そのときStarBEDが動いた――「Hardening One」の夜明け前:川口洋のセキュリティ・プライベート・アイズ(42)(3/3 ページ)
10月27日と11月2日に行われた“ITシステムの総合運用能力”を競うイベント「Hardening One」の狙いと舞台裏を解説します。
シナリオを拡張し運用関連のイベントを追加
Hardening Oneでは、シナリオも拡張しました。基本的なシステムのHardening(堅牢化)に関するイベントを設定するだけではなく、ECサイトの運用に関係しそうな次のようなイベントを設定しました。
- ECサイトに対するハッキングと防御
- システムのパフォーマンスチューニング
- 障害が発生しているシステムの復旧
- 社内システムの運用ルールに則った運用
- ECサイトと代理店(加盟店)との運用業務
- ECサイトの利用規約問題
- カスタマサポート窓口と顧客の間の社外コミュニケーション
- 社内コミュニケーションと責任範囲の認識
このようなイベントではシナリオ設定こそが命なので、ここで詳細を明かすことはできません。それはHardening参加者だけのお楽しみですが、2つだけご紹介します。
1つは「ECサイトと代理店(加盟店)との運用業務」です。このECサイトではFTPサービスが稼働しており、代理店との運用業務のために使用されています。またこの運用に関する情報は、後で説明する「社内システム運用ポータル」にも記載してあります。
しかし、この「社内システム運用ポータル」を読まずにシステムを見ると、このFTPサービスが一見不必要なサービスに見えて、止めてしまいたい衝動に駆られます。ここで安易にFTPサービスを止めてしまうと、代理店→自社の社長→担当者(参加者)とクレームが来ることになります。
セキュリティに詳しい方であれば「今どきFTPなんか危険だから使わないよね」と思うところですが、ビジネスの現場では使わなければならない状況も存在します。そこでサービスを止めずにいかに運用するかが参加者の腕の見せ所です。
もう1つのシナリオは「ECショップの利用規約」に関するものです。前回のHardening Zeroの時に高木先生がやってきて「利用規約に関するイベントをやりたいですね」という発言をされていたので、今回のシナリオに組み込んでみました。
このECサイトの利用規約は少々突っ込みどころのある文面になっており、参加者のユーザーサポート窓口には、「この利用規約はいかがなものか?」というメールが送られてきます。
ここで問題となった利用規約をさっさと修正することが「正解」ではありません。今回の参加者は「システム管理者」として参加しており、「利用規約の修正権限」は与えられていません。
実はこの作業権限についても「社内システム運用ポータル」に記載してあり、責任範囲として決められた中でのアクションが求められます。もちろん違反した場合には、ボーナスの減額という形でポイントが減点されます。
社内システム運用ポータルを整備
Hardening Oneでは、株式会社ハードニングにおける社内システム部門のシステム運用ルール、業務範囲、システム構成、過去の障害履歴等をまとめた「社内システム運用ポータル」を用意しました。
前回のHardening Zeroを開催してみて、システムを守るためならいろんな選択肢がある反面、実際の業務においては制約事項も多いということを感じました。例えば、ルールで禁止されていたり、業務の標準化を行う必要があったり……と、さまざまな制約条件の中で我々はシステム運用を行っているわけです。これが定義してあることが自然であろうという発想から、今回の「社内システム運用ポータル」が生まれました。以下に、その際の会話を再現します。
社内システム運用ポータルができる瞬間の会話
「今回は退院したばっかりのシステム担当者を置いて、社員旅行に出かけちゃった話にしましょう」
「ひでー会社だなwww」
「退院したばかりのやつを置いて社員旅行かw」
「じゃ、せめて、今回は社内システムの運用ルールを整備して引き継いであるということにしますか」
現実には、引継ぎもせずに社員旅行に行く人もいないだろう(いや、いるかもしれませんが)ということで整備されました。
この「社内システム運用ポータル」には「過去の障害履歴」も記載してあります。実はこの「過去の障害履歴」の中には、前回のHardening Zeroで発生した障害や、今回発生するインシデントの伏線が少しずつちりばめてあります。
一方参加者にとっては、今回のHardening Oneで発生した障害に関する記録をポータルに追加していくことも最終評価の対象になります。障害対応に追われ、障害記録を残すことまで手が回らなかったチームもいたようです。
ここまで、Hardening One前夜までの模様をご報告しました。次回は、Hardening Dayの競技当日の模様、そしてSoftening Dayにおける振り返りの内容をご紹介します。
著者プロフィール
川口 洋(かわぐち ひろし)
チーフエバンジェリスト
CISSP
ラック入社後、IDSやファイアウォールなどの運用・管理業務を経て、セキュリティアナリストとして、JSOC監視サービスに従事し、日々セキュリティインシデントに対応。
チーフエバンジェリストとして、セキュリティオペレーションに関する研究、ITインフラのリスクに関する情報提供、啓発活動を行っている。Black Hat Japan、PacSec、Internet Week、情報セキュリティEXPO、サイバーテロ対策協議会などで講演し、安全なITネットワークの実現を目指して日夜奮闘中。
2010年〜2011年、セキュリティ&プログラミングキャンプの講師として未来ある若者の指導に当たる。2012年、最高の「守る」技術を持つトップエンジニアを発掘・顕彰する技術競技会「Hardening」のスタッフとしても参加し、ITシステム運用に関わる全ての人の能力向上のための活動も行っている。
Copyright © ITmedia, Inc. All Rights Reserved.