Recruit Technologies 企業紹介

Transcript

1. Recruit Technologies 企業紹介 猪野 裕司 @yumano 宮地 克弥 @int_tt 與那城

   有 @orisano 株式会社リクルートテクノロジーズ

2. (C) Recruit Technologies Co.,Ltd. All rights reserved. コンテンツ • Recruitについて

   • セキュリティエンジニアのお仕事 by 猪野 • リクルートでのエンジニアの毎日 by與那城、宮地 2

3. (C) Recruit Technologies Co.,Ltd. All rights reserved. 自己紹介 ▪氏名：猪野 裕司

   （いの ゆうじ） ハンドル名： ゆまの (@yumano) ▪所属：株式会社 リクルートテクノロジーズ ▪趣味：セキュリティ、ガンプラ、 ミニ四駆 ▪略歴： 2001年 日立系子会社入社 ソフトウェア開発4年 2004年頃 セキュリティにはまり始める。 2011年05月 海外駐在：海外ベンダーとの契約、新規商材開拓 2016年02月 リクルートテクノロジーズ入社 3

4. (C) Recruit Technologies Co.,Ltd. All rights reserved. Recruitについて -サービス領域- 4

5. (C) Recruit Technologies Co.,Ltd. All rights reserved. 5 Recruitについて -ビジネスモデル-

   一般ユーザー（カスタマー）とサービス提供企業（クライアント）をマッチング マッチング カスタマー (一般ユーザー) クライアント (サービス提供企業)

6. (C) Recruit Technologies Co.,Ltd. All rights reserved. 6 Recruitについて -ソリューションの変化-

   ビジネスの主軸を紙からネット への展開。 今ではネットサービスが主流。 PC 紙 スマートデバイス IT技術が要！

7. (C) Recruit Technologies Co.,Ltd. All rights reserved. 7 Recruitについて -構成-

   リクルートは複数の事業会社、機能会社から構成。 リクルートテクノロジーズは全グループへIT機能を提供。 リクルートホールディングス リクルートキャリア リクルート住まいカンパニー リクルートライフスタイル リクルートジョブズ リクルートスタッフィング リクルートマーケティングパートナーズ スタッフサービス・ホールディングス リクルートマネジメントソリューションズ リクルートテクノロジーズ リクルートアドミニストレーション リクルートコミュニケーションズ 主要な事業会社 主要な機能会社 ビッグデータ機能部門 UI設計/SEO部門 テクノロジーR&D部門 事業・社内IT推進部門 インフラ部門 大規模プロジェクト推進部門

8. (C) Recruit Technologies Co.,Ltd. All rights reserved. セキュリティエンジニアのお仕事 by 猪野

   8

9. (C) Recruit Technologies Co.,Ltd. All rights reserved. Recruitのセキュリティのお仕事 –３つの役割- 9

   セキュリティ人材を求められるスキルが異なる３つの役割に分割。 それぞれに最適な人材を採用することを方針としている 管 理 者 実 務 者 ①経営との懸け橋 ② IT Security プロマネ ③ セキュリティ 技術者（Recruit-CSIRT） 取 締 役

10. (C) Recruit Technologies Co.,Ltd. All rights reserved. Recruitのセキュリティ技術部隊のご紹介 10 SOC

    QMG IRG CSIRT IRG Incident Response Group QMG Quality Management Group SOC Security Operation Center サイバー攻撃への対応をリード ・事故発生時の対応支援 ・外部関連機関との連携 ・Recruit-CSIRTの運営、各社展開 被害最小化 未然防止 早期検知 サイバー攻撃を早期検知し、被害拡大を防止 ・グループ共通インフラのセキュリティ監視 ・未知マルウェアの監視、解析、一次対応 ・被害発生時のフォレンジック (NWおよびPC) ・内部不正のモニタリング 平時からセキュリティを向上、被害を未然に防止 ・脆弱性診断、開発者教育などのセキュア開発支援 ・セキュリティパッチの情報収集および各社展開 ・早期警戒(脅威情報の収集および対策検討)

11. (C) Recruit Technologies Co.,Ltd. All rights reserved. 11 インシデント対応の全プロセスを自社内で実施。 再発防止

    対応 検知 初動対応 • 顧客問い合わせ • 従業員による報告 • システム/監視 • インシデントの共有 • 教育 • 検知内容の精査 • 暫定対応 • 影響箇所の特定 • 証拠保全 • ログ収集 • 原因・被害調査 • 恒久対策 • バックアップ復元 全プロセスを自社内にて対応 インシデント対応プロセス Recruitのセキュリティ技術部隊のご紹介

12. 関係者限 2017 Recruit-CSIRT 12  セキュリティ専門家７名が所属、どのようなインシデントでもご支援できる体制を整備 インシデントハンドラ 猪野 裕司（GM） 実績：リスト攻撃、内部不正、偽サイト

    アプリセキュリティエンジニア 西村 宗晃 実績： 脆弱性対応 マルウェアアナリスト 市田 達也 実績： 不審メール、ランサムウェア、偽サイト フォレンジックアナリスト 川崎 隆哉 実績：USBメモリ/PCフォレンジック アプリセキュリティエンジニア 杉山俊春 実績：脆弱性対応、スマートフォン解析 アプリセキュリティエンジニア 吉川 允樹 実績： 脆弱性対応、偽サイト マルウェア・フォレンジックアナリスト 櫻井 祐亮 実績：ランサムウェア、PCフォレンジック マルウェアアナリスト（9月入社） Recruitのセキュリティ技術部隊のご紹介

13. (C) Recruit Technologies Co.,Ltd. All rights reserved. 13 自社のサービスのみならず、 必要とあらば、他社製品に

    対しても調査を実施。 2017年JPCERT感謝状受贈 Recruitのセキュリティ技術部隊のご紹介 国内の主要なエンドポイント管理製品の 脆弱性を次々と報告

14. Recruitのセキュリティ技術部隊のご紹介 セキュリティ監視 –内製化方針– 14 ：監視対象 商用環境 執務環境 概要 Internet Service

    A Service B Service C ・・・ Internet 従業員A ・・・ 従業員B IDS WAF NW forensic Proxy DNS AD NW forensic Recruitグループで管理するサービスの監視。 24/365でネットワーク監視する必要がある。 Recruitグループの従業員が利用する情報システムの監視。 ProxyやEndpointのみならずDNSやADなどを含む様々な ログを相関分析する必要がある。 監視要件 • 24/365監視はMUST • セキュリティアプライアンスの監視の実施で十分 • 分析するべきログ量はあまり多くない • 24/365監視はSHOULD • ユーザ対応やコンピュータフォレンジックなども必要なケース 有 • 内部不正の監視を受けてくれるMSSがない • 分析するべきログ量が多い 外注中心(MSSサービス等)での監視 内製中心での監視 商用環境の監視は外注中心、執務環境の監視は内製中心。 SOC QMG IRG CSIRT

15. Recruitのセキュリティ技術部隊のご紹介 セキュリティ監視 –独自の次世代分析基盤– 15 課題を解決すべく、独自の次世代分析基盤を開発中。 SOC QMG IRG CSIRT アナリスト

    最終判断 ﾛｸﾞ 分析ｼｽﾃﾑ 機器ベンダ提供 適用 相関分析 ﾊﾟｹｯﾄ 分析ｼｽﾃﾑ 様々なソース 収集 ｽﾚｯﾄﾞｲﾝﾃﾘｼﾞｪﾝｽ 通知 イ ベ ン ト ト ラ ッ キ ン グ シ ス テ ム 起票 Log Packet 収集 ･･･ ･･･ ｾｷｭﾘﾃｨ機器 PC/VDI/ｻｰﾊﾞ 1 2 3 4 5 1 2 6 ①日本企業を狙うｻｲﾊﾞｰ攻撃を検知しにくい。 日本企業を狙うｻｲﾊﾞｰ攻撃を網羅した、 様々なｿｰｽから入手したTIを取り込む。 ②ﾛｸﾞ量が膨大。ﾛｸﾞ分析ｼｽﾃﾑ費用が高ｺｽﾄ。 OSSを組み合わせて分析ｼｽﾃﾑを構築 することで、大幅にｺｽﾄ削減する。 ③手動対応でｱﾅﾘｽﾄの工数が余分に必要。 監視/ﾛｸﾞ対象の増加に伴うｱﾗｰﾄ増加で更に工数大。 ﾛｸﾞ･ﾊﾟｹｯﾄの相関分析並びにｲﾍﾞﾝﾄﾄﾗｯｷﾝｸﾞ ｼｽﾃﾑへの起票を自動化することで、ｱﾅﾘｽﾄ が技術的な分析に集中することができ、 ﾌﾟﾛｱｸﾃｨﾌﾞな分析も行えるようになる。

16. Recruitのセキュリティ技術部隊のご紹介 セキュリティ監視 –独自の次世代分析基盤– 16 監視に必要な機能を実現する、現時点で最適なｿﾌﾄｳｪｱを 調査・選定し、組み合わせて実務に即したｼｽﾃﾑを設計。 SOC QMG IRG CSIRT

    ﾃﾞｰﾀ受信 fluentd ﾄﾗﾌｨｯｸﾃﾞｰﾀ分析 YAF Bro Snort ﾊﾟｹｯﾄﾃﾞｰﾀ生成 kafka ログ 前処理 パケット データ保存 データ加工 Hadoop Hadoop Elasticsearch STORM analytics for Hadoop Brocade workflow composer JIRA データ再保存 相関分析・可視化 イベントハンドリング イベントトラッキング

17. (C) Recruit Technologies Co.,Ltd. All rights reserved. Recruit-CSIRTのメンバ行動指針 –3つのty– 17

    ユーザ企業のセキュリティエンジニアとして活躍・成長するために、 3つのtyをメンバの行動指針として掲げている。 Reality 01 Responsibility 02 Specialty 03

18. (C) Recruit Technologies Co.,Ltd. All rights reserved. Recruit-CSIRTのメンバ行動指針 –Reality– 18

    ユーザ企業のセキュリティエンジニアだからこそ、 会社の利益を考慮し、Bestなレベルを提示するべき。 Reality 01 Responsibility 02 Specialty 03 投資すればするほどリスクは減るが、 リスクがゼロになることはない 投資額には制約がある 投資額 $ 残 存 リ ス ク ！ 高 多 少 低 会社・事業にとっての Bestはどこ？

19. (C) Recruit Technologies Co.,Ltd. All rights reserved. Recruit-CSIRTのメンバ行動指針 –Responsibility– 19

    CSIRTは各社と対等の立場にいる。 各社に対して感謝の気持ちを持って誠実に 対応することが必要。 ありがちなケース 目指す姿 CSIRTは各社より上の立場で統制している。 各社はCSIRTに従って当然である、という 考えで対応。 CSIRT 各社 統制 CSIRT 各社 統制 支援 CSIRTは各社と対等の立場で支援している。 各社はCSIRTと一丸となって対応。 各社に やらせる 各社に お願いする 2/2 Reality 01 Responsibility 02 Specialty 03

20. (C) Recruit Technologies Co.,Ltd. All rights reserved. Recruit-CSIRTのメンバ行動指針 –Specialty– 20

    Responsibilityを得るためにも、日々変化する技術に ついていく気概を持って専門性を磨き続け、高度な 技術力を維持する努力が重要。 Reality 01 Responsibility 02 Specialty 03 磨き続けないと、 技術が陳腐化 時間 技 術 レ ベ ル 高 低 磨く！ 保有する技術

21. (C) Recruit Technologies Co.,Ltd. All rights reserved. リクルートでのエンジニアの毎日 by 宮地、

    與那城 21

22. (C) Recruit Technologies Co.,Ltd. All rights reserved. 自己紹介 22 ▪氏名：宮地

    克弥 (みやち かつや) ハンドル名： いんと (@int_tt) ▪所属：株式会社リクルートテクノロジーズ テクノジープラットフォーム部 プロジェクト基盤グループ ▪趣味：開発 ゲーム 映画 漫画 などなど ▪略歴： 2012年04月 東北工業大学 情報通信工学科 入学 ~ キャンプ地方大会, ICTSC6運営,インターン巡り(P,C,V,Yとか), 留年 2017年03月 東北工業大学 情報通信工学科 卒業 2017年04月 リクルートテクノロジーズ入社

23. (C) Recruit Technologies Co.,Ltd. All rights reserved. 会社の雰囲気(オフィス) 23

24. (C) Recruit Technologies Co.,Ltd. All rights reserved. 会社の雰囲気(フリースペース) 24

25. (C) Recruit Technologies Co.,Ltd. All rights reserved. 会社の雰囲気(自分のデスク) 25

26. (C) Recruit Technologies Co.,Ltd. All rights reserved. 私の一日 就寝 起床~出勤

    業務 昼休み 業務 帰宅 自由時間 (主に趣味) 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 0 26

27. (C) Recruit Technologies Co.,Ltd. All rights reserved. やっている仕事 • レイヤーはインフラエンジニア(OS~MW辺り)

    • 各環境の構築,各種ミドルウェアのセットアップ • MWやアプリの性能検証 • もちろん作る時はセキュリティを考慮して作る 必要がある 27

28. (C) Recruit Technologies Co.,Ltd. All rights reserved. 自己紹介 ▪氏名：與那城 有

    （よなしろ なお） ハンドル名： おりさの(@orisano) ▪所属：株式会社リクルートテクノロジーズ テクノロジープラットフォーム部 アプリケーションソリューショングループ ▪略歴： 2010年04月 沖縄高等工業専門学校本科 入学 ~ 高専プロコン, 競技プログラミング的なこと 2015年04月 沖縄高等工業専門学校専攻科 入学 ~ ICPC, ISUCON, Hardening など 2016年02月 リクルートテクノロジーズ冬インターン 2016年08月 seccamp2016 2017年04月 リクルートテクノロジーズ入社 28

29. (C) Recruit Technologies Co.,Ltd. All rights reserved. 私の一日 29 11:00~:

    出社 12:00~: 昼食 13:00~: コーディング ~: コードレビュー,30分程度のミーティング 20:00: 退社

30. (C) Recruit Technologies Co.,Ltd. All rights reserved. 私の仕事内容 30 配属されて2ヶ月も経っていないので

    具体的な業務が紹介できない いわゆる基盤開発をやっています Golangで書いたものをGitHubで公開したり

31. (C) Recruit Technologies Co.,Ltd. All rights reserved. 私の仕事内容 31 配属されるまでは何をしていたか？

32. (C) Recruit Technologies Co.,Ltd. All rights reserved. 私の仕事内容 32 研修

    1) エンジニアとしての心構え (@t_wada) 2) HTML/CSS入門 3) TDD Boot Camp (@t_wada) 4) JavaScript入門 (@yosuke_furukawa) 5) Git入門 (@yosuke_furukawa) 6) Java入門(?) 7) AWS入門 8) DevOps導入指南 9) DB入門 10)検索結果の品質向上 11)Web Application Hardening (@nishimunea)

33. (C) Recruit Technologies Co.,Ltd. All rights reserved. 私の仕事内容 33 リクルートテクノロジーズ

    新人研修特別編を公開します https://recruit-tech.co.jp/blog/2017/06/07/bootcamp2017/

34. (C) Recruit Technologies Co.,Ltd. All rights reserved. エンジニアとして 良いと感じたところ 34

35. (C) Recruit Technologies Co.,Ltd. All rights reserved. cse vuln response

    チャンネルがすごい 35 日々公開される脆弱性に対しての対応が見れる 開かれたチャンネルで100人くらい参加している * ビジネスの観点でどう対応するか * どういう脆弱性が公開されたか などをセキュリティのチームじゃなくても 知ることができ最高

36. (C) Recruit Technologies Co.,Ltd. All rights reserved. 周りにすごい人達がたくさんいる環境 36 古川

    陽介 Node.jsコミッター／フロン トエンド開発スペシャリスト t-wada テスト駆動開発の伝道師に してpower-assertの開発者

37. (C) Recruit Technologies Co.,Ltd. All rights reserved. 周りにすごい人達がたくさんいる環境 37 koichik

    Seasar2／Node.jsのコミッ ターにしてアーキテクト

38. (C) Recruit Technologies Co.,Ltd. All rights reserved. 普段の業務とは別に 社内イベント等で実践的に学べる 38

39. (C) Recruit Technologies Co.,Ltd. All rights reserved. Web Application Hardening

    39 脆弱にRailsで作られたWebアプリを堅牢化する 4人1チームで2日に渡って行われました 最後は にしむねあさんによる攻撃 (cse vuln responseを見ていたお陰で被弾なし)

40. (C) Recruit Technologies Co.,Ltd. All rights reserved. Speee お手伝い 40

41. (C) Recruit Technologies Co.,Ltd. All rights reserved. その他にも 自社サービスのデータで分析ハッカソン 社内ISUCON,社内勉強会もたくさん

    41

42. (C) Recruit Technologies Co.,Ltd. All rights reserved. 伝えたいこと 42

43. (C) Recruit Technologies Co.,Ltd. All rights reserved. 紹介してきた通り二人とも セキュリティ技術者ではありません 43

44. (C) Recruit Technologies Co.,Ltd. All rights reserved. サービス開発においてのセキュリティ みんながセキュリティに詳しいわけでもない 開発側とセキュリティ側にも隔たりがある

    経営との懸け橋だけではなく開発との懸け橋も必要 両サイドの橋渡しとなるような人材が重要 サービスの開発側と検査側の相互理解が必要 44

45. (C) Recruit Technologies Co.,Ltd. All rights reserved. セキュリティの知識や技術を 身につけておくのは重要 45

46. (C) Recruit Technologies Co.,Ltd. All rights reserved. 46 セキュリティの知識や技術を 身につけておくのは重要

    僕と契約してよ！