外部リソースの活用もポイントに、「Hardening 10 MarketPlace」開催:川口洋のセキュリティ・プライベート・アイズ(54)(1/2 ページ)
「守る」技術を持つエンジニアの発掘を目的とした「Hardening 10 MarketPlace」が開催されました。新機軸を盛り込んだその模様を二回にわたってお伝えします。
新システム「マーケットプレイス」を導入したHardening 10
こんにちは、川口です。ようやく関東では梅雨入りしましたが、梅雨明け近い沖縄で「Hardening 10 MarketPlace」を開催してきましたので、二回に分けてその模様をお届けします。
Hardening Projectは、最高の「守る」技術を持つトップエンジニアを発掘・顕彰することを目的とした取り組みで、技術競技(コンペティション)の形式で実施しています。チーム対抗形式で、脆弱性のあるECサイトへのハードニング(堅牢化)力を総合的に競うというものです。2012年に第1回を実施し、これまでに5回開催してきました。
今回は前回に引き続き、沖縄県宜野湾市の沖縄コンベンションセンターで開催しました。2014年11月に開催した前回は、「Hardening 10 Evolutions」と題してミニ競技を開催しましたが、今回は「セキュリティ堅牢化の8耐が復活!」とばかりに、8時間に渡るハードな競技が復活しました。
6月20日が競技を行う「Hardening Day」、6月21日が競技の振り返りと表彰を行う「Softening Day」として二日間に渡って開催されました。このHardening DayとSoftening Dayの組み合わせこそが、Hardening Projectの魅力の一つです。
例によって(?)、募集を開始してから2日の間にすばやく申し込みをした参加者は、「Super Early Birds」としてほぼ無条件で参加が承認されます。なんと今回はこの「Super Early Birds」に30人近い応募が殺到しました。急きょ、次の参加レベルである「Early Birds」も受付終了とし、審査を前提とする枠「Birds」のみとする措置を取りました。実行委員としても、これほどまでにたくさんの方から応募があるとは想定していませんでした。
最終的に多数の応募をいただき、できる限り受け入れるために参加可能チーム数を8チームから12チームに拡大することになりました。この決定が、のちのちHardening Projectの技術チームである「kuromame6」の首を絞めることになるとは想定していませんでした。
あまりの申し込みの多さに、参加者からは「皆さん、よく告知から数日で社内の決裁を取れますよね」という感想もいただいたのですが、
実際のインシデントレスポンスの現場で決裁がどうのとか言ってる場合か!!
という門林雄基実行委員長のお言葉が胸に刺さりますね。
今回の参加者は6人×12チーム、合計72人と過去最高の参加人数となりました。従来はNICT(国立研究開発法人情報通信研究機構)のStarBED上に8チーム分の環境を構築していましたが、これを12チームに対応できるように拡張し、より多くの参加者を得てECサイトの堅牢化に挑戦しました。
なお、72人のうち3分の1は沖縄からの参加者で、沖縄県内の認知度が高まっていることを感じました。昨年の「Hardening 10 Evolutions」をきっかけに「沖縄サイバーセキュリティネットワーク」が設立され、継続的に活動していることも影響していると思います。
従来のHardening競技では、Webサイトを堅牢化する参加者側と、シナリオに沿ってさまざまな攻撃を行うkuromame6という二つのポジションがありました。今回の競技ではそれらに加えて、「Hardening 10 MarketPlace」の名の通り、「マーケットプレイス」という新たな仕組みを取り入れました。
つまり、自分のチームに足りない力を、さまざまなサービスやソリューションの形で「マーケットプレイス」から調達できる仕組みを用意したわけです。現実世界において、自組織に足りない能力や経験を外部のプロフェッショナルから調達することと同じです。これにより、ECサイトで発生するさまざまな問題に、より現実に近い形で対応できるようになりました。
競技環境に用意されたマーケットプレイスには、Hardening Projectの2015年度のスポンサーでもある伊藤忠テクノソリューションズ様、日本電気様、テクマトリックス様、カスペルスキー様に加え、腕に覚えのある個人技術者5人からサービスや製品をご提供いただきました。参加者はこのマーケットプレイスを通じてサービスや製品を購入し、競技に挑みました。
Hardening 10 MarketPlaceのシナリオコンセプト
Hardening 10 MarketPlaceのシナリオのコンセプトは以下の4つで構成されています。
一つ目は「インシデントレスポンス」です。ECサイトで発生するさまざまなセキュリティインシデントに迅速に対応することが求められます。kuromame6が発生させるSQLインジェクションやクロスサイトスクリプティング、ドライブバイダウンロードなど、さまざまなセキュリティインシデントの発生を未然に防ぎ、発生した事象を検知し、迅速に対応することが求められます。
そして、二つ目は「可用性」です。ECサイトを停止させず、サービスを継続することが求められます。競技時間中は、前述のようにkuromame6がさまざまな攻撃を仕掛けてECサイトの停止を狙います。ECサイトが停止している間は、参加者のECサイトの売り上げが停滞してしまいます。参加者はこれらの攻撃を未然に防ぎ、ECサイトを復旧させることが求められます。
三つ目は「パフォーマンス」です。ECサイトのパフォーマンスを適切にチューニングし、たくさんのユーザーが買い物できるような環境にすることが求められます。今回使用したECサイトはパフォーマンスに難があり、初期状態のままではkuromame6が用意した売上カウント用クローラーの負荷に耐え切れず、2、3時間でハングアップしてしまうようになっています。参加者にはECサイトのボトルネックを見極め、多数のユーザーが買い物できるようなショップ全体のパフォーマンスチューニングが求められます。
最後は「販売管理」です。ECサイトで販売している在庫を切らさないように適切なタイミングで在庫を仕入れることが求められます。在庫は「マーケットプレイス」で販売しており、ロット販売となっています。大きいロットの在庫を仕入れれば仕入れ単価は安くなりますが、最終的に未販売の在庫を抱えるリスクにつながります。参加者はこのリスクを見極めながら、在庫の管理をすることが求められます。
関連記事
http://www.atmarkit.co.jp/ait/articles/1407/09/news007.html
工夫、工夫そして工夫――Hardening 10 APAC“運営”レポート
http://www.atmarkit.co.jp/ait/articles/1212/12/news008.html
Hardening One、8時間に渡る戦いの結果は?
http://www.atmarkit.co.jp/ait/articles/1212/10/news015.html
そのときStarBEDが動いた――「Hardening One」の夜明け前
http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/040a.html
実録、「Hardening Zero」の舞台裏
Copyright © ITmedia, Inc. All Rights Reserved.