「想定通り」はあり得ない、Hardening 100 Weakest Link参加記①

Hardening Projectロゴ

ビジネス自体のデジタル化によって価値を増大させる「デジタルトランスフォーメーション」の拡大と、サイバー犯罪・攻撃の増加を背景に、セキュリティ人材不足が叫ばれるようになって久しい。足りないならば育てるしかない、というわけで、企業の中でセキュリティ指針の策定や運用、インシデント対応に当たる人材育成を支援する教育サービスが多数登場している。

「いざというとき」にどのように動くべきかを学ぶ

ITの世界ではこれまでも、データベースやストレージなど、特に専門知識が求められる領域では教育サービスが盛んに提供されてきた。セキュリティ分野もその例に漏れないわけだが、少し変わった特徴がある。過去に発生したセキュリティインシデントを参考にした実践的なシナリオを体験し、「いざというとき」にどのように動くべきかを学ぶ、演習形式の訓練が多数登場しているのだ。マルウェア感染などのセキュリティ事故が発生したときに被害を最小化し、原因追及と再発防止を支援するCSIRT要員のニーズが高まっていることもあり、民間企業だけでなく政府機関や業界団体も積極的に、実践的な訓練に取り組み始めている。

さて、こうした傾向が顕著になる前から、実践的なシナリオに沿ってセキュリティスキルを競い、優れたエンジニアを発掘してきた試みがある。セキュリティ団体「WAS Forum」が運営するセキュリティイベント「Hardening Project」だ。

過去にも何度か紹介してきたが、Hardening Projectの最大の特徴は、脆弱性を探す「攻撃側」の視点ではなく、防御側に立ち、ECサイトを、ひいてはビジネスを守る技術を競う内容になっていることだ。しかも一口に守ると言っても、セキュリティを他の全てに優先させてガチガチにすれば評価されるわけではない。セキュリティをあくまでビジネス成長・継続に不可欠な要素としてとらえ、どのように事業の成長を支援できるかという観点で評価が下される点でユニークだ。

2012年4月に開催された「Hardening Zero」以来、回を重ねてきたHardening Projectの最新の大会「Hardening 100 Weakest Link」が、11月1日、2日の2日間に渡って、沖縄・宜野湾市の沖縄コンベンションセンターにて開催された。その内容を紹介しよう。

集合1

技術的スキルだけでない総合力が問われる競技

Hardening Projectでは基本的に数名が1つのチームを構成し、複数の商品を扱うECサイトの管理者という立場で競技に参加する。競技時間は8時間で、限られた時間の中で与えられた環境を理解して堅牢化しつつ、ECサイトの売り上げを最大化すべくチューニングを行っていく。

各チームの前に立ちはだかるのが、主催者サイドの専門家チーム「kuromame6」だ。kuromame6は、時にサイバー犯罪者の立場を模してさまざまな攻撃を各チームのサーバに行い、時には顧客となって「私の個人情報が漏えいしているようなのですが、どうなっているのでしょう?」と問い合わせしてくる。これらさまざまなイベントにどれだけ適切に対応し、顧客の気持ちに沿って返答できたかも評価の対象になる。

逆に、各チームを支援してくれる存在もある。それが「マーケットプレイス」だ。現実の世界において、企業がさまざまなセキュリティソリューションやサービスを購入できるのと同じように、Hardening Projectにスポンサーとして参加するベンダー各社かお勧めのエンドポイントセキュリティ製品やIPS、Webアプリケーションファイアウォール、DDoS攻撃対策サービス、そして知見を持った専門家によるコンサルティングサービスなどが提供される。

ただ、これも現実世界と同じだが、マーケットプレイスの商品は基本的にはタダではない。あらかじめ用意された予算と今後の売り上げ見込みをにらみながら、自チームに足りないピースを埋めるのに必要な商品を選ぶことがポイントになる。しかもこの「お財布」はECサイトの広告費とも共通だ。ECサイトの売り上げはさまざまな変数によって変動するが、その一つが広告で、多くの広告を打てば打つほど売り上げが向上する。ただしこれはECサイトがきちんと稼動していることが前提で、競技時間中に設けられた「爆買いタイム」の際も同様だ。

つまり競技を戦うには、セキュリティのみならず、システム運用やコミュニケーション、それにマーケティング戦略といった多方面のスキルが求められる。こうした総合力を加味して算出された売上高によって、勝者が決まる仕組みだ。

集合2

 

続き:時間も情報も限られていることを前提に、顧客のために最善を尽くせるか

 

編集:ビジネスon IT運営事務局(セキュリティ班)

 

Pocket

コメント