JNSAメールマガジン 第75号 2015.12.4☆★☆
(株式会社ラック/Hardening Project 川口 洋)
こんにちは、川口です。今回は私が関わっているHardening Projectのご紹介をします。
Hardening ProjectはWeb Application Security Forum(WASForum)が主催する「守る技術」の価値を最大化することを目指すセキュリティイベントです。
Hardening Projectは仮想空間に構築されたショッピングサイトのビジネス価値向上を競う「Hardening Day」と競技中に得られた知見を共有する「Softening Day」の2日で構成されています。8時間の苛烈な競技は「セキュリティの8耐」とも呼ばれています。競技環境は情報通信研究機構 NICTの大規模エミュレーション基盤「StarBED」上に構築されています。
この仮想空間に作られるショッピングサイトは一般的なシステムと同様「ファイアウォール」「ウェブサーバ」「メールサーバ」「DNSサーバ」等を備えており、OSもWindowsやLinuxが混在する環境となっています。2015年11月に開催された「Hardening 10ValueChain」では1チームあたり21台の仮想マシンが提供され、参加者はそれら全ての仮想マシンに存在する脆弱性への対応やインシデントレスポンスを行いました。
参加者は主催者によって10人ずつの6チームに分けられ、全く知らないメンバーとのコミュニケーションをとりつつ競技当日の「Hardening Day」を迎えます。参加者はセキュリティエンジニアだけではなく、ポータルサイト運営者、スマホアプリ開発者、データセンタ事業者、ライフライン運営者、行政関係者など様々な方が参加しています。ビジネス価値の最大化に思いのある方々が日本全国から集まってくることも特徴的なところでしょう。競技を行う「Hardening Day」では各チームはそれぞれの得意分野を生かしつつ、このショッピングサイトで発生する以下のような事象を乗り越えなければなりません。
現実世界で多く発生しているセキュリティインシデントやビジネスの障害が「HardeningDay」の8時間の競技時間のなかで次々に襲ってきます。これらの事象には必ずしも答えがあるものばかりではありません。「ビジネスインパクトが大きい問題はどれか?」「どちらの問題を優先して対応するべきか?」「限られたリソースをどのように分配するべきか?」「より効率的な対応方法は何か?」ということを次々に判断、行動しなければなりません。具体的には「脆弱性診断」「ログ分析」「システム復旧」「パフォーマンスチューニング」「ユーザコミュニケーション」「社内調整」などを行わなければなりません。チーム全体の総合力が問われることになります。チームにないリソースや技術はチーム外から調達できる「マーケットプレイス」という仕組みも用意しています。「マーケットプレイス」にはHardening Projectのスポンサー企業から様々な製品、サービスが提供されており、参加者はそれらを調達することが可能です。参加者は「どのサービスをいくら払って、どのタイミングで調達するか」という現実世界と同様の意思決定を行いながら、ショッピングサイトの運営を行います。
「Hardening Day」の翌日の「Softening Day」で各参加チームが競技を振り返るプレゼンテーションを行います。この「Hardening Day」での「対応経験」と「Softening Day」での「体験の共有」がHardening Projectの価値だと考えています。「Softening Day」で参加者が発言していた印象的な言葉をいくつか紹介します。
「同じ環境、同じ商品、同じ攻撃が発生して運用能力の差で売上に三倍の差がでることがわかり、ITシステム運用の重要性を示すことができた」
「個人個人の能力だけでなく、チームマネジメントの重要性を痛感した」
「普段はシステムの安定稼動を目指しており、かえってトラブル対応能力が落ちていることを感じている。今回の競技中の失敗こそがいい経験になった」
「優秀なエンジニアは売り切れるのも早い。いかに早く確保するかが重要だと感じた」
「参加していた部下が涙目になるほど追い込まれたことが彼の何よりの収穫だった」
もともとHardening Projectは2011年春に「様々なセキュリティ製品やセキュリティサービスが出ているが事件がなくなっていないのはなぜなのだ?それらを扱う人を育てる取り組みが必要ではないか」という問題提起から始まっています。そして、1年近くの準備期間を経て、2012年4月に初めて「Hardening Zero」というかたちで開催されました。それから「Hardening 10 ValueChain」までの計7回、のべ400名近くの方が参加し、さらなる広がりを見せています。「実践的サイバー防御演習 CYDER(総務省)」「MINIHardening Project」「ある企業のセキュリティ研修」など、Hardening Projectの演習形式を活用した新たな取り組みが行われており、これからも広がっていくことを期待しています。Hardening Project自身もまた新たな取り組みに挑戦していきますので、このメルマガで興味を持った方はぜひ参加してください。ご応募をお待ちしています。