Hardening 10 MarketPlace参加レポート① ~イベントから学ぶ セキュリティ脅威の傾向と対策の難しさ~

SEC_アイキャッチ_PC

「Hardening」という情報セキュリティイベントをご存知ですか?

一般的に情報セキュリティに関するイベントは、堅牢化されたシステムを“攻撃する”ことで情報セキュリティ技術を競うイベントやCTF(Capture The Flag)といった与えられたセキュリティに関する問題を時間内に解く事が多いです。しかしながら本イベントは、システムを堅牢化して“攻撃から守り”、正常にシステムを稼動させることでビジネスを継続することを目的としています。このイベントに参加することによって、参加者は何を得て、何を学ぶのでしょうか。最新の情報セキュリティ脅威にどのように対応していくのかも含め、見ていきましょう。

イベントの概要

2004年に発足したWeb Application Security Forum(WASForum)が主催するHardening Projectでは、2012年に開催された「Hardening ZERO」を皮切りに、これまで5回の競技イベントを開催し、情報セキュリティの脅威からシステムを守って運用することに焦点を当ててきました。このイベントは、ビジネスの視点から、より現実に即した情報セキュリティ・インシデントに対処する能力を高め、守る技術力を向上できるものとして大きな注目を集めています。
第6回目となるHardening 10 MarketPlaceは、2015年6月19日~20日の2日間に渡り沖縄県宜野湾市で開催されました。1日目は8時間に渡り競技を行うHardening Day、2日目は競技の成果を振り返って学びを深めるためのミーティングを行うSoftening Dayといったスケジュールになります。

SEC_沖縄コンベンションセンター

 【沖縄コンベンションセンター】

 

競技内容ですが、インターネットショッピングを提供するECサイトがあると仮定しています。通常状態、つまり、不正アクセスがなくシステムが正常稼働している状態であれば、定期的に売買が成立し売上が計上されていきます。しかしながら、あらかじめ用意されているこのECサイトにはぜい弱性が潜んでいます。さらに、主催者側が攻撃を仕掛けることでシステム障害を発生させ、売買成立の邪魔をします。各チームは、このぜい弱なECサイトにセキュリティパッチを適用したりセキュリティ製品を導入する事で堅牢化し、まざまなインシデントに8時間に渡り対処しながら、ECサイトの売上や顧客対応のポイントを競います。

今回はイベントが始まって以来初の制度として、「プロフェッショナルサポーター制度」が取り入れられました。各チームは、スポンサー各社からセキュリティ製品やコンサルティングなどのサービスを購入し、ECサイトに適用・導入する事で堅牢化する事が可能です。※この「プロフェッショナルサポーター制度」の説明は、次回の記事で説明します。

SEC_沖縄_参加者相関図

【各チームは8時間耐久でシステムを守ってECサイトの売上を競います】

 

Hardening 10 MarketPlaceのユニークな点の一つですが、各チームは、参加する複数企業の混成チームになるところです。1チームが6名で構成されるのに対し、参加応募人数単位は3名までとなっているため、必ず複数企業の組み合わせになります。初顔合わせのメンバーで、効果的かつ確実なアプローチ方法を考えつつ、課題をチームワークで解決します。競技を通し問題発見能力を強化することができ、また、異なる考え方や手法を経験することが新鮮で、参加者の多くが今回の体験で非常に良い刺激を受けたといいます。

今回、伊藤忠テクノソリューションズ(CTC)から参加した3名に聞いてみました。

Q:参加してみてどのような感想を持ちましたか。

チームのリーダーとなった東 拓央さん:
「同じ会社のメンバーのスキルセットは把握していますが、他のメンバーについては、組合せ発表からおよそ3週間、情報共有ツールなどでコミュニケーションを取るのみだったため、競技前日に顔を合わせるまでは役割も決められませんでした。競技では、当日までどのようなインシデントが発生するかがわからないので、柔軟にメンバーの役割を決めなければなりませんでした。現実のインシデント発生時にも柔軟な対応が必要とされる場面があるため、緊張感を持ち競技に臨むことが出来たと思います。」

伊藤 優子さん:
「同時に多数のインシデントに直面するため、チームメンバーが合意した方針のもと優先度を決めて対応しなければ、限られた時間で結果を出すことができません。競技を通し、例えば今回のECサイトのような、企業にとって利益の源泉となる重要なシステムが複数の問題を抱えた際には、よりインパクトが大きく、より重要視すべき要解決事項から順に対応することが重要です。今回はその点を改めて強く認識しました。現実の運用においても、インシデント発生時に慌てず対処するためには、多層防御をした上で何とかWebサイトの稼働を維持するのか、徹底的に調査及び対処をしてからWebサイトを稼働させるのか等を議論して、予め関係者の意識を合わせておくのも良いかもしれません。」

Q:現実に起こりうるインシデントが次々と発生!!具体的にどのようなものでしたか?
また、新たな発見などありましたか?

東さん:
「このイベントでは、毎回その時々の流行の攻撃や実際に事件で使われた手法などが盛り込まれているのですが、今回特徴的だったのは、WordPressやFlashのぜい弱性を狙った攻撃や、標的型攻撃が盛り込まれていたことですね。」

伊藤さん:
「WordPressやFlashのぜい弱性はよく知られているにも関わらず、実際には対策がなかなか進んでいないですよね。今回参加しているような情報セキュリティの意識が高い人たちでも完璧な対策を行うことが難しいということを、身を持って体験できたのは貴重ですね。また、最近、管理者のパスワードが簡単なものになっており乗っ取られるというケースも多いですが、今回はその観点でも考えさせられました。」

東さん:
「結果、全参加者の作業用端末全72台のうち25台がマルウェアに感染してしまい、対処する範囲が広がってしまったということがありました。予測を立てて対処していたにも関わらず、感染してしまうことがある、ということです。このことから、“マルウェアに感染させない”ことも重要ですが、“感染・侵入された後にどのように対応するか”についてもが重要だと認識を深めました。インシデントでは、本当によくできたメールが送られてきます。1,000人の社員のうち、999人が不正メールを見破っても、1人が開ければ感染してしまいます。不正な通信の監視や、見覚えのないファイルを監視する仕組みを作るなどで、早期発見につなげるべきだと思います。」

Q:プロフェッショナルサポーター制度のメンバーとして参加した大谷 誠司さんに伺います。客観的な立場からみて気づかれた点はありますか?

大谷 誠司さん:
「攻撃者によるサイトの改ざんや、不正侵入が発生しているものの、その場面ごとに対応していくことに必死で、多くのチームがインシデントの全体像を捉えることに四苦八苦していました。被害対象や被害範囲の特定、事象の把握のためには、システムや構成を充分把握するだけでなく、全体を俯瞰してインシデントの把握・整理に努めなければ、速やかな対応を行うことは困難です。参加メンバーは、プロフェッショナルサポーター制度を通して、時にサポータの客観的な意見や、専門的な知見を借りて実際にインシデント対応を経験し、不足していた対処や考察について、様々な“気づき”を得ることができて大きな経験になったと思います。」

SEC_沖縄_リアルタイム売上稼働率図

【リアルタイムに売上や稼働率が掲示されました】

 

イベントを通じて実際に様々なインシデント対応を体験することで、方針・優先順位に基づいた対応や“マルウェアに感染させない”だけでなく“侵入された後にどのように対応するか”の重要性を認識できたことは、Hardening 10 MarketPlace参加の大きな成果だったようです。

次回は、「プロフェッショナルサポーター制度」から学べた体験や、守るだけのセキュリティではなく、先回りできる攻めのセキュリティの考え方について、話を続けたいと思います。

 

編集:ビジネスon IT運営事務局、セキュリティ班

Pocket

コメント

「セキュリティ」のイベント・セミナー

開催
ランサムウェア対策ハンズオン