サイバー攻撃から自社の事業を「守る」技術を競い、培うことを目的とした「Hardening 2017 Fes」は個人の技術力を試すことにとどまらず、さまざまな新機軸を取り込んで発展してきた。2017年11月23〜25日に淡路夢舞台国際会議場(兵庫県淡路市)で開催された様子を報告する。
「守る」技術を競い、培うことを目的にWeb Application Security Forum(WASForum)が主催してきた「Hardening Project」。淡路夢舞台国際会議場(兵庫県、2017年11月23〜25日)で開催された最新の取り組みである「Hardening 2017 Fes」では、個人の技術力に加えて「引き継ぎ力」が試された。
Hardening競技は、運営側が用意したさまざまなセキュリティインシデントから手元のサーバとサービスをチームで守り、ビジネスを継続させるスキルを競うものだ。
Hardening競技に参加するのは、事前の割り振りに従って編成された6人前後の16チーム。1日目の競技「Hardening Day」と、翌日の振り返り「Softening Day」などに取り組む。
各チームはECサイトを運営する企業の社員という設定で、複数のサーバ群を運用し、ミドルウェアの脆弱(ぜいじゃく)性を付いた改ざんやDDoS攻撃、ランサムウェアといったさまざまな攻撃からシステムを保護する。各サーバの脆弱性を修正し、SSL化などの設定を適切に行うことが目的の1つだ。
目的を達成すれば「顧客にとって安心できるサイト」と評価されてサービスレベルが向上し、その分「売上高」がアップする仕組みだ。競技の成績はこの売上高に基づいて決定される。他にも技術や顧客対応などさまざまな観点からの評価が加わる。
これら一連の環境は、情報通信研究機構(NICT)が運用する大規模エミュレーション基盤StarBED上に構築したものだ。
通常2日目に開催されるSoftening Dayでは、「何を準備し、何ができたか、そして何ができなかったか」を各チームが発表し、全員で振り返る。さまざまな気付きや学びを持ち帰ってもらうことが目的だ。
この取り組みにCTF(Capture the Flag)やハッカソンとは全く異なる魅力を感じ、個人や企業内の有志がそれぞれの味付けを加えたHardeningを各所で開くようになってきた。
もちろんWASForumが実施する「本家」でも、新たな気付きを参加者に持ち帰ってもらうべく、毎回異なるシナリオ、異なる運営体制で臨んでいる。今回のHardening 2017 Fesでも、新機軸があった。
今回の激震はHardening 2017 Fesの2日目の朝に訪れた。壇上に立った運営チーム「Kuromame6」の川口洋氏は参加者に向けてこう述べた。
「えー、会場の皆さまに人事異動のお知らせがございます。本日、社長を残して他の方は異動となります」
回を重ね、Hardeningの競技ルールが浸透するにつれ、各チームとも事前に戦略を練り、所属メンバーのスキルマップを作成するように変化してきた。さらに足りないところは、スポンサー各社のセキュリティソリューションを活用できる「マーケットプレイス」の購入を検討するといった具合に、入念に準備を行う。
実は今回の異変には予兆があった。9時間かけて行われた1日目の競技後に突如、「明日、2時間だけ延長戦を開催します」という告知があった。これまでとは異なる展開を受けて、各チームは巻き返しを狙い、懇親会もそこそこに初日の内容を振り返る。役割分担の見直しや積み残したタスクの整理を行い、満を持して延長戦に臨んだはずだった。
ところが当日になって、青天のへきれきの人事異動だ。チームのリーダーとなる社長役を除いて、16チームのメンバーがそっくり別のチームに受け渡されることになると知り、会場からは一斉に「ええっ……」という驚きの声が上がっていた。動揺した空気のまま15分の「引き継ぎ資料準備時間」を経て、新しいリーダー、新しいメンバーで構成された各チームが、あらためてサービスを守る作業に取り組んだ。
WASForum Hardening Project実行委員会委員長の門林雄基氏(奈良先端科学技術大学院大学)によると、今回のポイントは緊急時のビジネス継続力、すなわち「引き継ぎ力」だという。
「インシデントが起きると、72時間ぐらいはろくに眠らず頑張ってしまいがちだ。だが、人を疲弊させずにインシデントに対応するにはチームとしての取り組みが必要で、そのためには引き継ぎが非常に大事になる」(門林氏)。
これまでのHardeningでも、競技時間内に何を行ったかをまとめた「報告書」の提出を求めていたが、それを、他人にしっかり引き継ぎできるレベルまで、素早く引き上げることが必要になった。
人事異動を告げられた各チームは、前日にExcelでまとめたドキュメントを見直したり、Slackのログを書き出したり、あるいは手元のノートや紙に最低限必要な記録をメモしたりと、慌ただしく引き継ぎの準備を進めた。
思わず「記録を探す時間が惜しい……」とこぼす声もあり、分かっていてもついおざなりになってしまう「ドキュメント」の有用性を皆が痛感したようだ。新体制でのリスタート後には、「これ、どうなっていたか分かる人います?」「……」という会話があった。異動(や退社)してしまった人に確認しないと分からないという、現実社会でもよくある風景だ。
Copyright © ITmedia, Inc. All Rights Reserved.