転んだ経験が、いつかセキュリティを進める力に:セキュリティ・アディッショナルタイム(19)(1/4 ページ)
複数のサーバ群からなるサービスサイトをサイバー攻撃からリアルタイムに防ぐ演習「Hardening Project」。高いセキュリティ技術だけでは勝ち残れず、サービス本体の売り上げを高める目的がある。サービスを守る技術を競う同様の取り組みを併せて4つ紹介する。
ITシステムをさまざまなサイバー攻撃から守り、サービスを継続させ、ビジネスの価値を最大化するために技術力を生かす――「守る」技術を演習で競い、伸ばす取り組み「Hardening Project」は、回を重ねるごとにさまざまな新機軸を取り入れてきた。
Hardening Projectの精神を共有しつつ、オリジナリティーを加えた新たなイベント「Mini Hardening」「Micro Hardening」「Recruit-Hardening」も生まれている。ビジネスを守り、伸ばすためにセキュリティ技術を役立てようとするコミュニティーの裾野が広がってきた形だ。それぞれのプロジェクトの目的は少しずつ異なる。それぞれ、どのような学びが得られるのかを順に紹介する。
「守る」ためにセキュリティ技術を生かすHardening Projectの狙い
昨今、「セキュリティ人材の不足」という声を背景に、セキュリティエンジニア育成を目的とした取り組みが広がっている。座学形式の学習はもちろんだが、机上シミュレーションやCapture The Flag(CTF)など、より実践的な形が増えてきたようだ。その中でHardening Projectは当初からユニークなコンセプトを掲げて開催してきた。
Hardening Projectが重視しているのは「Webサービスをさまざまな攻撃から守り、サービス価値を最大化するためのスキルを競う」という目的だ。
飛び抜けた防御スキルがあれば勝ち抜ける、というものではない。参加者はセキュリティエンジニアが中心だが、必ずしも技術者だけでなく、マネジャーやマーケティング担当者、広報担当者など、さまざまな役割が求められる。システムを堅牢(けんろう)化するスキルに加え、顧客や外部機関とコミュニケーションを取りながらトラブルに対応していくプロセスも重視している。
競技は2日間に分けて行う長丁場だ。1日目は「Hardening Day」としてチームに分かれ、システムを攻撃から守る競技に取り組む。2日目の「Softening Day」ではチームごとに振り返りを行う。このプロセスを経てチームメンバー内はもちろん、他のチームがどんな視点で何に取り組んだかを共有し、「学び」を持ち帰るようになっている。
Hardening Projectは東京で始まった。その後沖縄に場所を移し、回を重ねるたびに、参加者の周囲に口コミで独特の楽しさが伝わり、申し込みは増加の一途をたどっている。10回目を数えた「Hardening 1010 Cash Flow」(2017年6月23〜24日、沖縄県宜野湾市で開催)には、6人一組で15チームの参加者があった。スポンサー企業や運営に当たるメンバーも含めると約200人が加わるイベントだ。
現実世界のビジネスをなぞり、次々追加されてきた新機軸
Hardening 1010 Cash Flowの参加者は、ECサイトの運営チームという立場で競技に臨む。Webサーバをはじめとするシステム一式を運用し、主催者チーム「Kuromame6」が仕掛けてくるさまざまな攻撃からECサイトを守りつつ、「売り上げ」を競う。
メールで寄せられる外部からの連絡や顧客からの問い合わせへの対応、技術的な対応がどの程度綿密かなども評価対象だが、最も評価されるのはECサイトのパフォーマンス、つまり売り上げだ。サービスレベルに加え、安心して買い物ができる安全な環境かどうかを調べるためにKuromame6が用意したクローラーが巡回し、評価に応じて加点される。
Hardening Projectの基本的な方針は変わらないものの、回を重ねる中でさまざまな取り組みが盛り込まれてきた。外部のベンダーが提供するセキュリティ製品やサービスを購入できる「マーケットプレース」や、ECサイトの売り上げを伸ばすための「広告出稿」などだ。過去には売り上げの範囲内でやりくりしながら大量に広告を出稿したり、マーケットプレースを活用したりして「カネで人手を買う」方針を採ることで、優れた成績を修めたチームもあった。
今回はさらに「融資」「キャッシュフロー」という考え方を取り入れた。「銀行」を設け、借入金を活用して成長のための投資を行える仕組みだ(競技終了後に、借り入れ分は売上高から差し引かれる)。
Hardening Project 実行委員長の門林雄基氏(奈良先端科学技術大学院大学)は、「『Cash Flow』という名前の通り、貨幣経済から信頼経済へのトランジションを具現化した。現実のビジネスは借金や株式、債券といったものを抜きにしては回らない。エンジニアにはピンとこないのではないかと不安だったが、お金を借り、資金繰りをしながらビジネスを大きくすることにきちんとチャレンジしてくれた」と述べていた。
マーケットプレースでは、アンチマルウェアやIDS、IPSといったセキュリティソリューションの他、過去のHardening Projectに参加経験のあるエンジニアのコンサルティングサービスなどが購入可能だ。さらに現実世界で早期警戒情報を提供しているJPCERTコーディネーションセンター(JPCERT/CC)が参加し、各チームと情報共有しながら警告を発する取り組みを実施し、多くのチームに協力してもらったという。
現実世界では連日さまざまな脅威情報が飛び交う中、漠然と情報収集するのではなく、自分の組織にとって何が必要かを常に模索しながら対応していく必要がある。その際、逆説的だが、自社に必要な情報をピックアップして対策を進めるための材料として、横のつながりを通して得られる他組織からの情報が有用だ。「自組織だけでの対応は難しい時代」においてJPCERT/CCは「情報共有の手助けをしていく、皆さんにも協力してほしい」と呼び掛けていた。
内部監査や情報漏えいに対する記者説明会も実施
今回は他にも新たな取り組みがあった。マーケットプレースでの製品購入に不審なところがないかを確認する「内部監査」イベントを追加した。競技中に幾つかのチームを回り、きちんと見積もり、発注、検収のプロセスを踏んだかを確認して「報告書の提出を」と求めるシーンもあった。
堅牢化に手が回らなかった幾つかのチームでは、競技時間中に脆弱(ぜいじゃく)性を突かれて「情報漏えい」が発生。チーム代表がステージに上がって経緯や原因、再発防止策について説明する「記者説明会」が開かれる一幕もあり、筆者も質問役として参加。限られた時間で集めた情報を基に、不慣れながら答えるシーンもあった。
回を重ね、Hardening Projectは技術者だけでなくさまざまな役割の人が協力して進める競技だ、ということが理解されるにつれ、普段の業務から得ている知見を活用する参加者が増えてきた。広告購入や在庫確認業務もその1つだが、今回、各チームの「ファインプレー」の中で目立ったのは、総務の視点だ。
実は過去の大会では度々「8時間では足りない、もっと時間をかけたかった」といった声が挙がっていた。それを踏まえHardening 1010 Cash Flowの競技時間は10時間の長丁場となった。ここで「朝9時から夜19時すぎまで10時間の労働となると、36協定を結ぶ必要があるのではないか」と提案してきたチームがあったという。さらに、きちんと休憩時間を交代で取り、競技終了間際には勤怠報告を行うチームもあるなど、「ホワイト」な環境が目立った。
Copyright © ITmedia, Inc. All Rights Reserved.