外部リソースの活用もポイントに、「Hardening 10 MarketPlace」開催：川口洋のセキュリティ・プライベート・アイズ（54）（1/2 ページ）

「守る」技術を持つエンジニアの発掘を目的とした「Hardening 10 MarketPlace」が開催されました。新機軸を盛り込んだその模様を二回にわたってお伝えします。

» 2015年07月08日 05時00分公開

新システム「マーケットプレイス」を導入したHardening 10

　こんにちは、川口です。ようやく関東では梅雨入りしましたが、梅雨明け近い沖縄で「Hardening 10 MarketPlace」を開催してきましたので、二回に分けてその模様をお届けします。

　Hardening Projectは、最高の「守る」技術を持つトップエンジニアを発掘・顕彰することを目的とした取り組みで、技術競技（コンペティション）の形式で実施しています。チーム対抗形式で、脆弱性のあるECサイトへのハードニング（堅牢化）力を総合的に競うというものです。2012年に第1回を実施し、これまでに5回開催してきました。

　今回は前回に引き続き、沖縄県宜野湾市の沖縄コンベンションセンターで開催しました。2014年11月に開催した前回は、「Hardening 10 Evolutions」と題してミニ競技を開催しましたが、今回は「セキュリティ堅牢化の８耐が復活！」とばかりに、8時間に渡るハードな競技が復活しました。

　6月20日が競技を行う「Hardening Day」、6月21日が競技の振り返りと表彰を行う「Softening Day」として二日間に渡って開催されました。このHardening DayとSoftening Dayの組み合わせこそが、Hardening Projectの魅力の一つです。

「Hardening 10 MarketPlace」会場の様子

　例によって（？）、募集を開始してから2日の間にすばやく申し込みをした参加者は、「Super Early Birds」としてほぼ無条件で参加が承認されます。なんと今回はこの「Super Early Birds」に30人近い応募が殺到しました。急きょ、次の参加レベルである「Early Birds」も受付終了とし、審査を前提とする枠「Birds」のみとする措置を取りました。実行委員としても、これほどまでにたくさんの方から応募があるとは想定していませんでした。

　最終的に多数の応募をいただき、できる限り受け入れるために参加可能チーム数を8チームから12チームに拡大することになりました。この決定が、のちのちHardening Projectの技術チームである「kuromame6」の首を絞めることになるとは想定していませんでした。

　あまりの申し込みの多さに、参加者からは「皆さん、よく告知から数日で社内の決裁を取れますよね」という感想もいただいたのですが、

実際のインシデントレスポンスの現場で決裁がどうのとか言ってる場合か!!

という門林雄基実行委員長のお言葉が胸に刺さりますね。

　今回の参加者は6人×12チーム、合計72人と過去最高の参加人数となりました。従来はNICT（国立研究開発法人情報通信研究機構）のStarBED上に8チーム分の環境を構築していましたが、これを12チームに対応できるように拡張し、より多くの参加者を得てECサイトの堅牢化に挑戦しました。

　なお、72人のうち3分の1は沖縄からの参加者で、沖縄県内の認知度が高まっていることを感じました。昨年の「Hardening 10 Evolutions」をきっかけに「沖縄サイバーセキュリティネットワーク」が設立され、継続的に活動していることも影響していると思います。

Hardening 10 MarketPlaceのシナリオコンセプト

　Hardening 10 MarketPlaceのシナリオのコンセプトは以下の4つで構成されています。

Hardening 10 MarketPlaceのコンセプト

　一つ目は「インシデントレスポンス」です。ECサイトで発生するさまざまなセキュリティインシデントに迅速に対応することが求められます。kuromame6が発生させるSQLインジェクションやクロスサイトスクリプティング、ドライブバイダウンロードなど、さまざまなセキュリティインシデントの発生を未然に防ぎ、発生した事象を検知し、迅速に対応することが求められます。

　そして、二つ目は「可用性」です。ECサイトを停止させず、サービスを継続することが求められます。競技時間中は、前述のようにkuromame6がさまざまな攻撃を仕掛けてECサイトの停止を狙います。ECサイトが停止している間は、参加者のECサイトの売り上げが停滞してしまいます。参加者はこれらの攻撃を未然に防ぎ、ECサイトを復旧させることが求められます。

　三つ目は「パフォーマンス」です。ECサイトのパフォーマンスを適切にチューニングし、たくさんのユーザーが買い物できるような環境にすることが求められます。今回使用したECサイトはパフォーマンスに難があり、初期状態のままではkuromame6が用意した売上カウント用クローラーの負荷に耐え切れず、2、3時間でハングアップしてしまうようになっています。参加者にはECサイトのボトルネックを見極め、多数のユーザーが買い物できるようなショップ全体のパフォーマンスチューニングが求められます。

　最後は「販売管理」です。ECサイトで販売している在庫を切らさないように適切なタイミングで在庫を仕入れることが求められます。在庫は「マーケットプレイス」で販売しており、ロット販売となっています。大きいロットの在庫を仕入れれば仕入れ単価は安くなりますが、最終的に未販売の在庫を抱えるリスクにつながります。参加者はこのリスクを見極めながら、在庫の管理をすることが求められます。