「想定通り」はあり得ない、Hardening 100 Weakest Link参加記②

Hardening Projectロゴ

参加記①:「いざというとき」にどのように動くべきかを学ぶ からの続き

時間も情報も限られていることを前提に、顧客のために最善を尽くせるか

Hardening 100 Weakest Linkでは、ランサムウェアやWebサイトの改ざんをはじめ、2016年にメディアをにぎわせたさまざまなサイバー攻撃が各チームのサーバにしかけられた。

今回、新たな取り組みとして設けられたのが「記者会見」だ。kuromame6の攻撃によって顧客情報の漏えいを引き起こしてしまったチームの代表者が競技を一時中断してステージに立ち、模擬記者会見を行うことになった。とはいえ実際問題、競技を進める傍ら「いつ、何が、どのような原因で漏えいしたのか」を明確に調査することは難しい。あえてその厳しい状況を再現し、限られた時間と情報の中で会社として誠実な姿勢を示し、顧客への説明責任をどのように果たすべきかを考える機会となった。

また、直接ECサイト運営側に非がなくても成立してしまうフィッシングサイト(偽サイト)や、空き家を利用した取り込み詐欺に気付けるか、対処できるかを問う仕掛けも用意されていた。目の前の対応に集中していると手が回りにくいが、こうした詐欺の存在は会社の価値を損なう恐れがある。時に、注意深く、丹念にログ情報や顧客データベースを突き合わせて確認することも重要だ。

さらに、昼食のためメンバー全員がスクリーンロックをかけずに離席したスキにkuromame6のメンバーに席を占拠されたチームが現れたり、プリントアウトした資料を置き忘れたりといったハプニングも発生し、図らずも物理的なセキュリティの重要性を再認識することになった。

ささやかな弱い鎖にできること

今回は筆者も、これまで取材者という立場で俯瞰していたHardening Projectに、参加者として加わる機会を得た。取材する立場では、8時間に渡る競技は非常に長く思えていた。だが実際にチームの一員として作業していると、あっという間に時間が過ぎ去ってしまう。むしろ「もっと時間があればあれもできたし、こうすればよかった」と反省することしきりだった。

何より痛感したのは、「物事は想定通りに進まない」ということだ。

Hardening Projectが回を重ね、その価値が知られるようになるにつれ、参加者有志が集まって事前に情報を交換し、準備を整えられるようになってきた。離れた場所にいるメンバー同士でも、事前にSlackを通じて役割分担を行い、ToDoリストをまとめることができる。だから、多少の不安はあれど「何とかなるのではないか」という思いがあったのは事実だ。

しかしいざ競技がスタートすると、普段とは異なる環境ということもあり(言い訳だが)、作業一つ進めるのにも時間がかかる。ECサイトの応答が重くなったり、顧客からのメールが入ったりと状況が刻々と変わる中、同時並行的にタスクを進めるため、誰が何をどこまで進めているのかを把握するのが徐々に難しくなっていく。最初はこまめに記していた作業記録の間隔が空き、だんだん大雑把になっていく……こんな具合に、あらかじめ「こうしよう」と取り決めていた事柄が、次々起こるイベントに埋もれ、なかなか実施できない状況に追い込まれていった。

つくづく、物事は想定通りに進まない。もし、こうした「壁」「失敗」を体験することなく、いきなり本当のセキュリティインシデントに直面することになったらと想像すると恐ろしいものがある。失敗は学習の母だ。安全に失敗を体験でき、その学びを持ち帰ることができるという意味で、Hardening Projectは非常に意義ある試みだと感じる。

逆に、自分なりにできたことを挙げるとすれば、JPCERT/CCをはじめ、マーケットプレイスに参加したスポンサー各社と連携し、脅威情報を共有できたことだ。また、時に他のチームと「どうですか?」と会話を交わすことで、折れそうな心を叱咤できた。Hardening 100 Weakest Linkの中で最も弱い鎖だった自分でも、周囲とつながり、連携することで、多少は強度を高めることができたのではないだろうか(周りの足を引っ張ってしまった可能性も多分にあるが……)

kuromame6も、競技環境を実現しているStarBEDを運営している情報通信研究機構も、マーケットプレイスのスポンサー各社も、また内閣府沖縄総合事務局をはじめとするHardening Projectを支援しているさまざまな組織も、現実世界においてはサイバー犯罪に立ち向かう「鎖」を構成する仲間だ。鎖の環一つひとつがつながり、連携してサイバー犯罪に立ち向かうことが、これからのネット社会には不可欠になるだろう。

 

編集:ビジネスon IT運営事務局(セキュリティ班)

 

Pocket

コメント

「セキュリティ」のイベント・セミナー

開催
ランサムウェア対策ハンズオン