中の人が振り返る「Hardening 10 ValueChain」――学びにつながった「トラブルの数々」とは:川口洋のセキュリティ・プライベート・アイズ(56)(2/2 ページ)
攻撃技術ではなく、組織運営なども含めた「守る技術」を持つエンジニアを発掘・顕彰するためのセキュリティイベント「Hardening 10 ValueChain」が、2015年11月7〜8日に沖縄で開催されました。本稿では、実行委員の1人である川口洋氏が、運営視点でのリポートをお届けします。
競技本番!――トラブルが学びの基に
競技の様子や優勝チームの勝因については、すでに各所の記事やブログに書かれていますので、本稿では、競技中に参加チームが遭遇していたトラブルについて紹介します。
まず、優勝チーム以外において多く聞かれた感想が、「意思決定の難しさ」でした。ほぼ初対面のメンバー同士が顔を合わせて競技に挑むため、「誰がイニシアティブを取るのか」ということが大きな課題になるようです。この課題にうまく対処できるかどうかが、そのまま意思決定のスピードにつながり、チームの動きに影響します。
意思決定が早ければ、セキュリティ人材を素早くアサインでき、トラブルが発生したシステムを迅速に復旧させることができます。各チームの技術者のレベルに大きな開きはなかったため、その技術者を「いかに迅速に動かせるか」ということが勝敗の分かれ目になったようです。
次に発生していたのが、「設定変更の伝達ミス」でした。Hardening 10 ValueChainでは1チームが10人で構成されていたため、各自の作業内容が共有されていないことが、思いもよらぬ事態を招くことがありました。例えばあるチームでは、1人のメンバーが「あのシステムにログインできない!」とトラブルを疑い始めたのですが、実はその原因は、別のメンバーがシステム堅牢化のためにパスワード変更をしていたことでした。「インシデント対応の緊迫した状況の中にあっても、作業内容を共有する仕組みを適切に運用しなければならない」ということを、参加者も学ぶことができたようです。
また、DNSの設定ミスが原因のトラブルも発生していました。競技中、特定のチームからのメールがkuromame6に届かなくなるという事態が発生しました。kuromame6では、メールの送受信に関係する設定変更はシナリオに入れておらず、原因は、チーム側がDNSサーバーの堅牢化のために設定変更を行ったことでした。
Hardening Projectでは、毎回どこかのチームがDNSの設定を失敗して、「Webサイト閲覧不能」や「メール到達不能」などの事態を引き起こすという「自爆事故」が発生しています。通常、DNSは頻繁に設定を変更するようなサービスではないため、「DNS運用に関する知見があまり共有されていないのではないか」と感じました。
最後に、今回発生したトラブルの中で最も考えさせられたのが、「システムの全面停止と復旧」に関するものです。今回、あるチームが、競技開始時点からセキュリティ侵害に遭ったシステム全体を停止し、安全が確認された後に再開するという作戦をとりました。
現実世界では、侵害が判明した時点でシステムを停止し、調査を行うのが通常の対応だと私は考えていますが、過去のHardening Projectではどのチームも、「システムを継続しながら修復する」という作戦をとってきました。これは「頭では分かっていても、他のチームが売り上げを伸ばしている中で、自分たちだけシステムを止めることなどできない」という理由によるものです。
そんな中で今回は、「危険なシステムをお客さまに見せることはできない」として、システムの全面停止に踏み切ったチームが現れました。競技中にこの作戦を選んだチームが出たと聞いたとき、「面白いことになるな」と思いました。結果的にこのチームはシステム復旧が遅れ、8時間の競技時間内に出遅れを挽回することができませんでしたが、このような作戦をとるチームが出現したことは、注目に値する出来事だったと思います。
競技後にこのチームから、「システム復旧のスピードと復旧する際の条件を事前に決めておくことが重要」というコメントをもらいました。確かに、私が相談を受ける多くの組織でも、システム遮断や隔離の手順は決まっていることが多い一方で、システム復旧の条件について明確に規定しているところは多くありません。「システム復旧の条件」を規定しておくことの重要性を学ぶことができました。
イベントずくめの2015年を終えて
早いもので、2015年も12月になりました。個人的には、この1年は2回の「Hardening Project」と1回の「セキュリティキャンプ」に携わり、あっという間に時間が過ぎていった印象です。またその間、全国各地を飛び回りながら、各地の美味しい料理とお酒をいただくこともできました。
私自身、もともとはコミュニティに育ててもらったと思っているので、今後とも、少しでもコミュニティに恩返しができればと思っています。そんな訳で、慌ただしく1年を終えた私は、来年のネタを考えるために今夜も飲みに行くのでした。
著者プロフィール
▼ 川口 洋(かわぐち ひろし)
チーフエバンジェリスト
CISSP
ラック入社後、IDSやファイアウォールなどの運用・管理業務を経て、セキュリティアナリストとして、JSOC監視サービスに従事し、日々セキュリティインシデントに対応。チーフエバンジェリストとして、セキュリティオペレーションに関する研究、ITインフラのリスクに関する情報提供、啓発活動を行っている。Black Hat Japan、PacSec、Internet Week、情報セキュリティEXPO、サイバーテロ対策協議会などで講演し、安全なITネットワークの実現を目指して日夜奮闘中。
2010年〜2011年、セキュリティ&プログラミングキャンプの講師として未来ある若者の指導に当たる。2012年、最高の「守る」技術を持つトップエンジニアを発掘・顕彰する技術競技会「Hardening」のスタッフとしても参加し、ITシステム運用にかかわる全ての人の能力向上のための活動も行っている。
- 「DNS通信」記録していますか?――万一に備えたDNSクエリログの保存方法
- Web広告からのマルウエア感染「Malvertising」にどう対処すべきか
- 中の人が振り返る「Hardening 10 ValueChain」――学びにつながった「トラブルの数々」とは
- 無慈悲な専門家チーム「kuromame6」の暗躍に負けず勝利をつかんだチームは?
- 外部リソースの活用もポイントに、「Hardening 10 MarketPlace」開催
- Hardening Projectから派生した「MINI Hardening Project」に行ってみた!
- 「これさえしておけば助かったのに……」を避けるため、今すぐ確認すべき7項目
- アップデート機能を悪用した攻撃に対抗セヨ!
- 工夫、工夫そして工夫――Hardening 10 APAC“運営”レポート
- ウイルスとは言い切れない“悪意のあるソフトウェア”
- 2013年のセキュリティインシデントを振り返る
- ここが変だよ、そのWeb改ざん対応
- きっかけは不正侵入――私がセキュリティ業界に足を踏み入れたワケ
- CMSが狙われる3つの理由
- FacebookやApple、MSまで……Javaの脆弱性を狙う攻撃の手口
- Hardening One、8時間に渡る戦いの結果は?
- そのときStarBEDが動いた――「Hardening One」の夜明け前
- ロシアでわしも考えた
- 実録、「Hardening Zero」の舞台裏
- ちょっと変わったSQLインジェクション
- 官民連携の情報共有を真面目に考える
- アプリケーションサーバの脆弱性にご注意を
- IPv6、6つの悩み事
- スパムが吹けば薬局がもうかる
- JSOCに飛び込んできた不審なメール――これが標的型攻撃の実態だ
- 東日本大震災、そのときJSOCは
- ペニーオークションのセキュリティを斬る
- 2010年、5つの思い出――Gumblarからキャンプまで
- 9・18事件にみる7つの誤解
- 曇りのち晴れとなるか? クラウド環境のセキュリティ
- Webを見るだけで――ここまできたiPhoneの脅威
- 不安が残る、アドビの「脆弱性直しました」
- ともだち373人できるかな――インターネットメッセンジャーセキュリティ定点観測
- 実録・4大データベースへの直接攻撃
- Gumblar、いま注目すべきは名前ではなく“事象”
- Gumblarがあぶり出す 「空虚なセキュリティ対策」
- 新春早々の「Gumblar一問一答」
- 実はBlasterやNetsky並み?静かにはびこる“Gumblar”
- ECサイトソフトウェアはなぜ更新されないのか
- 狙われるphpMyAdmin、攻撃のきっかけは?
- 学生の未来に期待する夏
- 米韓へのDoS攻撃に見る、検知と防御の考え方
- 分かっちゃいるけど難しい、アカウント情報盗用ボット対策
- 狙われる甘〜いTomcat
- 表裏一体、あっちのリアルとこっちのサイバー
- 世間の認識と脅威レベルのギャップ――XSSは本当に危ないか?
- 急増したSQLインジェクション、McColo遮断の影響は
- ○×表の真実:「検知できる」ってどういうこと?
- ところで、パッケージアプリのセキュリティは?
- レッツ、登壇――アウトプットのひとつのかたち
Copyright © ITmedia, Inc. All Rights Reserved.