令和初の情報危機管理コンテストに見る、真の対応力――理想通りにいかない環境で、理想のインシデント対応に近づくには？：セキュリティ・アディッショナルタイム（34）（2/2 ページ）

インシデント対応に備え、さまざまな手順やツールを整え始めた企業は多いことだろう。だが、全てを担当者の思い通りに制御できる環境はない。さまざまな制約や初見の機器といった、「アンコントロール」な環境の中でこそ、真の対応力が問われることになる。

[高橋睦美，＠IT]

産官学のナレッジを集めて作成したシナリオを運営、縁の下の力持ちたち

　このコンテストは、入念に作り込まれた環境とシナリオの上に成り立っている。それを担っているのが、和歌山大学 川橋研究室の学生たちだ。

　競技環境にトラブルがあっては、トラブル対応能力を評価するコンテストも何もあったものではない。川橋研究室の学生らの一部はインフラの運用を担い、また別の学生らは「劇団」として電話の向こう側でセオ（CEO）さん役や一般利用者役を演じ、コンテストを進行させていった。

　彼ら、彼女らはこのために数カ月かけて何度も練習を重ね、本戦前日まで入念にリハーサルを行ってきた。そして本戦では、自作ツールを利用して各チームの挙動を把握するとともに、各チームからの電話やメールの受け答えも、顧客の視点から見て「きちんと状況を説明できているか」「なぜその変更が必要かを説得できているか」をチェックしていった。参加チームと同等以上の技術力、コミュニケーション力が必要になるわけだが、川橋研究室でコンテスト運営を率いた橋中義典氏は「想定外の出来事も幾つかあったが、頼れる先輩と同期、少しずつ力を付けてきた皆の力で終えることができた」と述べていた。

和歌山大学 川橋研究室の学生たち

　なおシナリオの中には、「攻撃を受けた自社サーバが“踏み台”になってDDoS攻撃を外部に仕掛けてしまい、それが巡り巡って別の自社Webサーバに埋め込んでいるコンポーネントの表示に影響する」という、単純には原因を突き止めにくい課題も用意されていた。こうしたシナリオの作成も学生らの仕事で、中には和歌山県警から研修の一環で研究室に加わっている警察官のアイデアも取り込まれているという。また、セキュリティ人材育成を目的とした「enPiT」や「Prosec」の経験やシナリオも反映されており、産官学にまたがり育成のためのノウハウが共有され始めているようだ。

さまざまな条件に縛られた「アンコントロール」の中でできることは？

　コンテストは毎回、新しい基軸を盛り込んできた。2018年はシスコシステムズの製品の脆弱性について別室のブースにいる担当者に口頭で尋ね、その情報を基に脆弱性を修正する課題を設けた。顧客との関係のみならず、システム構築を担うインテグレーターとのやりとりを再現し、「的確に質問する力」を試したわけだ。

　今回も基本は同じだが、ちょっとひねりを加えてあった。「チームがシステム運用を引き受けている顧客は、ある企業グループに属している」という設定だ。午前中に発生したWeb改ざんというインシデントを受け、グループ全体のセキュリティを統括する立場にあるホールディングスという「上」からのお達しで、現場が今まで使ったことのないWebアプリケーションファイアウォール（WAF）を導入することになる――そんな、社会人には思い当たる節のあり過ぎるシチュエーションを、F5ネットワークスジャパンやネットワンシステムズの協力を得て用意した。

　学生らにとってF5 NetworksのWAF「BIG-IP」は初見の機器。最初の設定だけは、システムインテグレーター役の川橋研究室の学生が行ったが「一度も触ったことのない機器なので、最後まで混乱してしまった」と話すチームもあったほど苦戦したようだ。

F5 Networksの機器を扱う学生たち

　BIG-IPに限らず、WAF導入時にはシグネチャのチューニングがポイントになる。コンテストでは、全てを一から設定してもらうのは難しいこともあり、「SQLインジェクションだけ止める」「ミドルウェアの脆弱性を狙うものを止める」「全部入り」など4種類のシグネチャセットを用意し、別室に控えるF5ネットワークスジャパンのエンジニアによる技術サポートを得ながら、どれを選ぶかは学生らに委ねた。ここで「自分たちは何をしたいのか」を踏まえて、「そのために何が必要か」といった適切な質問を投げ、必要な答えを引き出す力を試した。

F5ネットワークスジャパンのエンジニアによる技術サポートを得る学生たち

　ここには当然、地雷がある。導入方法に合わせてネットワーク設定や構成を調整しないと、思わぬトラブルが生じる恐れがあるのだ。しかも今回は、Cisco SystemsとF5 Networksのマルチベンダー構成であり、問題が生じると切り分けが難しい。事実、traPの大橋氏は「技術には自信があるけれど、WAF導入後に発生した問題では、機器に問題があるのか、DNSが問題なのかなど原因の切り分けがごっちゃになってしまった。焦っているときほど冷静にならなければいけないなと感じた」と振り返っていた。

シスコシステムズのエンジニアによる技術サポートを得る学生たち

　最初のころは「どんな問題が起きますか」といった焦点の定まらないざっくりとした質問をしたり、F5ネットワークスジャパンのエンジニアに対しCisco Systemsの機器の設定について尋ねたりしてしまったチームもあったそうだが、数度のやりとりを経て「こういう構成なんですが、導入方式はどれがいいでしょう」「このシグネチャセットを選んだ場合、どんな副作用があるんですか」といった具合に適切に尋ねていく術を素早く身に付けていったチームもあった。

　コンテストの企画、運営に当たってきた和歌山大学の川橋（泉）裕氏によると、今回のテーマの一つは「アンコントロール」だという。予算や意思決定権を全て握り、自分の理想のシステムを作っていけるならいいが、そんなエンジニアはおそらく存在しないだろう。現実には、「上からのトップダウンやコンプライアンスなど、さまざまな条件に縛られた中でどう戦っていくかが問われることになる」（川橋氏）。

　また、何か新しい機器を導入すれば、連動してDNSやファイアウォール、プロキシサーバなどインフラの他の要素にも影響を与えることになる。「複数の選択肢、多数の組み合わせの中からどれを選び、どう最適な構成を見いだしていくか」が運用の難しさだが、その一端を知ってもらうことも狙いの一つだったそうだ。

　案の定というべきか、各チームとも、ルーティングやDNS／DHCP周りといったネットワークに関する部分はどうも不得手のようだった。「自分では得意だと思っていたが、やってみてそうではないことが分かり、良い経験ができた」と述べたチームもあったほどだ。

　これはここ数年共通の課題のように見える。今のIT教育、セキュリティ教育は「ネットワークはつながって当たり前」という前提で進められることが多く、レイヤー2など下の方から積み上げていく感覚が薄い。また学生に話を聞いても、最近はやはり話題のAIなどの分野に興味を持つ学生が多く、ネットワークなど低いレイヤーの研究は、特に大学院の場合は「新規性があまりない」と、取り組む学生が減っているという。

　サイバー攻撃への対応にしても、インフラの安定運用にせよ、こうした足元の部分は欠かせない。インターネット自体が成熟し、高度化するにつれ、ブラックボックス化しているのかもしれないが、情報危機管理コンテストのような場が、今一度、そうした足元の部分に目を向けるきっかけになることを期待したい。

全員で記念写真