
どのようなCSIRTでありたいかを重視。
目標は、各社から感謝、経営から信頼される技術力の高いCSIRTの構築。
CSIRT 経営各社
1
2 3
from to fromto
感謝 信頼
技術力
- 16. (C) Recruit Technologies Co.,Ltd. All rights reserved.
3. Recruit-CSIRTの構想 –全体像-
16
どのようなCSIRTでありたいかを重視。
目標は、各社から感謝、経営から信頼される技術力の高いCSIRTの構築。
CSIRT 経営各社
1
2 3
from to fromto
感謝 信頼
技術力
- 17. (C) Recruit Technologies Co.,Ltd. All rights reserved.
3. Recruit-CSIRTの構想 –あるべき姿-
17
CSIRT
技術力
経営各社
1
2 3
技術力のある組織の構築は、3Stepで推進。
Step 2
モチベート
Step 1
採用/育成
Step 3
技術力
- 18. (C) Recruit Technologies Co.,Ltd. All rights reserved.
3. Recruit-CSIRTの構想 –あるべき姿 (育成)-
18
技術力を持つ人材の調達および育成により、
CSIRTを支える人材の高度化を図る。
CSIRT 経営各社
1
2 3
Step 2 モチベート
Step 1 採用/育成
Step 3 技術力
採用する 育成する
技術力の高いCSIRTであることを
アピールすることで、高度な技術力を
持つ人材を集める
セキュリティトレーニングの受講(費用は
会社負担)や、CTFへの参加を推奨し、
技術力を培う
- 19. (C) Recruit Technologies Co.,Ltd. All rights reserved.
3. Recruit-CSIRTの構想 –あるべき姿 (モチベート)-
19
メンバの技術力を理解・評価。
更に、チーム/個々のプレゼンス向上・社会貢献の実感を促進。
CSIRT 経営各社
1
2 3
Step 2 モチベート
Step 1 採用/育成
Step 3 技術力
社内
社外
1
2
3
1 メンバを理解・評価
• いち専門家として意見を尊重
• メンバの「スゴさ」を理解し、評価
2 社内からの評価
• 社内にて貢献度/技術力の高さを
アピールし、高評価を獲得
3 社外アピール
• 積極的にメディア寄稿やセミナー講演の
機会を提供
- 20. (C) Recruit Technologies Co.,Ltd. All rights reserved.
3. Recruit-CSIRTの構想 –あるべき姿 (技術力)-
20
インシデント対応の全プロセスを自社内で実施。
CSIRT 経営各社
1
2 3
再発防止対応検知 初動対応
• 顧客問い合わせ
• 従業員による報告
• システム/監視
• インシデントの共有
• 教育
• 検知内容の精査
• 暫定対応
• 影響箇所の特定
• 証拠保全
• ログ収集
• 原因・被害調査
• 恒久対策
• バックアップ復元
全プロセスを自社内にて対応
インシデント対応プロセス(例)
Step 2 モチベート
Step 1 採用/育成
Step 3 技術力
- 21. (C) Recruit Technologies Co.,Ltd. All rights reserved.
目次
21
2. Recruit-CSIRTのご紹介
3. Recruit-CSIRTの構想
1. Recruitについて
4. Recruit-CSIRTにおける改善活動
- 22. (C) Recruit Technologies Co.,Ltd. All rights reserved.
2013.8
RTC内CSIRT設立
2014.6
NCA加盟
2014.12
鴨志田入社
2015.4
Recruit-CSIRTとして再出発
2015.4
マルウェアアナリスト入社
2015.4
外部コンサル着任
2016.4
フォレンジックアナリスト着任
2015.9
マルウェアアナリスト入社
2016.2
インシデントハンドラ入社
2016.3
アプリセキュリティエンジニア入社
準備期間
ひとり
CSIRT
ふたり
CSIRT
みんなでCSIRT
(個人プレー中心)
2016.6
外部ホワイトハッカー着任
2. Recruit-CSIRTのご紹介 –IRG沿革-
22
IRG
Incident Response Group
スタート時(2015年4月)はひとりCSIRTから始まったが、中途採用を中心に優秀
なメンバーを集めながら1年強で高度な技術を持つグループCSIRTを構築
2016.6 FIRST加盟
2016.10
ホワイトハッカー着任
高度組織化
(チームプレー)
- 23. (C) Recruit Technologies Co.,Ltd. All rights reserved.
2013.8
RTC内CSIRT設立
2014.6
NCA加盟
2014.12
鴨志田入社
2015.4
Recruit-CSIRTとして再出発
2015.4
マルウェアアナリスト入社
2015.4
外部コンサル着任
2016.4
フォレンジックアナリスト着任
2015.9
マルウェアアナリスト入社
2016.2
インシデントハンドラ入社
2016.3
アプリセキュリティエンジニア入社
準備期間
ひとり
CSIRT
ふたり
CSIRT
みんなでCSIRT
(個人プレー中心)
2016.6
外部ホワイトハッカー着任
2. Recruit-CSIRTのご紹介 –IRG沿革-
23
IRG
Incident Response Group
スタート時(2015年4月)はひとりCSIRTから始まったが、中途採用を中心に優秀
なメンバーを集めながら1年強で高度な技術を持つグループCSIRTを構築
2016.6 FIRST加盟
2016.10
ホワイトハッカー着任
高度組織化
(チームプレー)
ここを
お話しします
- 24. (C) Recruit Technologies Co.,Ltd. All rights reserved.
24
急激な組織の拡大により、案件の管理、ノウハウの蓄積の仕組みがないまま
走ってきた結果・・・
→過去の情報はメールとともに消え去り
→また、メールの山に埋もれて効率が落ち
→うやむやになっている案件があるかもわからず仕舞い
→インシデントの傾向も調べるのが困難
4. 第1期 改善活動
- 25. (C) Recruit Technologies Co.,Ltd. All rights reserved.
25
案件管理システムを導入!!
各自のインシデントの状況の見える化を実施、グループ会社へも共有可能に!
技術者の対応内容、ノウハウ、改善ポイントを蓄積が可能に
4. 第1期 改善活動
- 26. (C) Recruit Technologies Co.,Ltd. All rights reserved.
26
情報共有ができたが、チームでCSIRTには程遠かった・・・
案件をアサインするとひとりでクローズまで持ち込んでいる
→チーム感が存在しない
原因:各自がスペシャリストであり、得意分野においては、ひとりで案件をクロ
ーズできていた。そこに甘えて、案件の種類ごとに担当を固定してしまった。
4. 第2期 改善活動
問題点:
エンジニアが業務を通じてスキルアップする
機会を作り出すことができていない・・・
- 27. (C) Recruit Technologies Co.,Ltd. All rights reserved.
27
Recruit-CSIRT内であるべき姿を議論
チーム内で行き着いた答えが
うまい
はやい
やすい
4. 第2期 改善活動
- 28. (C) Recruit Technologies Co.,Ltd. All rights reserved.
4. 第2期 改善活動
• インシデントハンドリングプロセスの改善
• 改善前
28
問合せ
受付
対応
管理票
更新(日次)
クローズアサイン
こんな感じに見えても 心理的にこんな感じ
タスク
- 29. (C) Recruit Technologies Co.,Ltd. All rights reserved.
4. 第2期 改善活動
• 改善後
– メンバー全員で初動の際に下記を議論し、対応方針
を定める
• インシデントハンドリングの目的、達成すべきゴール
• 考えらる仮説の列挙
• 取りうるタスク(調査、報告など)の列挙
– ある程度方針が定まったらタスクをチーム全体で分担
29
問合せ
受付
方針
設定
アサイン・対応
- 30. (C) Recruit Technologies Co.,Ltd. All rights reserved.
4. 第2期 改善活動 ーはやいの実現
• 改善前
– シングルスレッド
• 改善後
– マルチスレッド
チームで取り組むことで対応時間が短縮
30
- 31. (C) Recruit Technologies Co.,Ltd. All rights reserved.
4. 第2期 改善活動 ーうまいの実現
• 改善前 改善後
31
ゴール
ゴール
ゴール
ゴール
ゴール
各自がゴールを設定、熟練者と
初心者で最終目的がブレることが
熟練者の考え方が共有でき、チーム全体での成長が可能に!
ゴールを間違えずに進むことができるように
全員が議論に参加することで、ブレを
なくし、最終目的(アウトプット、品質)
を高いレベルで統一可能
ゴール
ゴール
ゴール
ゴール
- 32. (C) Recruit Technologies Co.,Ltd. All rights reserved.
4. 第2期 改善活動 ーうまいの実現
• 改善前
初めに方針(ゴール)決めがないと、調査の過程で見
つかった事実に振り回されゴールがブレることが・・・
32
ゴール
ゴール
ゴール
ゴール
「そもそも、何を目的にこのPC/マルウェアを調査
してるんだっけ?」みたいな話を避けることができる
- 33. (C) Recruit Technologies Co.,Ltd. All rights reserved.
4. 第2期 改善活動 ーやすいの実現
問題点:
NWの分析機器のGUIが重く、レスポンスも遅いため、稼働
がかかっていたが仕方ないとあきらめていた
→本質的でない部分での時間の浪費
→インシデントが集中的に発生した時の対応が困難
→広い範囲での分析が現実的でなかった・・・
33
気分はコンピュータの奴隷
- 34. (C) Recruit Technologies Co.,Ltd. All rights reserved.
4. 第2期 改善活動 ーやすいの実現
分析機器のAPIを利用したアプリを開発
→ルーチンワークのオペレーション時間が1/15に
→今まで分析が不可能だった膨大なパケットの深堀調査が
可能に
→内製したのでチーム内での修正、改良が可能
34
コンピュータを奴隷にしている気分
同じ手作業は二度はやらない!
- 35. (C) Recruit Technologies Co.,Ltd. All rights reserved.
目次
35
2. Recruit-CSIRTのご紹介
5. まとめ
3. Recruit-CSIRTの構想
1. Recruitについて
4. Recruit-CSIRTにおける改善活動
- 36. (C) Recruit Technologies Co.,Ltd. All rights reserved.
5.まとめ
Recruit-CSIRTの高度組織化の道は道半ば・・・
• ユーザー企業CSIRTだから、エンジニアの「やってみた
い」を「できる」へ、 「やった方がいい」 を「やらない理
由はない」へ変えることができる環境を作れる
• 自分たちの事だから、成果に直結する改善に
フォーカス→うまい、やすい、はやいの実現
36