検索
連載

外部リソースの活用もポイントに、「Hardening 10 MarketPlace」開催川口洋のセキュリティ・プライベート・アイズ(54)(1/2 ページ)

「守る」技術を持つエンジニアの発掘を目的とした「Hardening 10 MarketPlace」が開催されました。新機軸を盛り込んだその模様を二回にわたってお伝えします。

Share
Tweet
LINE
Hatena
「川口洋のセキュリティ・プライベート・アイズ」のインデックス

連載目次

新システム「マーケットプレイス」を導入したHardening 10

 こんにちは、川口です。ようやく関東では梅雨入りしましたが、梅雨明け近い沖縄で「Hardening 10 MarketPlace」を開催してきましたので、二回に分けてその模様をお届けします。

 Hardening Projectは、最高の「守る」技術を持つトップエンジニアを発掘・顕彰することを目的とした取り組みで、技術競技(コンペティション)の形式で実施しています。チーム対抗形式で、脆弱性のあるECサイトへのハードニング(堅牢化)力を総合的に競うというものです。2012年に第1回を実施し、これまでに5回開催してきました。

 今回は前回に引き続き、沖縄県宜野湾市の沖縄コンベンションセンターで開催しました。2014年11月に開催した前回は、「Hardening 10 Evolutions」と題してミニ競技を開催しましたが、今回は「セキュリティ堅牢化の8耐が復活!」とばかりに、8時間に渡るハードな競技が復活しました。

 6月20日が競技を行う「Hardening Day」、6月21日が競技の振り返りと表彰を行う「Softening Day」として二日間に渡って開催されました。このHardening DayとSoftening Dayの組み合わせこそが、Hardening Projectの魅力の一つです。


「Hardening 10 MarketPlace」会場の様子

 例によって(?)、募集を開始してから2日の間にすばやく申し込みをした参加者は、「Super Early Birds」としてほぼ無条件で参加が承認されます。なんと今回はこの「Super Early Birds」に30人近い応募が殺到しました。急きょ、次の参加レベルである「Early Birds」も受付終了とし、審査を前提とする枠「Birds」のみとする措置を取りました。実行委員としても、これほどまでにたくさんの方から応募があるとは想定していませんでした。

 最終的に多数の応募をいただき、できる限り受け入れるために参加可能チーム数を8チームから12チームに拡大することになりました。この決定が、のちのちHardening Projectの技術チームである「kuromame6」の首を絞めることになるとは想定していませんでした。

 あまりの申し込みの多さに、参加者からは「皆さん、よく告知から数日で社内の決裁を取れますよね」という感想もいただいたのですが、

実際のインシデントレスポンスの現場で決裁がどうのとか言ってる場合か!!

という門林雄基実行委員長のお言葉が胸に刺さりますね。

 今回の参加者は6人×12チーム、合計72人と過去最高の参加人数となりました。従来はNICT(国立研究開発法人情報通信研究機構)のStarBED上に8チーム分の環境を構築していましたが、これを12チームに対応できるように拡張し、より多くの参加者を得てECサイトの堅牢化に挑戦しました。

 なお、72人のうち3分の1は沖縄からの参加者で、沖縄県内の認知度が高まっていることを感じました。昨年の「Hardening 10 Evolutions」をきっかけに「沖縄サイバーセキュリティネットワーク」が設立され、継続的に活動していることも影響していると思います。

関連リンク

「沖縄サイバーセキュリティネットワーク」について

http://ogb.go.jp/keisan/2406/13243/index.html


 従来のHardening競技では、Webサイトを堅牢化する参加者側と、シナリオに沿ってさまざまな攻撃を行うkuromame6という二つのポジションがありました。今回の競技ではそれらに加えて、「Hardening 10 MarketPlace」の名の通り、「マーケットプレイス」という新たな仕組みを取り入れました。

 つまり、自分のチームに足りない力を、さまざまなサービスやソリューションの形で「マーケットプレイス」から調達できる仕組みを用意したわけです。現実世界において、自組織に足りない能力や経験を外部のプロフェッショナルから調達することと同じです。これにより、ECサイトで発生するさまざまな問題に、より現実に近い形で対応できるようになりました。

 競技環境に用意されたマーケットプレイスには、Hardening Projectの2015年度のスポンサーでもある伊藤忠テクノソリューションズ様、日本電気様、テクマトリックス様、カスペルスキー様に加え、腕に覚えのある個人技術者5人からサービスや製品をご提供いただきました。参加者はこのマーケットプレイスを通じてサービスや製品を購入し、競技に挑みました。

マーケットプレイスに並ぶさまざまなサービスや製品

Hardening 10 MarketPlaceのシナリオコンセプト

 Hardening 10 MarketPlaceのシナリオのコンセプトは以下の4つで構成されています。


Hardening 10 MarketPlaceのコンセプト

 一つ目は「インシデントレスポンス」です。ECサイトで発生するさまざまなセキュリティインシデントに迅速に対応することが求められます。kuromame6が発生させるSQLインジェクションやクロスサイトスクリプティング、ドライブバイダウンロードなど、さまざまなセキュリティインシデントの発生を未然に防ぎ、発生した事象を検知し、迅速に対応することが求められます。

 そして、二つ目は「可用性」です。ECサイトを停止させず、サービスを継続することが求められます。競技時間中は、前述のようにkuromame6がさまざまな攻撃を仕掛けてECサイトの停止を狙います。ECサイトが停止している間は、参加者のECサイトの売り上げが停滞してしまいます。参加者はこれらの攻撃を未然に防ぎ、ECサイトを復旧させることが求められます。

 三つ目は「パフォーマンス」です。ECサイトのパフォーマンスを適切にチューニングし、たくさんのユーザーが買い物できるような環境にすることが求められます。今回使用したECサイトはパフォーマンスに難があり、初期状態のままではkuromame6が用意した売上カウント用クローラーの負荷に耐え切れず、2、3時間でハングアップしてしまうようになっています。参加者にはECサイトのボトルネックを見極め、多数のユーザーが買い物できるようなショップ全体のパフォーマンスチューニングが求められます。

 最後は「販売管理」です。ECサイトで販売している在庫を切らさないように適切なタイミングで在庫を仕入れることが求められます。在庫は「マーケットプレイス」で販売しており、ロット販売となっています。大きいロットの在庫を仕入れれば仕入れ単価は安くなりますが、最終的に未販売の在庫を抱えるリスクにつながります。参加者はこのリスクを見極めながら、在庫の管理をすることが求められます。


在庫の設定

関連記事

http://www.atmarkit.co.jp/ait/articles/1407/09/news007.html

工夫、工夫そして工夫――Hardening 10 APAC“運営”レポート

http://www.atmarkit.co.jp/ait/articles/1212/12/news008.html

Hardening One、8時間に渡る戦いの結果は?

http://www.atmarkit.co.jp/ait/articles/1212/10/news015.html

そのときStarBEDが動いた――「Hardening One」の夜明け前

http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/040a.html

実録、「Hardening Zero」の舞台裏


Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ

Security & Trust 記事ランキング

  1. 従業員は「最新のサイバー脅威との戦い」を強いられている セキュリティ教育に不満を持つ理由の1位は?
  2. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  3. 「SQLite」のゼロデイ脆弱性、GoogleのAIエージェントが見つける AIは脆弱性調査の課題をどう解決したのか?
  4. 日本人の約半数が「1年前より危険」と考えるオンライン詐欺とは マカフィーがホリデーショッピング詐欺に関して調査
  5. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  6. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  7. Google Cloudがサイバーフィジカルシステムのレジリエンスを高める10の指標を解説 最初にすべきことは?
  8. NIST、3つのポスト量子暗号(PQC)標準(FIPS 203〜205)を発表 量子コンピュータ悪用に耐える暗号化アルゴリズム、どう決めた?
  9. CISOが失敗を許容する組織を構築するために注目すべきは生成AIと何か? ガートナーが提言
  10. Microsoftが注意喚起 「クイックアシスト」を悪用した「テクニカルサポート詐欺」の手口、対策とは
ページトップに戻る