失敗が許される環境でインシデント対応に付きまとう利害調整や時間の制約を経験――あらためて振り返るHardening競技会：セキュリティ・アディッショナルタイム（28）（2/2 ページ）

2018年11月21日、22日に沖縄県宮古島で「Hardening II SecurEach」が開催される。その開催を前に、過去のHardening競技会と、そこから派生した「Micro Hardening」の取り組みを振り返ってみよう。

[高橋睦美，＠IT]

繰り返しを通じて技術的な定石を学ぶ

　さて、Hardening競技会の終了後に参加者の口からこぼれてくる言葉の中で最も多いのが、「あと何時間かあれば、何とかできたかも」「もう一度やれば、もっとうまくできるはず」というものだ。そんな声に応えて、川口氏が全国津々浦々で十数回にわたって開催し、すでにのべ400人以上が参加しているのが「Micro Hardening」（マイクロハードニング）だ。

試行錯誤を通じてサイバー攻撃への対処方法を学ぶ

　環境は通常のHardening競技会に比べてぐっとシンプルで、競技時間も1セット当たり45分。その間、毎回同じタイミングで同じ攻撃がやってくる。これを最低でも3回以上繰り返すことで、「この手はうまくいったようだ」「この対策は効き目がないどころか、副作用の方が大きい」といった試行錯誤を通じてサイバー攻撃への対処方法を学び、エンジニアとしてのスキルアップを支援する取り組みだ。

　Micro Hardeningも本家のHardening同様、「サービスの可用性とセキュリティのバランスをいかにとるか」に重点を置いている。サービスを守るため、脆弱性の確認とバージョンアップ、改ざんチェック、パスワードの変更といった基本的な対策を採るのはいいが、不正アクセスからサービスを保護するため、あまりにガチガチに設定を固めて必要なサービスまで止めてしまうと得点は伸びない。

　2018年8月27日に東京で、日本セキュリティオペレーション事業者協議会（ISOG-J）のワーキンググループ活動の一環として開催されたMicro Hardeningには、業務としてセキュリティ運用に携わる技術者らを中心に40人が参加し、4人1チームで競技に取り組んだ。

　中には、最近の異動でセキュリティに携わることになり、こうした競技を初めて経験する参加者もあり、「普段、こうした不正アクセスを体験することはないので良い経験になった」と述べていた。逆に、コンソールでの作業に夢中になるあまり、CMSの脆弱性を突かれてWebサイトが改ざんされたことになかなか気付かない、といったシーンも見受けられた。

　いずれのチームも回を重ね、振り返りを重ねる中で勘所をつかんでいったようだ。この結果、全く同じシナリオなのに、1セット目と2セット目、2セット目と3セット目とでは得点の伸びに大きな違いが表れた。

　見事1位となったチームでは、「1セット目は何をすればいいかも分からず、やられ放題だった。その反省を踏まえて何をすべきかをチームで整理し、共有した結果、2セット目はうまくいった」「2セット目では状況と照らし合わせながらログをしっかり見るようにした。おかげで3セット目では、攻撃がやってきたときにはログからすぐにそのことが分かったので、素早く対応できた」と、コミュニケーションとモニタリングの重要性を指摘していた。

1セット目よりも2セット目、2セット目よりも3セット目と、繰り返しを通じて成績を伸ばした優勝チーム

エンジニアリングの基礎こそが大事

　川口氏は「まず、誰がどんな作業をしたかを記録し、共有していないと、同じような作業を重複させて行ったり、食い違いが生じたりする元になる。また、むやみに変更や修正を加えると障害が起きる可能性があるため、一つ一つ元に戻せるかどうかを確認しながら作業を進めることも大切だ。そしてサービス稼働状況の調査と不審なログの調査も重要だ。いうなれば、セキュリティやサイバー攻撃に関する知識よりも、エンジニアリングの基礎こそが大事になる」と解説した。

　組織としてのセキュリティインシデントへの対応に唯一の正解はないが、技術面の「定石」はある。Micro Hardeningは、繰り返しインシデント対応を経験する中でその定石を体にたたき込む良いチャンスといえるだろう。Hardeningもそうだが、失敗したからといって会社や顧客に何ら迷惑を掛けることのない環境で存分に失敗し、学びを積み重ねていくことが、日本のセキュリティ対策の裾野を広げていくことにつながるはずだ。