セキュリティ運用は手綱を握れ　リクルートSOCリーダーが語るマネージドサービスの本質：ITmedia Security Week 2024 夏　イベントレポート

リクルートの六宮智悟氏（経営管理　セキュリティ統括室　セキュリティオペレーションセンター　部長）（出典：リクルート提供）

　六宮氏は上記のような状態を作るための組織作りのポイントを小説執筆に例える。

　「プロが小説を書けるのは当然として、チームメンバーには『小説が書ける必要はないが、それを読んで理解できる力量を持とう』と伝えている。つまり、プロの仕事内容がサービスレベルとして文面に書かれていたとき、それが理解できること、そして少し踏みこんで、その裏にあるところまでイメージできること、それが“読んで理解できる”状態だ」

小説が書ける必要はない。しかし、その裏にあるところまでイメージできる力量を持とう（出典：リクルート提供資料）

　これに加えて六宮氏は、理解の定義を、「教えられる」「使える」「やったことがある」「分かる（理解）」「判る（判別）」の5段階に定義する。ポイントとなるのは、3段階目の「やったことがある」というレベルだ。六宮氏はこのレベルを“具体の理解”と表現する。

　六宮氏は「それぞれの段階には壁があり、特に『やったことがある』の段階に到達することが一つのマイルストーンになる。マネージドサービスを任せるとしても、業務を任せる側が“具体の理解”までまずは到達しておくことが、マネージドサービスを利用する際のベストな距離感だ」と述べる。

　「“具体の理解”がないと、サービス利用をしていても頼る側、頼られる側で会話がかみ合わず、有事の際に不幸になる。やったことがあれば具体的に詰められる部分も、具体の理解がないままではうまく詰め切れずに説明責任が果たしにくい状況になることもあるだろう 」（六宮氏）

マネージドサービスに任せる業務については、任せる側が“具体の理解”を持っていることが最大の効果を得るポイントになる（出典：リクルート提供資料）

マネージドサービス活用の秘訣は“手放してはいけないこと”の見極めにあり

　六宮氏は次に、セキュリティ運用についてマネージドサービスに任せるべきではないこと、つまり自社から「手放してはならないこと」について話した。

　先に掲出した5段階のレベルにおいて、「教えられる」と「使える」は本質の理解、体系の理解を含め社内にしかできないこと、内部にしかない情報が必要だ。これは手放すことが難しいというよりも、その部分を含めて請け負うマネージドサービスがそもそも存在しないだろう。「組織の文化にひも付くもの。それを伝えるのは大変なので、手放すのが難しい領域といえる」（六宮氏）

手放せないことは、自社組織の「本質の理解」「体系の理解」が必要な領域（出典：リクルート提供資料）

　実際のセキュリティ運用においては、日本セキュリティオペレーション事業者協議会（ISOG-J）が公開している、「セキュリティ対応組織の教科書」が参考になる。

　「セキュリティ運用を考えるときに必ず参考にするドキュメントの一つ」と六宮氏が紹介するこの教科書には、マネージドサービスを利用するに当たり「セキュリティ専門スキルの必要性」を縦軸に、「組織内部の情報／被害者と攻撃者の情報」を横軸とした4つの象限が記載されている。そのうち、右側の象限では“本質の理解”が必要であり、特にIV.「専門組織を中心に連携すべき領域」ではマネージドサービスなど専門組織との協業が必要だが、手綱は管理部門が自覚を持つ必要がある。

　「この教科書にも書かれているが、I,II,IV,IIIの順で、徐々にアウトソースからインソースへの置き換えを検討することになる。ぜひ、教科書に目を通してほしい」（六宮氏）

セキュリティ対応組織の教科書に記載されている「セキュリティ対応の4領域」（出典：リクルート提供資料）

アウトソースに全振りできないケースもあると知ろう

　六宮氏は続けて、より具体的なストーリーとしてアウトソースがしにくいケースを解説する。その一つが「内部不正の検知」だ。同氏はリクルートにおいてSOCの管理者であるだけでなく、内部不正の監視や対応を実施するグループの責任者でもある。その実務を経験した上で、内部不正の監視が非常に難しい領域だと感じているという。

内部不正検知の難しさ（出典：リクルート提供資料）

　セキュリティ対応組織の教科書におけるサービス項目、「H-2. 内部不正検知・再発防止支援」では「内部不正検知・再発防止支援」サービスは、「発見された内部不正行為の内容を分析し、ログから検知できないかどうかを検討し、可能な場合、検知ロジックとしての実装を実現する」と記されている。

　このとき、検知したログから何を持って内部不正と判断するかは、自社組織における「本質の理解」が必要だ。何が不正に当たるのかは組織特性に依存し、ポリシーや考え方により変わる部分となる。つまりこれは4つの象限で言えば右下のIV.「専門組織を中心に連携すべき領域」に該当する。

　「ログからの見つけ方や、ログにどうやって検知ロジックを実装するかはベンダーに頼れる部分だが、検知そのものをマネージドサービスにお願いするにしても、本質の理解がなければ過剰検知となる。能力があるからといって、ベンダーに丸投げは通じない。『書けるけど、刺さらない』状態だ」（六宮氏）

説明責任を果たすためにできること

　ここまでで六宮氏は「説明責任」という言葉を使っている。「何かあったときに、任せていたので分かりませんというのは説明責任の放棄。マネージドサービスを最大限に、効果のある状態で使うため、お願いする部分、自分たちがやるべき部分をしっかり線を引く、分かるようにしておく」ことが重要だと同氏は述べる。

　「事故が起きないと、セキュリティ部門が活躍しているように見えない問題がある。攻撃者側がどのような攻撃をしてくるのかも分からず、不確実な状態が多いというのがセキュリティ部門だ。その不確実な状況で、どれだけ“確からしさ”を高めて、説明責任を果たしていくかがセキュリティ組織には求められる」（六宮氏）

　マネージドサービスの利用でも、同じことが求められている。そのために、セキュリティ組織はしっかりと自分たちが手綱を持つということ、本質の理解をした上で対応をしていかなければならない。

　六宮氏は最後に「経験ができている状態でお願いするという“手放し方”と、自組織でしかできない部分は自分で手綱を握るという“手放せないこと”の2つを今日は取り上げた。この話に加えて、改めてセキュリティ対応組織の教科書にも目を通してほしい」と締めくくった。