転んだ経験が、いつかセキュリティを進める力に:セキュリティ・アディッショナルタイム(19)(3/4 ページ)
複数のサーバ群からなるサービスサイトをサイバー攻撃からリアルタイムに防ぐ演習「Hardening Project」。高いセキュリティ技術だけでは勝ち残れず、サービス本体の売り上げを高める目的がある。サービスを守る技術を競う同様の取り組みを併せて4つ紹介する。
カジュアルに「マイルドな修羅場」を体験できる「MINI Hardening」
筆者もそうだったが、本家Hardening Projectに参加すると多くの学びがある。が、己の非力さを認識して打ちのめされ、落ち込む人は多い。そこで、優しく学べる「マイルドな修羅場」を体験しようという趣旨で有志が実行しているのが「MINI Hardening」だ*1)。
MINI Hardening Projectは、2014年に開催された「Hardening 10 Evolutions」のアンカンファレンスの成果として発足した。「いかにシステムを守り、サービスを継続させるかを競う」という目的はHardening Projectと変わらないが、規模を抑えた。
本家は丸2日かかる大掛かりなイベントで、システム構成も複雑だ。MINI Hardeningは半日から1日程度の時間で、カジュアルにセキュリティインシデントを体験できる。システムもAmazon Web Services(AWS)上に構築したWindowsとLAMPという比較的シンプルなものだ。
2017年8月26日に都内で開催された「MINI Hardening Project #2.3」には24人が参加し、4人一組のチームに分かれて競技に取り組んだ。準備時間はあまりなく、ほとんどのチームが当日初めてメンバーの顔を知ったという状態だ。
ルール説明後に与えられた30分程度の準備時間で自己紹介し、役割を決め、Slackのチャンネルを設定したころには競技がスタート。3時間という限られた時間の中でシステムの堅牢化とインシデント対応、メール対応などに手分けして取り組んだ。
MINI Hardeningで参加者が守るのは、WordPressで構築されたECサイトとFTPサーバ、CMSであるJoomla!を利用した公開サーバだ。本家同様、環境を確認して不備を修正し、時にはデータベースのチューニングに取り組みながら、脆弱性を突いた不正アクセスやブルートフォース攻撃、DDoS攻撃からサーバを守る作業を進めていった。
フルHTTPS化に移行するWebサーバが増えてきたことを背景に、電子証明書の扱いが求められる課題もあり、中には、慌てて検索しながら証明書インストール手順を確認するチームも見られた。
MINI Hardening Projectの特徴は、本家以上に、セキュリティ以外の分野、具体的には開発やインフラ運用を担当するエンジニアが参加していたことだ。「セキュリティにはいろいろな分野の人の力が必要だ。そのため、『ssmjp』など他の勉強会からの参加者枠も設け、いろいろな人に参加してセキュリティインシデントを経験してもらいたいと考えている」(運営メンバーの田端政弘氏)という。
参加者の1人は「普段はインフラの運用を担当しており、あまり使ったことのない部分に触れることができた。ただ、普段の業務では変更を加える際、必ずレビューやダブルチェックを行い、承認を経てから反映する仕組みが徹底している。今回は時間が限られている中、知識として『こうするのが正しい』と分かっていても本当にやっていいのか、サービスが停止しないか、少しドキドキしながら作業した」と振り返っていた。
「今回のイベントを通して、実際に攻撃を受けるというのがどのようなものなのかを経験し、いろいろな気付きを得てもらえたのではないか。死なない程度に修羅場を体験することが成長につながる」(田端氏)
Copyright © ITmedia, Inc. All Rights Reserved.