転んだ経験が、いつかセキュリティを進める力に:セキュリティ・アディッショナルタイム(19)(4/4 ページ)
複数のサーバ群からなるサービスサイトをサイバー攻撃からリアルタイムに防ぐ演習「Hardening Project」。高いセキュリティ技術だけでは勝ち残れず、サービス本体の売り上げを高める目的がある。サービスを守る技術を競う同様の取り組みを併せて4つ紹介する。
短時間でHardeningを繰り返し経験し、スキルアップを支援する「Micro Hardening」
MINI Hardening Project #2.3の参加者からは、「いろいろ試してみるために、テスト用にこんな環境があるとうれしい」という声も上がっていた。実は、Hardening Projectで技術面を担当する川口洋氏は既にそんな環境作りに取り組んでいる。それが「Micro Hardening」だ。
「Hardeningをやっていてよく言われるのが『もう一度やりたい、繰り返しやりたい』という要望だ。われわれとしても、もっとたくさんの人にもっとリーズナブルに試し、楽しんでもらいたいと思っている。けれどHardeningの環境をそのまま構築するのはなかなか大変。そこで作ってみたのがMicro Hardeningで、先日行われたセキュリティ・キャンプ全国大会でお披露目した」(川口氏)
Micro Hardeningは、必要なときにすぐに「Web+DNS+メール」などからなる環境をスコアサーバとともにさくらのクラウド上に立ち上げ、45分間でHardeningを体験できる仕組みだ。スタートすると、あらかじめ設定されたタイミングでSQLインジェクションやDDoS攻撃、ブルートフォース攻撃などがやってくる。対策を繰り返すことで、習熟度を上げていくことができる。
「毎回同じタイミングでやってくる同じ攻撃に対し、アクセス制御やパスワード変更、パッチ適用など、どの対策を打てば効果的かを学習できる。シューティングゲームを繰り返しやって習熟していくのと同じように、繰り返すことでスコアを上げていき、自分のやったことが評価される体験を提供したい」と川口氏。現時点では個人的なプロジェクトだが、改良を進め、何らかの形で体験してもらえる機会を広げていきたいそうだ。
企業対抗、技術に特化した「Recruit-Hardening」
Hardening Projectに競技者やマーケットプレースの立場で参加した経験を基に、独自の環境を構築し、社内Hardeningを実施してきたのがリクルートテクノロジーズだ。2017年9月1日にはDMM.comラボとヤフー、そしてもう1社(匿名希望)を招いて企業対抗の「Recruit-Hardening」を開催した*2)。
*2) 「Recruit-Hardeningを開催しました!」(リクルートテクノロジーズ)
本家Hardeningでは回を重ねるたびに業務の幅が広がっているが、Recruit-Hardeningは「設定や監視、堅牢化といった技術面に特化した内容になっている」とリクルートテクノロジーズの市田達也氏は説明する。
Recruit-Hardeningでは3人一組で競技を行う。他のHardeningに比べると手が足りないように思えるが、広告購入や売り上げなどの仕組みはなく、サービスのアップタイムとレスポンスタイムがそのまま点数に反映される仕組みだ。
その上参加するチームメンバーは普段から同じ職場で働く同僚だけに、互いの得意分野や技量は把握済み。コミュニケーションも円滑だ。
一方で、Recruit-Hardeningならではの難しさも仕込まれている。競技で守るべき対象は、4台のWebサーバに加え、データベースサーバとファイルサーバ(NFS)、ロードバランサーにファイアウォール、メールサーバ、DNSサーバと延べ10台に上る。
それなりの台数があり、少しずつ異なる脆弱性が存在する環境。ここに次々と攻撃が襲ってくるだけに、どこから手を付けるかという優先順位付けのセンスが問われる。最近流行の「恐喝型DoS」になぞらえ、競技時間内に「Wanonymous」と名乗る人物からメールが届き、回答を返さないとDoS攻撃を受けてしまうインシデントも用意されており、あっという間に競技時間は過ぎていった。
用意された環境にも工夫がある。最新のCentOSではなくやたらと古いバージョンのUbuntuやGentoo Linux、FreeBSD。ApacheやNginxではなくlighttpd。iptablesではなくpfSense……といったマイナーな構成も含まれている。リクルートテクノロジーズ社内で実施した際にも、経験豊富なエンジニアが苦戦した内容だという。アットホームな雰囲気で進められた種明かしの時間でこうした仕掛けが明かされると、和気あいあいとした雰囲気の中、反省点や改善点を挙げる声が上がっていた。
過去のHardeningに参加して悔しい思いをし、リベンジを期して参加したものの、「知らないミドルウェアでだいぶやられてしまった。やらなければいけない事柄は分かっていても、知らないツールでは設定がなかなかできなかった」と反省する声もあった。
「弘法筆を選ばず」ではないが、環境やツールを選ばず、どれだけあるべき姿に近づけることができるかが問われる内容だ。「普段使っている便利なコマンドやインターネット越しのアップデートが容易にできない状況でどう守るのか、一段下の理解が必要になっている」(市田氏)
3時間の競技を経て最も高いスコアを記録したのはヤフーのチームだった。立ち上がりこそ苦戦したものの、初期段階で見つけた脆弱性をきちんとつぶしてからシステムを稼働させることで、得点はきれいな上昇カーブを描き、安定した稼働を実現した。普段はプロダクト開発に携わっており、Hardening参加は初めてというメンバーもチームに加わっていたが、「さまざまな気付きが得られ、楽しかった」と振り返っていた。
リクルートテクノロジーズでは、こうした試みが他社にも広がり、持ち回り式で実施できないかと考えているそうだ。既にヤフーでは、エンジニアだけでなくビジネス企画や広報、カスタマーサポートなども巻き込んだ独自のHardeningを実施しており、2016年に続けて2017年10月にも実施した(追ってレポートを紹介予定)。このように、それぞれの問題意識を反映させた多様なHardeningが広がることで、守る意識、守る仲間の底上げにつながるのではないだろうか。
Hardeningの成果とは、そして次へ
「無知の知」という言葉がある。自分ができる、知っていると思っていたことが実はそうではないと知ることが、新たな成長の始まりだ。「知識としては知っていたけれど、手が動かなかった」「普段の環境で使っているものと異なり、時間がかかった」――参加者からはそんな声を聞くことがあるが、そうした挫折感や悔しさこそ、Hardeningがもたらす最大の成果かもしれない。
「サイバーセキュリティの世界には正解はない。その中で試行錯誤し、頑張るしかないが、そこでの行動指針の1つがHardeningだ。失敗は当然あるが、その失敗から学んでほしい」とHardening Project 実行委員長の門林氏は述べている。次回のHardeningは2017年11月23〜25日、舞台を淡路夢舞台国際会議場(兵庫県淡路市)に移して行われる予定だ。
Copyright © ITmedia, Inc. All Rights Reserved.