攻撃者の目を持ってセキュリティホールをつぶす「RECRUIT RED TEAM」。チームリブランディングにこだわる理由

攻撃者の目を持ってセキュリティホールをつぶす「RECRUIT RED TEAM」。チームリブランディングにこだわる理由
2017年4月にリクルートで生まれた、ユーザ企業で国内初となるレッドチーム「RECRUIT RED TEAM」。脆弱性の穴を未然に防ぐために、攻撃者の視点で自社サービスのセキュリティリスクを洗い出すセキュリティ部隊だ。そして、このチームが変わっているのはその性質だけではない。RED TEAMはオリジナルのロゴからスライドツールまで、スタイリッシュなデザインで統一されており、まるでデザイン会社のようである。会社の1チームであるにもかかわらず、だ。また、今回デザインを手がけたのは日本デザインセンターだという。会社内のチームとして、社外にデザインを依頼した理由とは? なぜセキュリティチームがデザインにこだわるのか?株式会社リクルートテクノロジーズ クオリティマネジメントグループ マネジャーの西村宗晃さん、日本デザインセンターのアートディレクター有馬トモユキさん、プロデューサーの宮田洋平さんに話を聞いた。
「REDTEAM」ロゴマーク

「REDTEAM」ロゴマーク

身近なものだからこそ、本物を

――まずは、このプロジェクトが始まった背景を教えてください。

西村宗晃さん(以下、西村):サイバーセキュリティは各社でも話題になっていて、セキュリティホール=脆弱性を攻撃されると、多額の損失を生み出してしまいます。我々リクルートのサービスは、例えばリクナビ・リクナビNEXTといった就職・転職にまつわるものから、ゼクシィなど結婚にまつわるものまで、お客様のライフスタイルに直結する、さまざまな個人情報をお預かりしています。その個人情報が攻撃によって漏れてしまうことは、利用してくださっているお客様に多大な迷惑をおかけしてしまいます。もちろん我々としても、そのようなことが起きてしまうと今後のサービスの事業継続性に関わってくるため、非常に危機感を持っています。

リクルートテクノロジーズ ITソリューション統括部 サイバーセキュリティエンジニアリング部 クオリティマネジメントグループ マネジャー 西村宗晃

リクルートテクノロジーズ ITソリューション統括部 サイバーセキュリティエンジニアリング部 クオリティマネジメントグループ マネジャー 西村宗晃

では、実際どのようにしてセキュリティを上げていくかですが、多くの企業では施策やルールを決めるということがほとんどだと思います。しかし、その施策やルールが本当に効果があるのかは疑問で、ルールで決まっているからそうしているというのが実情ではないしょうか?そこに対してセキュリティが本当に機能しているのかを考えるという側面が必要になってきています。

RED TEAMは、攻撃者の方法を模倣して自分たちのサービスに対して攻撃し、穴を事前に塞ぐ部隊です。これはけっこう過激なアプローチで、これが受け入れられる会社というのも多くはなく、個人情報を預かるサービスを抱えている企業では、RED TEAMを日本で初めて立ち上げたのはリクルートだそうです。いままでは「どう守るか」という目線でしかセキュリティを考えてなかったものを、自分ならどう攻撃するかという観点で会社のセキュリティが正しく動いているかを調べていく。こういう活動ができる人も少ないですし、それを認めてもらえる組織風土もなかなかない。

有馬トモユキさん(以下、有馬):ハッカーは大まかにブラックハットとホワイトハットの2種類に分けられます。悪事を働くために技術を磨いているブラックハットと、その逆のホワイトハットですね。

日本デザインセンター 映像企画室 アートディレクター 有馬トモユキ

日本デザインセンター 映像企画室 アートディレクター 有馬トモユキ

西村:ブラックハットの人たちの手口を理解した上でサービスを守るために、私たちは擬似的な攻撃をしています。実際に攻撃が来る前に問題に気づけてよかった、という発想です。2020年にオリンピックも控えていますし、セキュリティエンジニアは各社で取り合いのような状態で、採用市場にもなかなか出てきませんし、リクルートでセキュリティの技術者を必要としているという状況がまだまだ社外で認知されていない。我々もセキュリティエンジニアであれば誰でもいいという話ではなく、攻撃者の目線を持ってリクルートのどこにリスクがあるのかということをきちんと測れる人材を欲しています。

その対策のひとつが、ビジュアルによる今回のリブランディングです。社外に我々のチームを認知させたいのはもちろん、メンバーがリクルートのサービスを守っていくということに対して、よりプライドを持って欲しいですね。

実はもうひとつテーマがあって、私はリクルートに来る前はデザイナーとして働いていたのですが、組織づくりにおいてデザインが果たす役割は大きいと感じていました。自分たちが正しいと思うもの、より良いもの、欲しいと思うものをつくっていこうという感情は、日々の慌しさのなかでどんどん忙殺されがちです。だからこそ、襟を正すタイミングが欲しいな、と。有馬さんにつくっていただいたパワーポイントやワードのテンプレートを使って自分たちの結果を残す時に、この素敵なデザインやこのテンプレートに合う中身をちゃんと自分たちも出さないといけない! と振り返りができるということが大事で、その材料としてこのビジュアルリブランディングを捉えています。

――ビジュアルリブランディングということは、もともとのロゴがあったということでしょうか?

西村:自分たちでつくったなんちゃってロゴはありますね。リクルートってもともといろんな人がどんどん新しいビジネスをつくっていくので、スタッフ部門においても自分たちのつくっている施策やチームに名前をつけてロゴを作ることは頻繁にあります。

そういうことを普段からやってきたのですが、どうせやるならちゃんと信頼のおけるプロに頼もうと思ったんです。なぜかというと、私は原研哉さんの「デザインのデザイン」に影響を受けているのですが、本物を見るとメンバーひとりひとりの美意識の水準が上がって、自分たちの仕事に対してもっと美しいものや、正しいものを求めるようになるんじゃないかと思ったんです。では、誰に頼もうかとなった時に、まず最初に声をかけたのが日本デザインセンターの宮田さんでした。

宮田さんとは学生時代からの知り合いなんですが、当時私はバンドをやっていて、その音楽活動のCDジャケットなどを全部宮田さんにトータルでつくってもらっていたこともありました。その後十数年、私もいろんな会社を経てリクルートでセキュリティの仕事に携わり、宮田さんはずっとデザイン業界で腕を磨かれていると。そこで改めて一緒にやらせていただけないかと声をかけたのがはじまりです。

宮田洋平さん(以下、宮田):西村さんからRED TEAMのブランディングをしたいということを伺った際、私たちが通常携わる会社全体のVIの制作やブランディングではなく、組織の中の一部署のブランディングはなかなかないので一瞬悩んだんですけど、昔バンドのデザインをやっていた時のようなノリでもいいのかもと(笑)。それが、去年の10月ぐらいの話です。

日本デザインセンター プロデュース本部 第1室 名古屋 チーフプロデューサー 宮田洋平

日本デザインセンター プロデュース本部 第1室 名古屋 チーフプロデューサー 宮田洋平

単純な形でも、同じイメージを共有できる

――後手に回る守備ではなく、攻撃の目を持ったセキュリティは非常にユニークだと思いますが、デザインするにあたってどのように課題を洗い出していきましたか?

宮田:RED TEAMの話を聞き、実際の手法なども教えていただいたところ、非常にクリエイティブだと感じました。こういったセキュリティの分野を直感的に理解しながらデザインを提供できるのは誰だろうと考えたところ、ぱっと有馬が出てきました。有馬とは7年ほど前にデジタル企画の社内プロジェクトで初めて一緒に仕事をしたのですが、デジタルに対する感覚がとても鋭いと感じていました。

有馬:僕はコンピューターをいじるのが大好きで、いつかプログラマーになるんだと思っていたほどだったので、Webならではの雰囲気は自分の中にあって、それを基にグラフィックデザインをやるとおもしろそうという思いがありました。

ハッカーによる攻撃として、街行く人たちの携帯電話を盗聴する、Webサービスに穴を開けるなどがあるかもしれませんが、結局想像力が試されるわけです。例えばセレブのアカウントを乗っ取ろうとした時に、サポートセンターに電話したらそれで済んでしまったなんてこともありえます。 高等なハックを使うこともできるけど、その実すごく生っぽい。正解はひとつじゃないというのはすごくいいなと思っていて、その感じをグラフィックデザインで表現したかった。

今回のREDTEAMのロゴモチーフはお堀や数学のルート記号で、お城の堀は攻めてくるものを防ぐなどの機能がありますが、そのお堀の形が好きに変われば色んな応用が利くんじゃないかと思いました。

【ビジュアル提案例】チームの機能を図形により表現。「城壁のお堀」をモチーフにして、リクルートのプロダクトが正常に機能している状態を暗喩している

【ビジュアル提案例】チームの機能を図形により表現。「城壁のお堀」をモチーフにして、リクルートのプロダクトが正常に機能している状態を暗喩している

ひとつの固有の形じゃないものをアイデンティティにしたくて、音楽やブラインド、お堀などをモチーフにして何案か出しました。

【提案例】個人向けシンボル。波の分解数はメンバーの数と比例させることもイメージ

【提案例】個人向けシンボル。波の分解数はメンバーの数と比例させることもイメージ

【提案例】ロゴマーク/ロゴマーク(チーム名入り)。こちらもストライプの数がメンバーの数と同期

【提案例】ロゴマーク/ロゴマーク(チーム名入り)。こちらもストライプの数がメンバーの数と同期

そのシルエットになった時にみんながどういう形をイメージするかということなんですが、単純な形でもみんな同じイメージを共有できると思うんですよね。ロゴには一応レギュレーションがありますが、線の長さは好きに伸ばせるようになっています。

――ロゴが可変するというのは、Webのレスポンシブのようですね。

有馬:グラフィックデザインって、プロトコルが共有できていれば世界のどこでも伝わると思っていたので、Webっぽいという意見はとても嬉しいですね 。

いわゆる「Web的なもの」という要件があったとしても、それは時代性によっていかようにも進化してしまうので、Webらしさの本質はなにかと考えた時に可搬性や変形のしやすさに着目しました。みんなが真似したときになんとなくその形に収束するみたいな。「このロゴはあのチームのことを言っている」ということが言葉よりも効率的に伝わる事が今回の役割だと思います。

有馬トモユキのインタビュー画像

西村:最初にこの案を見てお堀と聞いた時になるほどなと思ったんですが、セキュリティってどこまでいっても完全はないんです。例えば去年、身代金要求型ウイルスの「WannaCry」が流行りましたが、あれはWindowsにおいて何年も前から存在していた脆弱性が明るみになって一斉に攻撃を浴びてしまったんです。つまり昨日まで安全だと考えられていたものが急に危険なものになってしまうことがあり得る世界で、私たちにできることはなるべくセキュリティを高めるということ。結局我々にできるのは深いお堀を掘ることや高い石垣を積むことで、いくらやっても完全にならないというところの様子を有馬さんがしっかり作ってくれていました。

もうひとつは、RED TEAMというチーム名から連想するように真っ赤なイメージに引っ張られてしまうと思うのですが、今回は少し紫よりの柔らかい明るい赤でまとめていただきました。私たちはいま、開発者の人と一緒にタッグを組んで安全なものをつくる組織へと有機的に変わっているのですが、ただ「攻撃すればいい」「セキュリティに旗印がついたらどんな危ないことをやってもいい」というわけではなくてちゃんと事業のためになるという認識のもとで攻撃をする。そういう組織なんだという話をした時に、真っ赤ではない柔らかい赤を選んでもらいました。

【提案例】A4フォーマット・ステッカー・pptxフォーマットなどの展開例

【提案例】A4フォーマット・ステッカー・pptxフォーマットなどの展開例

パワーポイントのテンプレートも赤なんですけど荒々しくない 。柔らかさを与えるという意味で新鮮でした。そういった部分も整えてもらったんですけど、灰色などの薄い色に逃げないんですよ。割とこういうのって綺麗にしようと思ったら柔らかい色を選んだりしますが、今回は黒や赤でパキっとしているのにまとまりがあってドぎつくなりません。最近はこういうコントラスト高めのものが多かったりするんですか?

有馬:トレンドは正直あまり気にしていません。トレンドを気にすると毎年アップデートが必要だし、西村さんの主戦場であるカンファレンスの世界では現代的な天下一武道会みたいなことが起きてしまうので、そういうカオスの中でどう頑張っていくかと言うと、自分たちがいいなと思っているものを使う方がいい気がしています。もちろんトレンドも大好きですが、好きで気に入ったものをどうやって正しく、いまらしくしていくかということが大事ですよね。

有馬トモユキのPC画像

未来のために、いましっかりと自分たちを攻撃する

――グループ全体で目指すことと言うと広くなってしまうのですが、そこでRED TEAMが果たしていく役割、未来像などを教えてもらえますか?

西村:意識しているのは2020年です。2020年は我々にとって大きなふたつのイベントがありまして、ひとつはオリンピック。リクルートもスポンサーを務めるのですが、前回のロンドンオリンピックの時もスポンサーを狙ったDos攻撃が来たという話も聞いていますし、やはり危機感はありますね。

もうひとつは、リクルートは2020年に人材領域においての世界ナンバーワンを目指しています。すると今リクルートのことを知らない攻撃者、いまは海外の大手を狙っているような人たちがある時リクルートを狙ってやろうと思った時に、攻撃の潮目が変わると思うんです。それに立ち向かえるような組織を作る手段の一つとしてRED TEAMをおいています。自分だったらどこから落としてやるかという人たちを自分たちの中に擁することで、2020年より前に出来る限り多くの穴を潰しておきたい。そういったメンバーにもっと来てもらいたいという思いでつくっているということがありますね。

――その思いは、今後どのような方法で外に発信していく予定ですか。

西村:普通にやっていたらこれだけ大きな会社のサービスを全て見るのは難しいので、例えば自動で攻撃を仕掛けてセキュリティホールを見つけるスキャナーなどの開発を進めています。その情報を世の中にきちんと出していくことで社会貢献をしていきたい。

また、自分たちが業務で使っている他社製品の脆弱性や情報も、きちんと他社の人たちに公開しています。この製品でこういうものを見つけたので皆さんも注意してくださいという情報を、カンファレンスなどを通じて発信しています。なぜ必要かというと、これだけ世の中で多く採用されている製品でも実際にはこういう脆弱性があるという危機意識を他の会社の人にも持ってもらいたいためです。

我々の少ないリソースでは自分たちが利用している全ての製品を守れないので、働きかけをもっとしていきたい。例えば競合の会社も我々のようなセキュリティの組織を持っていたりします。その人たちも同じように危機意識を持つことで、使っているものに対しての安全性をみんなで高めていく。そうしていけば相対的に安全になっていくので、情報を共有することで世の中の感度を上げていくということもやっていきたいなと思っています。

西村宗晃と有馬トモユキと宮田洋平の集合写真

構成・文:八木あゆみ 聞き手:瀬尾陽(JDN) 撮影:石原哲人

リクルートテクノロジーズ
https://recruit-tech.co.jp/

日本デザインセンター
https://www.ndc.co.jp/