令和初の情報危機管理コンテストに見る、真の対応力――理想通りにいかない環境で、理想のインシデント対応に近づくには?:セキュリティ・アディッショナルタイム(34)(1/2 ページ)
インシデント対応に備え、さまざまな手順やツールを整え始めた企業は多いことだろう。だが、全てを担当者の思い通りに制御できる環境はない。さまざまな制約や初見の機器といった、「アンコントロール」な環境の中でこそ、真の対応力が問われることになる。
スキル、特に運用やトラブルシューティング、インシデント対応に関するスキルを伸ばすといったときには、大きく2つの方向性が考えられるだろう。1つ目は、普段利用している環境に最適化した形で深いオペレーションを可能にしていく能力。2つ目は、慣れない新しい環境を与えられてもそれに適応し、最低限必要な設定や障害対応をこなしていく能力。
もちろん、どちらもできるに越したことはない。特定のシステムを極めようにも基礎知識がないことには始まらないし、ある1つのシステムを深く知っていれば、初めてのシステムでもなんとなく「鼻が利く」ものだ。とはいえ、往々にして「初めて触れる機器」「初めての環境」となると苦しむことが多い(だからこそ、「マニュアル」「手順書」が重要なのだが)。
2019年5月に開催された「第14回情報危機管理コンテスト」は、そんな「初見殺し」の課題も取り入れた内容となった。
北京からも初参加、広がるコンテスト参加者
過去の連載でもたびたび紹介してきた通り、「情報危機管理コンテスト」はインシデント解決能力を競うユニークなコンテストだ。防御一辺倒ではなく、インシデントの検知や対応といった対応体制の重要性が広く認識される前から、不測の事態に対応する力を身に付ける場として開催されてきた。
インシデント対応やインシデントハンドリングにはさまざまな能力が必要だ。状況を把握して問題を切り分け、適切に解決していく技術力はもちろん、事態を周囲に分かりやすく説明し、報告するコミュニケーション能力も不可欠だ。また、たとえ「一人CSIRT」といえども、関係者やユーザーと連携しなければ適切な解決は望めないため、内部/外部とのチームワークも重要になる。
情報危機管理コンテストは、大学生や高専生を対象に、そうした総合力を試し競う場として続けられてきた。令和初のコンテストには、オンラインで行われる一次予選に22校から33チームが参加。国の枠を超え、和歌山大学と交流のある中国、北京郵電大学も予選に参加した。
なお北京郵電大学の学生たちは、わざわざ和歌山県白浜町の会場までコンテストの視察に訪れていた。同大学の孫松林教授によると、「中国では、就職に直結することもあって企業が開催するコンテスト、特にAIやビッグデータに関するコンテストが盛ん」とのこと。それに比べると、コミュニケーションを含めた総合的な対応力を競う、危機管理コンテストに類する取り組みはあまりないという。
チームワークと平常心をベースに技術スキルを発揮
本戦には、「年々レベルが高くなってきている」という一次予選、二次予選を通り抜け、5つのチームが参加した。
ほぼ丸1日かけて行われる本戦では、4人1組で構成された各チームが、顧客からWebサーバの運用を請け負う情報システム企業の担当者となり、さまざまなインシデントに対応していく。CTF(Capture The Flag)のように脆弱(ぜいじゃく)性を見つけたり、攻撃コードを作成したりする能力だけではなく、不適切な設定を見つけて修正する技術やインフラを安定させて運用する力、そして電話や電子メールで顧客に状況や対応方針を説明するソーシャルな力も試される。
競技中は、普段のシステム運用ならばあり得ないほど多くのインシデントが次々と発生する。アカウントを不正に詐取されて外部にリダイレクトされたり、SQLインジェクションによって社内の情報が盗み取られ、外部の掲示板でさらされたり……。
電話が鳴り、顧客から「Webの表示がおかしいんですが」といった問い合わせが入ると、各チームは事前に用意したチートシートや手順書を基に、手分けして対応に取り組んでいった。今回、決勝に残ったチームはいずれも、過去に本戦出場経験があるか、代々出場を続けてきた大学ばかりということもあり、1人がログを基に原因を調査する一方、別のメンバーが顧客に丁寧な口調で返信メールをしたため、そうこうしているうちに「これ、設定がちょっとおかしいんじゃない」と別のメンバーが提案するといった具合に、作業記録も含め落ち着いて作業を進めていた。
競技の結果、「育成」を軸に、経験を持つ先輩と、ゼミに入ってからまだ1カ月そこそこという後輩を組み合わせながらこれまでの14回全てで決勝戦に残ってきた関西大学のチーム「KobApple.inc」が着実な仕事ぶりを評価され「Reliable賞」に、しばしば参加してきたCTFとは勝手が違う中、全員で取り組んだ早稲田大学の「NSL_mlz0r3」が「アグレッシブ賞」に、ダントツの速さで仕事を進めた東京工業大学の「traP」が「ベストテクニカル賞」を受賞した。
そして、新規メンバーをリーダーに据えてチームワークを発揮した名古屋工業大学の「P01TERGEIST」が「文部科学大臣賞」に、手ごわい問題に直面してもメンタルを乱さず、「自分たちの危機管理」もできていた静岡大学の「sawayaka-secB」が「経済産業大臣賞」に輝いた。
また、ダントツの技術力を見せたtraPの中でも特に素晴らしい対応を見せた高山柊氏と、F5ネットワークスジャパンにわざわざ「対応、ありがとうございました」と感謝を述べに行ったことをはじめ、小まめで丁寧なコミュニケーションを取っていた大橋滉也氏が「JPCERT/CC賞」を受賞した。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 「無知の知」から本当の「知」へ――学生らが多面的な問題解決能力を競った「第13回情報危機管理コンテスト」
2018年5月24〜26日に行われた「第22回サイバー犯罪に関する白浜シンポジウム」と併催の「第13回情報危機管理コンテスト」決勝戦では、23校35チームの中から予選を勝ち抜いた5チームが、技術だけでなくコミュニケーション能力も含めた総合的な解決力を競った。 - 情報危機管理コンテストで考える――人材は育てるもの? それとも育つもの?
さまざまなセキュリティインシデントに対応する能力をコンテスト形式で鍛える「第12回情報危機管理コンテスト」の決勝戦が、2017年5月25〜27日に和歌山県田辺市で開催された。競技シナリオにもない脆弱(ぜいじゃく)性を見つけたチームあり、意識的に初参加者を加えたチームあり、これまでのコンテストの枠を超えた戦いが繰り広げられた。 - 地雷を踏み抜き、失敗から学べ! 運用力を磨く「情報危機管理コンテスト」
「サイバー犯罪に関する白浜シンポジウム」の会場で同時開催される「情報危機管理コンテスト」は、技術力だけでなく、コミュニケーション能力やマネジメント能力も含んだ総合的な運用力を問うユニークな腕試しの場だ。昨年に続き、その模様をお届けする。