【連載リレーコラム】
セキュリティの8耐「Hardening Project」

（株式会社ラック／Hardening Project　　川口 洋）

こんにちは、川口です。今回は私が関わっているHardening Projectのご紹介をします。

Hardening ProjectはWeb Application Security Forum（WASForum）が主催する「守る技術」の価値を最大化することを目指すセキュリティイベントです。

　Hardening Project
http://wasforum.jp/hardening-project/

Hardening Projectは仮想空間に構築されたショッピングサイトのビジネス価値向上を競う「Hardening Day」と競技中に得られた知見を共有する「Softening Day」の2日で構成されています。8時間の苛烈な競技は「セキュリティの8耐」とも呼ばれています。競技環境は情報通信研究機構 NICTの大規模エミュレーション基盤「StarBED」上に構築されています。

NICT StarBED
http://starbed.nict.go.jp/

この仮想空間に作られるショッピングサイトは一般的なシステムと同様「ファイアウォール」「ウェブサーバ」「メールサーバ」「DNSサーバ」等を備えており、OSもWindowsやLinuxが混在する環境となっています。2015年11月に開催された「Hardening 10ValueChain」では1チームあたり21台の仮想マシンが提供され、参加者はそれら全ての仮想マシンに存在する脆弱性への対応やインシデントレスポンスを行いました。

参加者は主催者によって10人ずつの6チームに分けられ、全く知らないメンバーとのコミュニケーションをとりつつ競技当日の「Hardening Day」を迎えます。参加者はセキュリティエンジニアだけではなく、ポータルサイト運営者、スマホアプリ開発者、データセンタ事業者、ライフライン運営者、行政関係者など様々な方が参加しています。ビジネス価値の最大化に思いのある方々が日本全国から集まってくることも特徴的なところでしょう。競技を行う「Hardening Day」では各チームはそれぞれの得意分野を生かしつつ、このショッピングサイトで発生する以下のような事象を乗り越えなければなりません。

• 次々送られてくるメールにまぎれてくる標的型攻撃メール
• 突然改ざんされるウェブサイト
• マルウェアに感染するWindowsマシン
• DDoS攻撃とともに送られてくる脅迫メール
• ショッピングシステムの脆弱性が悪用されて発生する情報漏えい
• 舞い込んでくるユーザからのクレームメール
• 社長からの無茶振りのメール

現実世界で多く発生しているセキュリティインシデントやビジネスの障害が「HardeningDay」の8時間の競技時間のなかで次々に襲ってきます。これらの事象には必ずしも答えがあるものばかりではありません。「ビジネスインパクトが大きい問題はどれか？」「どちらの問題を優先して対応するべきか？」「限られたリソースをどのように分配するべきか？」「より効率的な対応方法は何か？」ということを次々に判断、行動しなければなりません。具体的には「脆弱性診断」「ログ分析」「システム復旧」「パフォーマンスチューニング」「ユーザコミュニケーション」「社内調整」などを行わなければなりません。チーム全体の総合力が問われることになります。チームにないリソースや技術はチーム外から調達できる「マーケットプレイス」という仕組みも用意しています。「マーケットプレイス」にはHardening Projectのスポンサー企業から様々な製品、サービスが提供されており、参加者はそれらを調達することが可能です。参加者は「どのサービスをいくら払って、どのタイミングで調達するか」という現実世界と同様の意思決定を行いながら、ショッピングサイトの運営を行います。

「Hardening Day」の翌日の「Softening Day」で各参加チームが競技を振り返るプレゼンテーションを行います。この「Hardening Day」での「対応経験」と「Softening Day」での「体験の共有」がHardening Projectの価値だと考えています。「Softening Day」で参加者が発言していた印象的な言葉をいくつか紹介します。

「同じ環境、同じ商品、同じ攻撃が発生して運用能力の差で売上に三倍の差がでることがわかり、ITシステム運用の重要性を示すことができた」
「個人個人の能力だけでなく、チームマネジメントの重要性を痛感した」
「普段はシステムの安定稼動を目指しており、かえってトラブル対応能力が落ちていることを感じている。今回の競技中の失敗こそがいい経験になった」
「優秀なエンジニアは売り切れるのも早い。いかに早く確保するかが重要だと感じた」
「参加していた部下が涙目になるほど追い込まれたことが彼の何よりの収穫だった」

もともとHardening Projectは2011年春に「様々なセキュリティ製品やセキュリティサービスが出ているが事件がなくなっていないのはなぜなのだ？それらを扱う人を育てる取り組みが必要ではないか」という問題提起から始まっています。そして、1年近くの準備期間を経て、2012年4月に初めて「Hardening Zero」というかたちで開催されました。それから「Hardening 10 ValueChain」までの計7回、のべ400名近くの方が参加し、さらなる広がりを見せています。「実践的サイバー防御演習 CYDER（総務省）」「MINIHardening Project」「ある企業のセキュリティ研修」など、Hardening Projectの演習形式を活用した新たな取り組みが行われており、これからも広がっていくことを期待しています。Hardening Project自身もまた新たな取り組みに挑戦していきますので、このメルマガで興味を持った方はぜひ参加してください。ご応募をお待ちしています。

＃連載リレーコラム、ここまで

＜お断り＞本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

【事務局からの連絡、お知らせ】

★社会活動部会では「JNSAセキュリティしんだん」vol.18
「ワッセナー・アレンジメントってサイバーセキュリティに影響あるんですか？」を公開しました。ぜひご覧ください。
　https://www.jnsa.org/secshindan/

★CTF for Girls主催「第4回CTF for Girlsワークショップ」申込受付中！
以下のとおり女性限定のワークショップを開催いたします。
スイーツ付きですのでご興味ある方はぜひ御参加下さい。
日程：2015年12月18日（金）19時?21時 (受付開始18:30予定)
会場：御茶ノ水ソラシティカンファレンスセンター Room B
定員：80名
分野：Webセキュリティ
参加資格：女性であること

【事務局からの連絡、お知らせ】

★JNSA設立15周年記念セミナー
「IoTセキュリティウィーク in 沖縄 2015」申込受付中！
　IoT・クルマ・セキュリティをテーマにしたシンポジウム「IoTセキュリティウィーク in 沖縄 2015」（12/15?17開催）の一環として、JNSA設立15周年記念セミナーを実施します。
「IoTセキュリティウィーク in 沖縄 2015」
　日時：2015年12月17日（木）14:15-17:45
　会場：沖縄県立博物館・美術館 3階 講堂
　プログラム・お申込みは↓こちら↓から
　https://www.jnsa.org/seminar/2015okinawa/#navi03
　
　＜今後のセミナー開催予定＞
　　2016年2月22日　金沢

■プログラム詳細や参加方法につきましてはこちらをご覧下さい。
　http://girls.seccon.jp/news1.html

★情報セキュリティ人材に関する実態調査ご協力のお願い経済産業省様の委託により、標記のアンケート調査を行なうこととなりました。
会員企業各社ご連絡担当者様宛にアンケート調査票をご郵送しておりますので、ぜひご協力の程よろしくお願いいたします。回答用紙のご返送は「12月14日（月）」までにJNSA事務局宛にお願いします。

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン　第75号　
発信日：2015年12月4日
発行：　JNSA事務局　
*************************************