脆弱性発見のプロ集団ーーリクルート「レッドチーム」の仕事とは？ (1/5)

インシデントを未然に防ぐために、社内のセキュリティリスクを洗い出す「レッドチーム」。日本でいち早く“自前”のレッドチームを立ち上げたリクルートテクノロジーズに、そのミッションと日々の活動を聞いた。

　セキュリティを経営課題として捉え、組織的に対策に取り組もうとする企業が増える中、SOC（Security Operation Center）やCSIRT（Computer Security Incident Response Team）整備の機運が高まっている。

　SOCの主な役割は、日々ネットワークを監視し、不正アクセスやマルウェア感染といったセキュリティインシデントの兆候をいち早く把握することだ。一方のCSIRTは、日頃からセキュリティインシデントに備え、万一発生した場合には、社内外の関係者と調整しながら被害の最小化を目指す（SOCとCSIRTが一体化していることもある）。

　こうした組織を整えることで、インシデントの「検知」と「対応」の側面はカバーできるだろう。では、インシデントを“未然に防ぐ”ために、セキュリティ製品の導入以外にできることはないだろうか？　社内のリスクを能動的に洗い出し、悪用される前につぶすことによって、組織全体のセキュリティレベルを強化する――そんな狙いから生まれたのが「レッドチーム」と呼ばれる組織だ。

攻撃者視点で先回りして弱点を見つけ、修正を支援する「レッドチーム」

リクルートテクノロジーズは、2017年4月に「RECRUIT RED TEAM」を発足した。ユーザー企業がレッドチームを立ち上げる事例は日本ではまだ少ない

　SOCやCSIRTと同様に、一口にレッドチームといっても実態はさまざまだ。一般的には、「攻撃者」の目線で、社内システムやアプリケーションのセキュリティを調査し、弱点を探し出す組織を指す。

　セキュリティサービスの1メニューとして、ソーシャルエンジニアリングも含めた、あらゆる手段を講じて侵入経路を探す「レッドチーム演習」を設け、提供する企業がある一方で、自社ソフトウェアやサービスのセキュリティ品質向上のため、自力でレッドチームを設ける企業も現れてきている。

　そんな海外のトレンドを受け、日本でいち早く自前のレッドチームを設置したのがリクルートテクノロジーズだ。2017年4月に発足した「RECRUIT RED TEAM」では、社外パートナーも含めた6人で、社内のさまざまなリスクの発見と対応に取り組んでいる。彼らは何をミッションとし、日々どのような活動を行っているのだろうか。立ち上げ時のリーダーである西村宗晃氏と現リーダーの杉山俊春氏の2人に聞いてみた。