検索
連載

中の人が振り返る「Hardening 10 ValueChain」――学びにつながった「トラブルの数々」とは川口洋のセキュリティ・プライベート・アイズ(56)(2/2 ページ)

攻撃技術ではなく、組織運営なども含めた「守る技術」を持つエンジニアを発掘・顕彰するためのセキュリティイベント「Hardening 10 ValueChain」が、2015年11月7〜8日に沖縄で開催されました。本稿では、実行委員の1人である川口洋氏が、運営視点でのリポートをお届けします。

Share
Tweet
LINE
Hatena
前のページへ |       

競技本番!――トラブルが学びの基に

 競技の様子や優勝チームの勝因については、すでに各所の記事やブログに書かれていますので、本稿では、競技中に参加チームが遭遇していたトラブルについて紹介します。

 まず、優勝チーム以外において多く聞かれた感想が、「意思決定の難しさ」でした。ほぼ初対面のメンバー同士が顔を合わせて競技に挑むため、「誰がイニシアティブを取るのか」ということが大きな課題になるようです。この課題にうまく対処できるかどうかが、そのまま意思決定のスピードにつながり、チームの動きに影響します。

 意思決定が早ければ、セキュリティ人材を素早くアサインでき、トラブルが発生したシステムを迅速に復旧させることができます。各チームの技術者のレベルに大きな開きはなかったため、その技術者を「いかに迅速に動かせるか」ということが勝敗の分かれ目になったようです。


各チームが常に熱い議論を交わしていた

 次に発生していたのが、「設定変更の伝達ミス」でした。Hardening 10 ValueChainでは1チームが10人で構成されていたため、各自の作業内容が共有されていないことが、思いもよらぬ事態を招くことがありました。例えばあるチームでは、1人のメンバーが「あのシステムにログインできない!」とトラブルを疑い始めたのですが、実はその原因は、別のメンバーがシステム堅牢化のためにパスワード変更をしていたことでした。「インシデント対応の緊迫した状況の中にあっても、作業内容を共有する仕組みを適切に運用しなければならない」ということを、参加者も学ぶことができたようです。

 また、DNSの設定ミスが原因のトラブルも発生していました。競技中、特定のチームからのメールがkuromame6に届かなくなるという事態が発生しました。kuromame6では、メールの送受信に関係する設定変更はシナリオに入れておらず、原因は、チーム側がDNSサーバーの堅牢化のために設定変更を行ったことでした。

 Hardening Projectでは、毎回どこかのチームがDNSの設定を失敗して、「Webサイト閲覧不能」や「メール到達不能」などの事態を引き起こすという「自爆事故」が発生しています。通常、DNSは頻繁に設定を変更するようなサービスではないため、「DNS運用に関する知見があまり共有されていないのではないか」と感じました。

 最後に、今回発生したトラブルの中で最も考えさせられたのが、「システムの全面停止と復旧」に関するものです。今回、あるチームが、競技開始時点からセキュリティ侵害に遭ったシステム全体を停止し、安全が確認された後に再開するという作戦をとりました。

 現実世界では、侵害が判明した時点でシステムを停止し、調査を行うのが通常の対応だと私は考えていますが、過去のHardening Projectではどのチームも、「システムを継続しながら修復する」という作戦をとってきました。これは「頭では分かっていても、他のチームが売り上げを伸ばしている中で、自分たちだけシステムを止めることなどできない」という理由によるものです。

 そんな中で今回は、「危険なシステムをお客さまに見せることはできない」として、システムの全面停止に踏み切ったチームが現れました。競技中にこの作戦を選んだチームが出たと聞いたとき、「面白いことになるな」と思いました。結果的にこのチームはシステム復旧が遅れ、8時間の競技時間内に出遅れを挽回することができませんでしたが、このような作戦をとるチームが出現したことは、注目に値する出来事だったと思います。

 競技後にこのチームから、「システム復旧のスピードと復旧する際の条件を事前に決めておくことが重要」というコメントをもらいました。確かに、私が相談を受ける多くの組織でも、システム遮断や隔離の手順は決まっていることが多い一方で、システム復旧の条件について明確に規定しているところは多くありません。「システム復旧の条件」を規定しておくことの重要性を学ぶことができました。

イベントずくめの2015年を終えて

 早いもので、2015年も12月になりました。個人的には、この1年は2回の「Hardening Project」と1回の「セキュリティキャンプ」に携わり、あっという間に時間が過ぎていった印象です。またその間、全国各地を飛び回りながら、各地の美味しい料理とお酒をいただくこともできました。

 私自身、もともとはコミュニティに育ててもらったと思っているので、今後とも、少しでもコミュニティに恩返しができればと思っています。そんな訳で、慌ただしく1年を終えた私は、来年のネタを考えるために今夜も飲みに行くのでした。


食にも貪欲なHardening Project

著者プロフィール

▼ 川口 洋(かわぐち ひろし)

株式会社ラック

チーフエバンジェリスト

CISSP

ラック入社後、IDSやファイアウォールなどの運用・管理業務を経て、セキュリティアナリストとして、JSOC監視サービスに従事し、日々セキュリティインシデントに対応。チーフエバンジェリストとして、セキュリティオペレーションに関する研究、ITインフラのリスクに関する情報提供、啓発活動を行っている。Black Hat Japan、PacSec、Internet Week、情報セキュリティEXPO、サイバーテロ対策協議会などで講演し、安全なITネットワークの実現を目指して日夜奮闘中。

2010年〜2011年、セキュリティ&プログラミングキャンプの講師として未来ある若者の指導に当たる。2012年、最高の「守る」技術を持つトップエンジニアを発掘・顕彰する技術競技会「Hardening」のスタッフとしても参加し、ITシステム運用にかかわる全ての人の能力向上のための活動も行っている。


「川口洋のセキュリティ・プライベート・アイズ」バックナンバー

Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       

Security & Trust 記事ランキング

  1. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  2. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  5. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  6. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  7. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  8. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
  9. 「Amazonプライム感謝祭」に関するフィッシング攻撃を確認、注意すべき7つのポイントとは チェック・ポイント・ソフトウェア・テクノロジーズ
  10. 英国政府機関が取締役にサイバーリスクを「明確に伝える」ヒントを紹介
ページトップに戻る