Hardening One、8時間に渡る戦いの結果は?:川口洋のセキュリティ・プライベート・アイズ(43)(3/3 ページ)
前回のコラムでは、「Hardening One」開催に至るまでの狙いと準備の様子をご紹介しました。続けて今回は、10月27日と11月2日に行われたイベント本番の模様をお届けします。
振り返るための「Softening Day」
Hardening Dayが終わってからSoftening Dayまでの数日間、Hardening Projectメンバーは参加チームの採点について熱い議論を行いました。
Hardening Dayの競技時間中にクローラマシンで集計された「売り上げ」をベースとして、kuromame6が発生させたイベントの対応に応じてポイントを集計し、各チームのECサイトの「見込み販売力」を集計しました。この「見込み販売力」が最も高いチームがHardening Oneのグランプリとなります。このグランプリとは別に、「技術点」「顧客点」「対応点」を個別に評価し、それぞれの参加チームの講評も行います。
Softening Dayではまず、参加チームがそれぞれHardening Dayを振り返るプレゼンテーションを行いました。事前に以下のようなポイントをお願いし、プレゼンテーションをしてもらいました。
- チームの自己紹介と特性紹介
- メンバー構成をする際に考慮したことは何ですか?
- Hardening One参加のために事前に準備したことは何ですか?
- 最初にログインしたときに何を確認しましたか?
- 最初に何の対策をしましたか?
- チーム内でどのように役割分担をしましたか?
- チーム内でどのように情報を共有しましたか?
- 攻撃を発見するためにどのような仕組みをいれましたか?
- 攻撃を発見した際にどのように対処しましたか?
- 今日一番焦ったことは何ですか?
- 想定していない問題が発生しましたか?
- ECサイト安定稼働のために工夫したことは何ですか?
- Hardening参加で得たメリットは何かありますか?
- 次回Hardeningイベント開催に向けて、ご意見および改善点
各チームの発表内容はUstream中継は行われず、会場にいた参加者だけのお楽しみですが、面白かったコメントをいくつかご紹介します。
「『MARUGOSHI作戦』を実行」
「『絶対に引っかかるはずがない』と思っていた攻撃に気付いた瞬間の絶望感」(kuromame6による攻撃に対するコメント)
「普通、httpd.confを先に見ますよね」
「心が折れたチームメンバーを石巻爆速復興弁当でつなぎとめた」
「Webサイトの脆弱性診断をするために来たはずなのに、サイト自体見ることすらできなかった」(StarBEDへの接続に手間取ってのコメント)
「普通、こんな(ズタボロな)システムを置いて、社員旅行に行きます?」(退院したばっかりのシステム担当者を置いて社員旅行に出てしまった、という今回のシナリオの前提に対し)
「RDPセッションが切れたのでハッキングを疑ったが、(チーム内の)身内がセッションを取っていただけだった」
「まるで裸で戦場に居るようだった」
「レッドブルの飲みすぎに注意」
「先輩の凄さを間近で見ることができた」(同じ会社の先輩たちがHardening Zeroに参加していた)
「問題があることが分かっても、対策するには技術力が足りない」
「作業に忙殺されて対応記録の追加、修正が間に合わない」
「あらためて情報共有の難しさを思い知った」
「セキュリティだけでも運用だけでもダメ」
「でも、わいわいやれて楽しかった!」
各チームの発表の後は、kuromame6によるプレゼンテーションです。競技説明と同様、kuromame6を代表して私が説明しました。
ここから表彰式まではUstream中継が行われており、ご覧になった方もいらっしゃるでしょう。ネタバレになることも多いので、私のプレゼンテーションもUstream中継をご覧になった方だけのお楽しみとします。
最後にHardening Oneのグランプリ表彰式が行われました。各チームのECサイトの「見込み販売力」が最も高いチームがグランプリとして選ばれます。Hardening Oneのグランプリに選ばれたのは、Hardening Zeroに続き「パケットモンスター」でした。慶應義塾大学の武田研究室のOBと学生を主体としたチームが二連覇達成です。受賞の様子はWASForumのページに写真付きで掲載されていますので、ぜひご覧ください。
【関連リンク】
Hardening One 競技結果
http://wasforum.jp/2012/11/hardening-one-scores/
セキュリティ技術を競う競技会「Hardening One」において環境情報学部武田圭史研究室チームが二連覇達成
http://www.sfc.keio.ac.jp/news/20121113.html
その他、「技術点」「顧客点」「対応点」も公表され、スポンサー賞の贈呈セレモニーも行われました。表示されるポイントに各チームが一喜一憂する場面が見られました。
次回のHardeningに向けて
全てが手探りだったHardening Zeroから半年、新たな試みを取り入れたHardening Oneも参加者、スポンサーの方々のご協力により大盛況で終わることができました。技術的な課題だけではなく、パフォーマンスチューニングや不具合修正、社内外のコミュニケーションなども取り入れたシナリオにできたので、kuromame6としても満足しています。
しかし、新たな取り組みをしたことで、また新たな課題が浮かんできました。ざっと挙げただけでも
- シナリオの自動化
- システム環境の整備
- 整合性の取れた運用設定
- 競技環境サルベージの省力化
- プロビジョニングに挑戦
- スポンサーへの見せ方向上
といった事柄が浮かびます。これらの課題は次なるHardeningイベントに持ち越し、さらに良いイベントにしていきたいと思っています。
次は、このコラムを読んだ皆さんがチームを作って、次回のHardeningイベントに挑戦してくれることを期待しています。
実は先日ラック社内でも、Hardeningと同様のイベントを社内研修として開催しました。さまざまな会社の方が参加したHardeningとは違い、社内の研修では同じ部門から複数人が参加するため、また異なる楽しさがありました。このあたりの話も解説したいところですが、今回はスペースと私の気力が尽きたので、次回のコラムで取り上げたいと思います。
そして、次回Hardeningイベントのネタを探しにいくため、今日もkuromame6と飲みに行くのでした。
著者プロフィール
川口 洋(かわぐち ひろし)
チーフエバンジェリスト
CISSP
ラック入社後、IDSやファイアウォールなどの運用・管理業務を経て、セキュリティアナリストとして、JSOC監視サービスに従事し、日々セキュリティインシデントに対応。
チーフエバンジェリストとして、セキュリティオペレーションに関する研究、ITインフラのリスクに関する情報提供、啓発活動を行っている。Black Hat Japan、PacSec、Internet Week、情報セキュリティEXPO、サイバーテロ対策協議会などで講演し、安全なITネットワークの実現を目指して日夜奮闘中。
2010年〜2011年、セキュリティ&プログラミングキャンプの講師として未来ある若者の指導に当たる。2012年、最高の「守る」技術を持つトップエンジニアを発掘・顕彰する技術競技会「Hardening」のスタッフとしても参加し、ITシステム運用に関わる全ての人の能力向上のための活動も行っている。
Copyright © ITmedia, Inc. All Rights Reserved.