Hardening 100 Value x Valueはイタ気持ちいい?①
~参加者らの生の声に見る、これからの対策に求められる「視点」とは(1)~

Hardening Projectロゴ

セキュリティ事故の被害がたびたび報じられる中、事故前提型の対策の必要性やセキュリティ人材の不足がたびたび叫ばれています。こうした課題を解決する一つの手段として注目されているのが、振り返りとセットになった実践的なサイバーセキュリティ演習です。その先駆け的な存在であり、「守る力」に着目したユニークなイベント、Hardening Projectの参加者らにお話を伺いました。

「Hardening」という取り組みを、皆さんはご存知ですか? もし、何らかの形でセキュリティに携わっているならば、知らないのはもったいないイベントです。

標的型攻撃やWeb改ざん、ランサムウェアなど、さまざまなセキュリティインシデントが企業や社会に大きな影響を及ぼし、どれほど対策を施していても100%防御しきることは不可能だという認識が広まるようになりました。そして、インシデント発生時にいかに迅速に対処し、被害を最小限に封じ込める取り組みの重要性も認識され始めています。こうした変化を背景に注目を集めているのが、実践的なサイバー攻撃対策演習です。Hardening Projectはその先駆け的な存在で、Web Application Security Forum(WASForum)のHardening Projectが2012年4月から8回に渡り実施しています。

参加者は6人一組でチームを組み、架空の企業のIT担当者という立場でWebサーバの「お守り」を任されます。8時間に渡る競技時間の間、そのWebサーバには、最新の脅威動向を反映したさまざまな攻撃がやってきます。その中で参加者らには、Webサーバをさまざまな攻撃から守り、サービスを継続していくことが求められます。ただ、引き継ぎに当たって十分なドキュメント類が用意されているわけではなく、上司や社長への「ほう・れん・そう」も欠かせません。日本企業の「あるある」な環境だと思いませんか?

図2

 

この競技で問われるのは、防御のための技術的スキルだけではありません。純粋に高い技術スキルを追求するCapture The Flag(CTF)などの競技とはちょっと異なり、日常の運用の中で直面する課題を解決すべく、チーム内のコミュニケーション能力やマネジメント能力も含めた、事業を支えるための総合的な能力が問われるのです。

もう一つ、Hardeningには特徴的な取り組みがあります。現実の世界では、全て自力でセキュリティ機能を開発し、システムを構築している企業はほとんどないでしょう。何らかの製品やコンサルティング、セキュリティに特化した専門的なサービスを必要に応じて購入し、そこで浮いた労力を戦略的な仕事に投じているはずです。競技ではそうした枠組みを再現し、市場で提供されているセキュリティ製品やサービスの購入が可能な「マーケットプレイス」という仕組みを用意し、セキュリティ対策の中で何にどのくらい投資すべきかを検討する試みもなされています。

マーケットプレイス

CTCは、「守る技術を磨き、表彰する」というHardening Projectの趣旨に賛同し、スポンサーとして支援するとともに、社内のエンジニアを参加させてきました。また、マーケットプレイスにエンジニアを派遣し、各チームを支援することも行っています。

2016年6月4日、5日に渡って行われた最新の大会「Hardening 100 Value x Value」に参加した貝阿彌正記氏(伊藤忠テクノソリューションズ クラウド・セキュリティ事業推進本部 セキュリティビジネス部 セキュリティアセスメント課 )と田口倫典氏(伊藤忠テクノソリューションズ クラウド・セキュリティ事業推進本部 セキュリティビジネス部 セキュリティオペレーション課 エキスパートエンジニア) 、それにマーケットプレイスでセキュリティサービスを提供する側として参加した、CTC セキュリティビジネス部 セキュリティアセスメント課 課長の大谷誠司氏に話を聞きました。

2日間の競技は「楽しかったけれど、悔しかった!」

Q:Hardeningでは、所属する組織や地域もばらばらなメンバー6人がチームとなって、それぞれのスキルを生かしながら競技に取り組みます。貝阿彌氏はチーム「千と千尋の脆弱性」に、また田口氏は「Wonder9」に所属し、競技に臨みました。果たしてその感想はどんなものだったでしょうか?

【 田口 さん 】

田口さん:私は以前は、セキュリティという大枠は同じですが、マネジメントシステムのコンサルティング業務に携わっていました。今はSOC(Security Operation Center)サービスや、特にニーズの高まっているCSIRT(Computer Security Incident Response Team)構築支援サービスを手がけています。脅威や脆弱性に関する情報を収集し、お客様の環境に照らし合わせて対応を支援し、改善策を提案していく業務です。過去にはソフトウェア開発の経験もありますが、がちがちのシステムをいじる競技、それもセキュリティに特化した形のものは初めてでした。

貝阿彌さん:自分はWebやシステムの脆弱性診断を行っています。元々ネットワーク設計を行う部門にいたのですが、セキュリティに興味を持って勉強するうちに、CTFやHardeningといった競技会の存在を知りました。でも、参加するのは初めてでしたね。

参加してみての率直な感想は、楽しかったけれど悔しい、っていうのに尽きます。ファイアウォールの設定やWebアプリケーションファイアウォール(WAF)の導入といった部分でネットワーク分野での経験を生かせたんですが、もっとサーバのことも知らないといけないなって思いました。

田口さん:私もそうですね。楽しいけれど悔しくて、辛かった(笑)。イタ気持ちいい感じで……でもやっぱり面白かったです。LinuxサーバやWindowsサーバを直接触るのは数年ぶりだったので不安もありましたが、体が覚えていました。二つのサーバを何とかハードニング(堅牢化)できた点は、自分をほめてあげたいです。

Pocket

コメント