Hardening 100 Value x Valueはイタ気持ちいい?②
~参加者らの生の声に見る、これからの対策に求められる「視点」とは(2)~

Hardening Projectロゴ

前回の記事ではHardening 100 Value x Valueの概要をご紹介し、特に、市場に流通する製品やサービスを購入し、活用できる「マーケットプレイス」という仕組みを説明しました。競技参加者の感想からは、限られたリソースを活用し、優先度の高い課題に人手を割くためにも、外部のさまざまなサービスに投資し、活用することの重要性が明らかになりました。

後編では、セキュリティインシデントが発生した際のコミュニケーションの重要性に触れていきます。このご時世、どんな企業や組織もセキュリティインシデントとは無縁ではいられません。何が起きるか分からない不透明な状況の中、機能不全に陥ることなく適切に対処を進めるポイントは何かを、同じく参加者らの声を通して探っていきます。

「みんな仲良く」ではない、コミュニケーションの大切さ

【 大谷 さん 】

大谷さん:僕は、マーケットプレイスの「商品」となって参加するのはこれで4回目です。沖縄の土地勘もだいぶできました。今回も何チームかにお邪魔して、脆弱性の診断業務などを行いました。その経験を通して感じるのは、マーケットプレイスで購入されてお邪魔する側と、受け入れる側のコミュニケーションが非常に重要だということです。買ったものをうまく使いこなせるようコミュニケーションを取ってくれると気持ちよく仕事ができますし、成果も出ますね。
もちろん最初からがかっちり要求を固めるのが難しい場合もあると思うんです。そんなとき、できるチームは、こちらから「こんなことをしましょうか」と提案すると、その内容を受けて「僕らはこっちをやるので、あっちをお願いします」と決断できます。今あるものの中から何を選び、集中すべき部分を選択できるチームは、いいチームですよね。もっとも、これはマーケットプレイス側にいるから言えることで、実際に競技に参加しているとそれどころではなく、てんやわんやの状況なのも分かるんですが(笑)。

Q:では、「優れたコミュニケーション」とはどんなものなのでしょう。

大谷さん:コミュニケーションは重要です。でもそれは、チームがわいわい仲良くやっているという意味ではありません。なまじ仲良くやっていると決断が遅れ、捨てるべきものを捨てられなくなってしまう恐れもあります。

 大切なのは、今やらなくてはいけないことは何か、今判断できないことは何かを、お互いしっかり伝えられているか。そして、判断すべき事柄をきちんと判断できる人がいるか。そんな流れができているチームは、非常にうまく回っていると思います。前回のHardeningでは、優勝チームのリーダー役がSoftening Dayで「自分は全くパソコンに触っていません」と話していましたが、それも一つの解ですよね。皆で戦っていると視野が狭くなってしまいがちです。外から大きく状況を見れる人がチームにいるとうまく機能すると思います。

【 貝阿彌 さん 】

貝阿彌さん:その分け方で言うと、僕らのチームはどちらかというと「みんな仲良く」に近かったかもしれません。けれど、チーム編成が決まったときには、まずそれぞれの役割や担当を決め、必要な情報を事前に調査し、メールやチャットを通じて共有することで、うまく動けるように準備して臨みました。

それから、取り組むタスクを付箋紙に書き出してホワイトボードに張り付けて、「今、自分が何をやっているか」をチーム全体に告知するようにしました。このおかげで、周りのチームメンバーが何をしているか、何ができるかが分かったので、行き詰まったときにはそれを得意とするメンバーにヘルプを頼むといったことができましたね。

田口さん:うちのチームも、編成が決まってから役割分担や情報共有といった事前の準備を行いました。もう一つ頑張ったのは、事前の対策シナリオ作りです。現実のセキュリティ対策もそうですが、「敵を知れば百戦危うからず」という言葉の通り、過去の競技の情報も調べながら担当割りとシナリオ作りを進めました。

 大雑把にいうと、競技の前半は担当ごとにサーバのハードニングに専念することにして、予想される脆弱性のつぶし方や設定変更手順などをコマンドレベルまで落としてまとめました。一種のチートシートですね。こうやって午前中をしのぐ作戦でしたが、午後は何が来るか分からない。そこで、「何かが起きたときに、どんなコミュニケーションを取って動くか」と言うフレームワークを決めることにしました。予想通り、Apache Struts 2やWordPress、DNSの脆弱性を狙う攻撃やDDoS攻撃、それにランサムウェアなどさまざまな攻撃を受けましたが、おかげで何かが起きても、整然とコミュニケーションを取り、それぞれの役割の中で作業できたのは、良かったと思います。

大谷さん:僕は三回目からずっとHardeningに関わっていますが、回を重ねるたびにシステムがどんどん大きくなっています。また競技の中で発生する事象も、単に脆弱性を突かれるというだけにとどまらず、ビジネスに影響が生じるという現実世界に近いシナリオになっています。一方参加者の側も、特にこの2回ほどは、役割分担とそれに沿った事前の準備や対策といった活動が活発になり、本当に真剣に取り組んでいる姿勢を強く感じます。

Pocket

コメント