Hardening 10 MarketPlace参加レポート② ~ビジネスを継続させるためのセキュリティの考え方~

SEC_アイキャッチ_PC

前回に引き続き、Hardening10 MarketPlaceの様子を通じて、セキュリティ対策を行う上でのパートナーの重要性や、セキュリティ対策だけでなくビジネスの継続を考える必要性などを探っていきます。

また、このイベントに参加することで、セキュリティ従事者として何を考え、今後どのように業務に活かしていくのかについても考えていきます。

今回から採用されたプロフェッショナルサポーター制度は、スポンサーとなっている企業のサービスやコンサルティングを利用することで、ECサイトの情報セキュリティ対策を促進し、堅牢性を強化できるものです。

前回同様、伊藤忠テクノソリューションズ(CTC)から参加した3名に聞きます。

【2日間に渡りHardening10MarketPlaceが開催された会場の様子】

【2日間に渡りHardening10MarketPlaceが開催された会場の様子】

Q:外部のサービスの利用というのは実務の中でも当然ありますが、このイベントの中ではどのように活用しましたか?

 東さん:
「プロフェッショナルサポーター制度を、我々が苦手な分野や、得意な分野をより強化するために利用しました。自分達だけですべてを解決することには無理があり、外部の専門家に投資して解決することに価値があることを参加者として実感できました。今となって考えてみると、このプロフェッショナルサポーター制度を、より効果的に利用する作戦が取れたのではないかと感じています。例えば、我々のチームでは、運用が得意なメンバーがログの監視を担当しましたが、さらに、インシデントをより早く検知できる体制を取るために、IDSの導入などの検討をしていれば、より効果的だったと思います。」

Q:外部へ委託することのメリットや、費用対効果について感じたことはありますか?

 伊藤さん:
「投資するタイミングや意思決定が難しいと感じました。15分や30分の支援を受けられるコンサルティング等、様々なサービスがありましたが、情報セキュリティインシデントやトラブルが発生している中で、私たちが求めていたのは時間提供ではなく、まさに『目の前の問題を解決する』という成果です。一度サービスを頼んで効果を実感できれば、それ以降はサービスの利用を決断しやすくなりますが、最初は、自力で解決すべきなのではないか、売上を使ってまで頼むべきものなのか等、踏みとどまる場面もありました。しかし、実際は依頼して良かったと実感することが多く、特に対応に追われている時、リソースに不足がある時には、素早く判断し、第三者の力を借りる事が有効であると身をもって理解しました。」

Q: プロフェッショナルサポーター制度の立場の大谷さんにお聞きしますが、スポンサーから見て、そういった様子は見えていたのでしょうか?またサービス利用の有無がどのような結果につながっていましたか?

 大谷さん:
「そうですね、結果的には、サービスを購入したチームは、一時的に売上高が減少するものの、その後の回復が非常に早く、売上の伸び率が大きく変化していました。コストを抑えようとサービスを買わずに自分たちだけで解決しようとしていたチームほど苦戦し、チームメンバーの得意・不得意を見極めて、サービスを活用できたチームは売上を伸ばしていました。」

Q:なるほど。自分たちでできることと外部を活用することの見極めで差がついたということですね。ところで、イベントを通して多くのチームと切磋琢磨してみて自分たちのこと以外に見えてきたことはあるでしょうか?

 東さん:
「初日に実際のインシデント対応を経験できるだけでなく、2日目のSoftening Dayで前日を振り返って学習できることもHardening 10 MarketPlaceの特長の1つです。2日目は、各チームの発表、主催者側からの前日の攻撃の説明、表彰などが行われました。チームによって特色があり、対応の優先度や対策が異なっていたので、非常に参考になりましたね。我々は、サーバを落とさずに運用することを最優先にしていましたが、他のチームの中には脆弱性対策を第一にして、出だしで売上が出なくても確実に売上を伸ばせるようにしたところもありました。サービスを外注する判断基準なども、学べるところがあったと思います。」

 

【審査結果発表】

【審査結果発表】

セキュリティだけでなく、ビジネスの継続性を確保する

Q:全体を通してそのほかに気づいた点はありましたか?

 伊藤さん:
「今回の経験を通じて、セキュリティ対策を行うことだけではなく、ビジネスの継続性を確保することが重要だと改めて気づかされました。例えば、ECサーバの3台中、1台に問題がある場合には、残り2台でパフォーマンスを考慮しながら再構成し、販売を継続するなどです。情報セキュリティには、可用性といった要件も一要素として定義されています。情報セキュリティインシデントに備え、冗長環境やバックアップ環境を設け、運用を継続できるシステム構成にしておくことは、いざという場面でビジネスの支えとなります。自分達のシステム構成がどうなっているかを理解し、ビジネスの継続のために情報セキュリティインシデントの予防と対処にどう向き合っていくかが重要だと思います。」

大谷さん:
「サイバー攻撃は日を追うごとに高度になっています。情報セキュリティ対策を適切に行わなければ、守る方が追いつけず、ビジネスを継続できなくなる可能性もあります。攻撃者側も、少しでも攻めやすく脆弱性の多いシステムを狙う方が効率的ということもあり、システムの運用者は常に危機感を持って臨まねばならないと思います。自分達のビジネスに合った対策を先んじて実施し、攻撃者の思い通りにはさせないシステムと運用を行うことが重要です。さらに、侵入されても素早く検知できる体制を作り、ビジネスへの影響を最低限に抑える必要があると思います。
とはいえ、ビジネスにインターネットを利用することがあたり前の時代、ガチガチにセキュリティで固めて利便性をなくすことが最高のセキュリティとは言えません。
自分達のビジネスに活用でき、継続できるような運用と対策を行うこと、これが守りではなく、「攻めのセキュリティ」だと思っています。そのためには、本当に必要で効果の出せる仕組みやシステムに投資することが重要です。コストだったものが投資に変わるような考え方をしなければならないし、サービス提供側もそのための提案を行っていかなければならないと思います。」

 Q:東さんや伊藤さんが参加したチームは、結果的に12チーム中5位に終わりましたが、8時間中6時間は売上トップを独走していましたね。最後のどんでん返しの原因はなんでしょうか?

大谷さん:
「セキュリティだけでなく、システムの可用性を維持するための技術力を求められていたと思います。彼らのチームでは、売上の増加に伴う負荷増加に追いつかず、パフォーマンスチューニングができずに順位を落としてしまいました。」

東さん:
「売上があまりにも好調に推移していたので、現状で乗り切れるという初期判断と、パフォーマンスや負荷分散のために設定を変えることでエラーを引き起こすリスクを避ける、という二次判断によるものでした。状態から推察し予測を立てる事で、次に何を行うかを判断していかなければならないことを経験できたことは、大きかったと思います。」

 

【売上の推移グラフ】

【売上の推移グラフ】

 Hardening 10 MarketPlaceで学んだこと

 Q:競技会として勝ち負けを競うのではなく、実際に使える技術を向上させることがイベントの目的ですが、そういった観点からみて、このイベントへの参加の意義はいかがでしょうか?

 東さん:
「普段は、脆弱性診断を行って、診断結果を踏まえたアドバイスを行っています。実際の現場では、たとえばパッチを適用すれば解決できることがわかっていても、ほかのソフトウェアへの影響などの難しい判断を迫られることが多々ありますので、日頃のお客様の苦労を体感しました。今後、アドバイスの際には、経験を踏まえて更に現実に近い会話をすることが出来そうです。Hardening Projectは、技術者として非常に有意義なイベントなので、情報セキュリティ以外の技術者にも参加してもらって、さまざまな技術を相互に向上できればいいですね!」

伊藤さん:
「イベントに参加している志の高い人たちと交流できたことも大きな意義です。我々も、インシデントに対峙し、お客様と共に解決に向けて原因追究や対策を行う場面が多々あります。その中でも、困難なインシデントほど求められる知見は多く、重要な判断や意思決定の場面にも多く遭遇します。今回の競技で、インシデント対応を行う際の判断や、外部の専門家の使い方、そして、その後に至った結果など、考え方や成果を共有出来たことも今後につながる時が来ると思います。
また、情報セキュリティの技術や見識を高める活動に喜びを覚え、自社やお客様だけでなく、日本や世の中を守り、社会に貢献しているという使命感を持ってセキュリティに従事している仲間が数多くいることも、非常に心強く感じました。加えて、次々と起きるインシデントやトラブルにより、自分の力不足を思い知らされることも非常に大きな経験です。振り返りをすることで、より実務に役立てられる内容になっていたと思います。また参加する機会があればと思います。」

大谷さん:
「Hardening Projectというイベントは世界でも他に例がないイベントですし、参加することによって得られる経験や気づきは数多くあります。今後も、継続的にメンバーを入れ替えながら参加し続けていきたいですね。勝ち負けではなく、8時間の間セキュリティについて考え通す中で創意工夫を重ねる経験は大変貴重であり、セキュリティに関わる人たちとのコミュニティが広がることもイベントの魅力なので、今後もプロフェッショナルサポータ制度と参加者の両面で関わって、社内でも同様なイベントを展開したいと思っています」。

 

【各スポンサーによるチーム表彰】

【各スポンサーによるチーム表彰】

 

また、このイベントを後援しているOWASP JAPANが2015年8月に開催するWAS Nightでも今回の様子が報告され、WASForumのホームページでもレポートが掲載されています。

興味のある人は、ぜひこれらの情報を検索してみてください。

 

編集:ビジネスon IT運営事務局、セキュリティ班

Pocket

コメント

「セキュリティ」のイベント・セミナー

開催
ランサムウェア対策ハンズオン