データサイエンティストが社内のガチのセキュリティ部隊に3ヶ月行ってきた話
大杉 直也
リクルートテクノロジーズの大杉です。RECRUIT RED TEAM(以下RED TEAM)に2018年7月~9月の間に"留学"(期間限定で異動したので留学という言葉を使ってます)して学んできたことをここで共有します。個人的な体験の話なのでインタビュー風にしてます。脳内自分との。本件について取材をされたとかはないです。
Q:「RED TEAMに留学したとのことですが、リクルートREDTEAMとは何でしょうか?」
A:「RED TEAMはリクルートテクノロジーズ内のセキュリティエンジニアの一チームです。主に外部からの攻撃を予防する仕事をしています。」
Q:「『外部からの攻撃を予防する』とは具体的にはどのような仕事なのでしょうか?」
A:「世界で報告されているソフトウェアの脆弱性情報を収集し、既存の社内のサービスが脆弱でないかを日々確認しています。また、新規サービスの場合は実際のアプリケーションを起動させたりコードを読んだりしながら攻撃者の目線で脆弱性を発見し、それの解消方法についてアドバイスする仕事も行っております。詳細は、わたしと同じ時期にRED TEAMに配属された新人の平松さんのブログが詳しいので、そちらを参考にしてください。」
Q:「平松さんのブログ、すごい充実してますね。新メンバー向けのトレーニングメニューについてもしっかりとかかれています。」
A:「はい、そのブログが充実しているおかげで私の書けることがだいぶ減りました(笑)。平松さんは3ヶ月の間に実際の業務に入れていましたが、私はトレーニングメニューはこなしたものの脆弱性診断の仕事を任されるほどの力は身につかなかったです。」
Q:「やはり3ヶ月では短かったですか?」
A:「平松さんができていたので、できる人はできるようになると思います。とはいえ、できなかったわたしが言うのも何ですが、やはり3ヶ月で専門スキル習得はなかなか難しいんじゃないかと思います。各論レベルで詳しくならないと、専門家としての仕事はできないですし。そのかわり、全く知らなかったセキュリティなどのリスクを扱う組織の考え方が見えてきた点が自分にとって大きな収穫でした。」
Q:その組織の話を詳しく聞かせてもらえませんか?」
A:「リスクを階層でわけると理解しやすくて。まず大雑把にエンジニアリングに関わることとそうでないリスクにわけます。例えば、前者のリスクの代表的なものは個人情報流出などがあたり、後者は天災とか世界恐慌とかいろいろとあります。私は前者のリスクを扱う組織の一部に留学したので、そちらを知ることができました。」
Q:「個人情報流出はたまにニュースにもなりますね。」
A:「企業は個人情報に限らず厳重に守らなければならない情報をいくつも抱えており、それを守ることがセキュリティを担う組織の重要な仕事です。RED TEAMのように未然に攻撃を防ぐ仕事の他に、実際に攻撃がきたときに素早く現状を把握し対処をする仕事や、攻撃が成功してしまった場合の対処を行う仕事もあります。さらにグループ会社全体のセキュリティの向上のためにルールを整備する仕事もあります。」
Q:「ルールの話、あまりピンとこないです。もう少し具体的にお願いできませんか?」
A:「〇〇するときは、××をしてください!ってやつです。例えば、攻撃を検知したときに攻撃者を特定できるようにするためにログをとってくださいとか、このレベルの情報は一部の方法を除いてアクセスできないように守ってくださいとか。そのルールを作ったり、ルールが守られるように運用したりする組織がいます。時には開発上の制約になることもあり、開発者にとっては大変なこともあるやつですが・・・」
Q:「ルールやルールを運用する組織を大杉さんも苦手に思ってますか?」
A:「正直、留学前は苦手に思ったこともあったのですが、留学して近くで一緒に仕事をしたことで認識がかわりました。一つひとつのルールをなぜ守らなければならないのか、その背景を知ることで、「よくわからない」ことから来ている苦手意識が減り、ルールを守るモチベーションがあがりました。」
Q:「実際その組織に入って、その目線で仕事をする経験が相互理解に役立ったということでしょうか?」
A:「はい、それに近いものだと思います。RED TEAMに限らず、別の専門性をもった組織への留学は自らのスキルアップ以外に、組織間の風通しの良さの向上につながると思いました。あとこれは完全にわたしの本職がデータサイエンティストなことに起因すると思うのですが、セキュリティの組織の中の人にでもならないと分析しにくいネタの仕事ができました。」
Q:「結局、大杉さんは留学して、Webセキュリティに詳しくなったのではなく、本職のデータサイエンティストとしての仕事の幅が広がった形になったということですか?」
A:「両方ですね。毎日毎日、追加されてる脆弱性情報を読んで、Webセキュリティについても勉強できたので、ImageMagickとかphpとかの言葉の心象が変わりました。それに加えて、データサイエンティストとしての仕事の幅が広がったのは間違いないです。セキュリティのルールの背景がわかったことでより繊細なデータの取り扱い方に詳しくなれましたし。」
Q:「最後に、なにか伝えたいメッセージがあれば、よろしくおねがいします。」
A:「留学して、とてもいい体験ができたので、自分も他の人に同じ体験を提供できたらなぁと思います。私がやるなら、データサイエンティスト・データエンジニア・検索エンジニア関連の何かになると思います。取り急ぎ、私たちの組織で一部受け入れをしている(株)リクルートのインターンシップや自然言語処理ハッカソン(2019年2月末にやります!)の場で学生の方に良い学びの体験の場を提供できたらな、と思っています。あと、インターンは現場で1ヶ月前後のOJTで学べるため組織のことも学びやすいんじゃないかなぁと思っています。RED TEAMの受け入れトレーニングメニューがとても充実していたため、自分がやるときの良い目標ができました。負けないようにこっちも学びの環境整備に尽力します。」