検索
連載

転んだ経験が、いつかセキュリティを進める力にセキュリティ・アディッショナルタイム(19)(2/4 ページ)

複数のサーバ群からなるサービスサイトをサイバー攻撃からリアルタイムに防ぐ演習「Hardening Project」。高いセキュリティ技術だけでは勝ち残れず、サービス本体の売り上げを高める目的がある。サービスを守る技術を競う同様の取り組みを併せて4つ紹介する。

Share
Tweet
LINE
Hatena

中核となるのは確かな技術

 Hardening Projectの大目的である「守る」を実現するには、確実な技術とスキルが不可欠だ。一連の競技環境は情報通信研究機構(NICT)のテストベッド環境「StarBED」上に構築されている。当初はシンプルな構成だったが、これも回を重ねるごとに拡張を続け、今回は延べ541台もの大規模環境となった。

 各チームは、複数のEC用Webサーバや公開サーバ、DNSサーバ、データベースサーバなど20台からなる環境を手分けして運用せねばならない。

 競技ポイントの1つは、「レンタルサーバ」、つまり自社システムと同じポリシーを適用しにくい環境を用意したことだ。「シャドーITということがよく言われるが、IT環境は多層的であり、ガバナンスの効かない環境はいっぱいある。かといって教科書的に一律禁止することもできない。これを前提にして、いかにセキュリティマネジメントを実現していくかが問われる」(門林氏)

 参加者は、コンテンツ管理システム(CMS)やファイアウォールなどの環境と設定を確認し、必要に応じてアップデートや設定変更を行う。こうしてランサムウェアやDDoS攻撃、Web改ざんなどのインシデントに対応していった。もちろん最終目的であるWebサイトの安定稼働に向け、目視などで稼働状況を監視し、データベースのチューニングに取り組むメンバーも重要な役割を果たした。

システムを把握し、ToDoを整理し、優先順位を付けながらインシデントに対応していく
システムを把握し、ToDoを整理し、優先順位を付けながらインシデントに対応していく

 競技に備えて事前に勉強会を開くなど、入念に準備するチームも増えている。沖縄入りする前からSlackなどでコミュニケーションを取り、「それぞれの得意分野と不得意分野の整理」「ToDoリストの作成」「チートシートの作成」などを行っていたチームは多い。当日はこれに沿って、バックアップの取得やパスワードの変更などの対策を進めていった。

 ユニークなところでは、CentOSやDebianのフルパッケージを持ち込んだり、Raspberry Piにyumのアップデートパッケージを入れてきたり、Ansibleを用いたデプロイ、構成管理に取り組んだりと、用意周到なチームも目立つようになった(が、競技中にはなかなか活用し切れなかったようだ)。

 さらに前回の情報を参考に「謝罪会見があり得る」と想定し、「よい謝罪」という書籍を読み込んできたチームまであった(が、幸いなことにこのチームで情報漏えいは発生しなかった)。

一度転んだ経験がモノを言う

 Softening Dayのプレゼンテーションの中で印象に残ったのは、「シーサーとゆかいな仲間たち」のメンバーが「普段と違う立場を経験できた」と振り返っていたことだ。「普段はSOCアナリストとして働いているが、この体験を通じてお客さまの本当の気持ちが分かった。これまでは脆弱性が見つかったら『すぐ対策やってください』と言うだけだったが、これからはもっと優しくしたい」

 「ななちゅーばー」メンバーの次の言葉も印象的だ。「日常やっていないことは競技ではできないし、競技でできないことは日常の業務でもできない。もし目の前で事故が起きたらどうすべきか。短距離走の筋肉と長距離走の筋肉、両方を考える機会になった」

 この日、どのような環境が用意されて、それに対する攻撃の内容はどうだったのか、「種明かし」を行ったKuromame6の川口洋氏(ラック)は次のように呼び掛けた。「高度な設定やプログラミング能力も大事だけれど、多くの事件は、ほんのささいなところから起きている。パスワードの管理だったり、アクセス制御だったり、管理者が気付かない標準設定だったり……そのささいなところをマメにつぶしていくのが皆さんの仕事」。

 さらに、「(インシデントが)起きた後の動きが重要だ。そのためにスクリプトやチェックリストといったものが役に立つ。もう1つ、転ぶ体験をしたことがあるかが重要だ。この場で一度転び、コラボレーションした経験が、きっと後々に生きてくる」と続けた。

 結果として、平均年齢が20歳未満ながらも、過去に参加経験のあるメンバーも集まった「術中Hack」が優勝した。沖縄からの参加者が多かったものの、距離を埋めるコミュニケーションを通じて役割分担を明確にし、「皆が『こうしよう』『あれをしたい』と自然に動いた」ことが勝因の1つかもしれないと振り返る。

 さらに今回のルールを生かして、「サービスを止めない前提で、借金してでも広告を打つ」という意思決定を下していたこともポイントだろう。加えて、一度転んだ「経験」が物を言うことを示したのではないだろうか。

グランプリに輝いた「術中Hack」
グランプリに輝いた「術中Hack」

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る