セキュリティ対策は、「システムをどう守るか」という観点で考えるのが一般的だ。これに対し、「攻撃者ならどう攻撃するか」という観点で社内のシステムの脆弱性を洗い出すセキュリティ対策がある。この対策を実施する特殊な組織が「レッドチーム」である。その性質から「悪魔の代弁者」とも呼ばれる。最近は、米国の民間企業に設置が広がっているという。

 実際にシステムを攻撃するセキュリティ対策としては、ペネトレーションテストもある。実際に行うこと自体はレッドチームも同じだ。違いは、ペネトレーションテストはテスト期間が限られているのに対し、レッドチームは継続してリスクを探し続ける点である。

検査の内製化だけではもったいない

 日本でもレッドチームを設置する企業が現れた。2017年4月に「リクルートレッドチーム」を結成したリクルートテクノロジーズである。責任者は、リクルートのCSIRT(インシデント対策組織)を立ち上げたリクルートテクノロジーズの鴨志田昭輝 執行役員エグゼクティブマネジャーが務める。発足当初の体制は、西村宗晃氏と吉川允樹氏の社員2人と社外パートナー2人。加えて2017年7月には、Webサービス企業でセキュリティ組織を立ち上げた経験を持つ杉山俊春氏が入社し、レッドチームに参加した。

左から鴨志田氏、西村氏、杉山氏
左から鴨志田氏、西村氏、杉山氏
[画像のクリックで拡大表示]

 鴨志田氏は、別の企業にいたときから脆弱性検査の内製化に取り組んでいたという。内製化すると、調べる項目を柔軟に決められるのに加え、品質のコントロールが容易だというメリットがある。外部に検査を依頼すると、どの程度まで深く調べたのか、調べた人にどれくらいスキルがあるのかといったことが見えにくい。内製化すると、こうした点が明らかになる。