データのプライバシー保護を適切に行うには、そのデータが安全に管理されていることが前提となる。そのため、データセキュリティはプライバシー保護の観点からも絶対に妥協できないポイントだ。サイバー攻撃の数も増加し、その手法も巧妙化するなか、リクルートではどのようなセキュリティ対策を進めているのだろうか？ その方針と取り組みについて、リクルート セキュリティオペレーションセンター 部長の六宮智悟（ろくみや・ちさと）に話を聞いた。

数百を超えるサービスを守るために

―まず、組織の特徴と役割を教えてください。

六宮：リクルートでは、セキュリティ対策の専門チーム「Recruit-CSIRT※１」を中心に、外部からのサイバー攻撃や内部不正行為の早期検知、被害の未然防止に取り組んでいます。サイバー攻撃を受けた場合でも、いち早く対処し、迅速な事業判断ができるようインシデント対応の全プロセスを自社内で実施できる体制になっているのが特徴です。

皆さんもニュースで見たことがあるかもしれませんが、昨今、サイバー攻撃をするハッカーたちが企業のシステムに侵入し盗み取ったデータを盾に、企業に対し高額な身代金を要求するというケースが増えています。また、その攻撃も組織化され分業で行われていることもあります。刻々と変化する状況のなかで一刻も早い対応が求められるため、リクルートではセキュリティ組織を内製化しています。

私は、Recruit-CSIRTのなかで、サイバー攻撃を早期検知し、被害拡大防止に取り組むセキュリティオペレーションセンター（以下SOC）の責任者を務めています。SOCの役割は大きくふたつあります。ひとつ目は、会社全体のセキュリティレベルをしっかり担保すること。ふたつ目は、インシデントレディネス（準備）/レスポンス（対応）によって、インシデントが起きた時の価値毀損を最小化することです。脅威が発生する前に入念な準備をするとともに、脅威が発生した後には迅速な対応をしています。

従業員数は1万7000人超※２、展開しているサービスは数百、ネットワークに接続している端末数（パソコンやサーバーなど）は7万超というリクルート。セキュリティを守る範囲は、他社に比べ広いかもしれません。それゆえに、平時から自組織の状態と脅威動向について、地道にかつスピーディにアップデートできる能力・仕組みを持つ組織運営に力を入れています。

※1 Recruit Cyber Security Incident Response Team 
※2 2022年4月1日現在。アルバイト・パート含

ユーザーの個人情報を絶対に守り抜く

―セキュリティ対策の方針は？

六宮：リクルートでは、サイバー攻撃から何を守るのかを明確化しています。絶対に守り抜かなければならないのは、各サービスを通じてお預かりしているユーザーの個人情報。個人情報の漏洩防止を最優先に徹底的に囲い込む施策を講じ、外部攻撃への対応にはさまざまな方法を組み合わせ対策しています。「ユーザーの個人情報を徹底的に守り抜く」という共通認識が組織内にでき、どのような状況であってもこの方針に沿った議論や対策が可能になりました。

仕事柄、私も含めセキュリティエンジニアは“How”から考えがち。でも、 “What”というリクルートが実現したい目的を第一義に捉えてこそ、より適切な施策を実装できると考えています。先日、マルウェア「Emotet」が猛威を振るった際も、守りに対する方針が根底にあったからこそ、脅威動向を監視しながら、社内に注意喚起することができました。

社内で正義と正義がぶつかり合う

―セキュリティ対策での苦労はありますか？

六宮：SOCでの日々の具体的な取り組みは、商用環境で起きる内部/外部脅威と、執務環境で起きる内部/外部脅威への対策です。主に、内部脅威とは不正持ち出し、外部脅威とはサイバー攻撃を指しており、技術的な対策を講じることで、これらの問題を未然に防いでいます。

そういったなかで、インシデントが起こった際、事業運営側との間で意見が対立することがしばしばあります。端的に言うと、過去こんなことがありました。SOCとしては、会社の売上毀損を再び起こさないためにセキュリティを強化したい。一方、事業は、セキュリティをさらに強化することによって、ユーザーの利便性を下げるようなことは避けたい。

立場や役割の違いから、それぞれが感じる“ペインポイント”も異なり、「正義VS正義」のような対立構造になってしまうこともしばしば。でも、そういう時は丁寧に、事業の要望をしっかりと聞き、事業特性を理解する。その上で、どのような攻撃をどのように事前検知するのかという根本的な対策を導き出すようにしています。

それができなければ、内製化したセキュリティ組織を持った意味がないと思っています。自前でSOCを運営しているからこそ、数百あるサービスや事業の成り立ちを含めたコンテクストを深く理解した、画一的ではないきめ細やかな対策が迅速に打てるのです。

セキュリティ製品による検知だけだとインシデントに見えるケースでも、事業特性を理解すると、インシデントではなくユーザーの正規な活動と判断できる場合もあり、このような見極めができるのは自前のSOCならではかもしれません。

セキュリティエンジニアとして仕事の面白さを追求

―セキュリティ対策の専門家として大事にしていることは？

六宮：私たちはセキュリティエンジニアで、いわゆる“エンジニア集団”。少し不謹慎に聞こえるかもしれませんが、エンジニアとして大事なのは、仕事が面白いか、楽しいかどうか。セキュリティを守る組織として、やるべきことはきちんと取り組むのですが、そことは切り離して、自分たちが今取り組んでいることは、心からやりたいことなのか、興味があることなのかといったことを考えることも非常に重要です。

それがないと、会社のセキュリティを守るという緊張感の高い日々のなかで、燃え尽き症候群になってしまう。

私にとってセキュリティ対策の面白さは、見えない人との駆け引きにあります。大学、大学院時代からそれを感じていました。必ずサイバー攻撃をする“人”がいます。その人がなぜ、それをしようとしているのか？ そこにとても興味があるんです。前職時代、サイバー攻撃者から直接話を聞いたことがあるのですが、それぞれに事情がありました。なかにはバイト感覚で、しかも分業でやっているので、悪いことをしているという感覚が薄い人もいました。

世の中の動向はどうか、どのような攻撃を仕掛けようとしているのか、日頃から調べるのはとても大変ですが、攻撃を防御できた時は、「してやったり」という気分にもなります（笑）。

社内外への説明責任を果たす

―今後のセキュリティ対策について、どのように考えていますか？

六宮：私たちは、不確実性が高いサイバーセキュリティのリスクに対し、会社や事業の組織特性を踏まえ、“確からしさ”を高め、リスク回避に必要な施策の装着に取り組んでいます。

そして、なぜ、その施策が必要なのか、もし対策が難しい場合にどのような残存リスクがあるのか、社内外への説明責任を負っていると考えています。

今後も、関係する皆さんが受容できるリスク、できないリスクを判断しやすい状況を作り、事業成長とセキュリティ対策を両立させていきたいと思っています。