VPNルータとドリンク類が見守った「守りの技術」
運用に焦点を当てたセキュリティ競技大会「Hardening Zero」
2012/05/25
「守る方のセキュリティを評価してほしい」「現実の問題と向き合いつつ、セキュリティオペレーションに携わっている人に陽の目を浴びてほしい」――こんなコンセプトから生まれたユニークなセキュリティコンテスト「Hardening Zero」が、WASForumの主催で4月に開催された(関連記事)。
最近、CTF(Capture The Flag)をはじめ、セキュリティ技術者の育成を目指したイベントが国内でも企画、開催されるようになった。Hardening Zeroもその範疇に含まれる取り組みだが、ユニークなのはその設定。オンラインショッピングサイトをきちんと運用しながらサーバを堅牢化し、さまざまなインシデントに対処していくという、いかにも現実に「ありそう」なシチュエーションを再現し、運用技術を競うというものだ。
運用とセキュリティの両立を競う「Hardening Day」の模様というのも、「基本的にサーバは運用し続けないといけないもの。一方でセキュリティ向上のためには、それを停止しなければならない局面もある。そういった現実の中で、どのように運用していくかが問われる」(WASForum Hardening Zero実行委員会 実行委員長 門林雄基氏)からだ。
Hardening Zeroは、8時間に渡って競技を行う「Hardening Day」と、その競技結果を振り返る「Softening Day」の2日に分けて行われた。学生を主体としたチームから社会人チーム、主にCTFに参戦しているチームまで、全8チームが参加した。
現実の運用をなぞったシナリオ
「そもそも事故というのは、情報が足りないときに起きるもの」(Hardening Zero実行委員会 川口洋氏)。
配布された資料から必要な情報を洗い出すために知恵を絞る各チームHardening Dayは、引用だらけで読みにくい前システム担当者からの引き継ぎメールを読み解くところから始まった。とあるオンラインコマースサイトでIT担当者が入院することになり、参加チームが急きょ引き継ぐことになった――という設定だ。一方で社長からは、「売り上げをなるべくたくさん上げるように(=ECサイトの運用を止めないように)」という命令が下っている。
参加チームは、ところどころ漏れがあるらしいメールの情報を基にネットワーク構成や環境、アカウント情報を再現し、サーバにアクセスして安定運用を試みることになる。Webサーバが停止してしまうと売り上げは上がらず、いい成績は収められない。かといって、脆弱性が残ったまま運用を続けて、情報漏えいなどが発生してしまうとペナルティを課される。
各チームはそれぞれ資料と首っ引きになりながら、持ち込んだ機材を用いて格闘を始めた。時折「これ、アップデートしておく?」「別のサーバもチェックしておくわ」といった会話が漏れ聞こえてくる(実際には、Skypeなどを使ってもっと盛んに会話が交わされていたようだ)。昼食の時間になっても、机を離れる参加者はほとんどいなかったほどだ。
競技が進むにつれ、いろいろなおやつや飲み物も消費されるユニークなのは、顧客対応も評価の対象に入っていることだ。時折サポート窓口宛てに送られてくるメールへの対応が適切になされた場合は「バッヂ」で評価される仕組みとなっていた。
2時間おきに得点が集計され、会場で紹介された参加者にも運営側にも「想定外」が多数
4月26日に行われた「Softening Day」では、参加チームがどんな意図でどういった作業を行ったかを披露し、最後に成績発表と表彰式が行われた。
Softening Dayでは、参加チームによるプレゼンも行われた参加チームはそれぞれ事前に、誰がどういった作業を行うか分担を決めたり、あれこれシナリオを想定して「こんな脆弱性があるのではないか」「この項目とあの項目はチェックしておこう」と、ある程度の手順を決めておいたそうだが、その想定通りにいった部分もあれば、うまくいかなかった部分ももちろんあった。最終的には「カン」による対処を迫られた局面もあったようだ。
バックドアプログラムの送信やWebサイトの改ざん、ブルートフォースなど、運営側はいくつもの「イベント」を用意していた。チームによっては、運営側の予想を上回る素早さでソースコードの脆弱性を見つけ出して対処したり、「たまたま見つかった」バックドアを削除していたという。中には、手慣れた様子でiptablesの設定をきれいに整えたり、独自にrsyslogを書き換えて監視項目を追加するチームもあったそうだ。
Hardening Dayを支えた運営スタッフ。各チームの状況を見ながらいろいろな「インシデント」を起こした
課題を洗い出して付箋に書き出し
一覧できる形でチーム内で共有。進ちょく状況も一目で分かるチームごとのポリシーの違いが垣間見られた事柄の1つが、情報漏えいにつながる脆弱性が見つかったときの「顧客対応」だ。素早い修正を優先して告知せずに直したチームがあった一方で、あえていったんサーバを停止し、経過も含めて情報提供を優先したチームもあった。「顧客に告知のメールを送りたいので、メールアドレスを教えてほしい」と、運営側が想定していなかった申し出まであったという。
チーム内での情報共有に、付箋を用いた「カンバン」を用いたチームもあった。問題を洗い出して重要性ごとに分類し、完了すれば印を付けてボード下部に貼り付けていく……というシンプルなものだ。だが、全体を見渡すことで「漏れ」に気付くことができたり、タスクごとの所要時間を大まかにつかんでペース配分に役立てるなど、いろいろな効果があったようだ。
成績は、売り上げ(=稼働時間)のほか、技術点や顧客対応などいくつかの角度から評価された。優勝したのは、理想的な顧客対応を見せつつ最高の売り上げを達成した「パケットモンスター」。慶応大学 環境情報学部 武田圭史研究室の学生と卒業生、教授で構成されたチームだ。パケットモンスターのチームリーダーを務める中島明日香さんは、「メンバーそれぞれの役割分担がうまくいったこと」を勝因に挙げている。
パケットモンスター チームリーダーの中島明日香さんとHardening Zero 実行委員長の門林雄基氏。表彰の模様はSkypeで武田圭史研究室にも届けられたまた中には、これまで多くのCTFに参加してきたチーム「sutegoma2」にばかり頼ってはいられないと、新たにチームを立ち上げ、国内外のCTFに参加していくことを決めたチームもあった。
WASForumは今回の成果を踏まえ、年内に「Hardening One」を開催する予定だ。こうした取り組みを通じて、「セキュリティは楽しいこと」(門林氏)、そして「セキュリティがいろいろお役に立てること」(岡田良太郎氏)を伝えていきたいという。
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
