セキュリティ業界の精神と時の部屋！？Hardening Projectとは

2018.08.01

皆さんは Hardening Project というセキュリティの競技会をご存知でしょうか？

Hardening (ハードニング)とはもともと「固くする」などの意味を持ちますが、セキュリティの分野ではシステムの脆弱性を減らすことなどによる「堅牢化」という意味合いで使われる言葉になります。

そして、実行委員会の WASForum によると、Hardening Project とは『「衛る技術」の価値を最大化することを目指す、全く新しいセキュリティ・プロジェクト』と定義されています。一般に使用される「守る」ではなく、チームで城を衛る衛兵などの意味でも使われる「衛る」の漢字を使っているところに実行委員会の方々の思いが込められているのではないかと思います。

私の所属するバラクーダネットワークスは昨年より Hardening Project のスポンサーをさせていただいています。

今回、「 Hardening II Collective」が7月6、7日の2日間に渡り、沖縄県の宮古島で行われました。初日が競技日となり、2日目は Softening Day と呼ばれる競技の振り返りや表彰を行う日となります。私もマーケットプレイスの一員として参加してきましたので、その様子を簡単にレポートさせていただければと思います。

Hardening には IT ベンダー、ユーザ企業はもちろん、公務員、学生の方のなど幅広い方々が参加されています。

参加者はチームに分かれ、それぞれに架空のECサイトをはじめとした「衛るべき」システムが与えられますが、このシステムには様々な脆弱性が仕込まれており、さらに競技中には運営側の「kuromame6」と呼ばれる攻撃者集団からも容赦ない攻撃を受け続けることとなります。

各チームにはそういった中でシステムを「衛り」ながらECサイトを運営し、売上を上げていくことが求められます。

そして、競技の評価も単なる技術だけではなく、売上や関係機関との協調性など多角的に評価されるのも Hardening の大きな特徴です。

通常の業務でなかなか体験することの出来ない（したくない）、様々な攻撃やインシデントへの対応をこのような実践的かつ緊張感のある競技環境で経験出来るのは非常に貴重な機会なのではないでしょうか。

競技とマーケットプレイスの役割

今回は全7チームに分かれ、また、各チームを実際の会社に見立て、社長を筆頭にチーム内に経営企画や営業統括、サービスプラットフォームといったビジネスユニット (BU) を設置するなど、実際の組織さながらに役割分担をしながら競技が進められました。

Hardening ではサイバー攻撃への対応などを行うエンジニアの方が必要なのはもちろんですが、インシデントが発生した場合の関係機関への報告や顧客からの問い合わせ対応、ECサイトの在庫管理など非エンジニアの方も活躍する場が多くあるのも大きな特徴で、実際に多くの非エンジニアの方も競技に参加されていました。

競技がはじまると各チームは攻撃をブロックしたり、システムに潜む脆弱性の対応やセキュリティ設定の見直しなどを進めていきます。また、実際の企業のIT活動と同様に外部の製品やサービスを導入するといったセキュリティ対策を取ることが可能です。それがマーケットプレイス (MP) と呼ばれる仕組みとなります。MPには様々な企業のセキュリティ対策製品やサービスが出店されており、チームは自分達の予算や状況にあわせた製品、サービスを導入することが出来ます。

バラクーダネットワークスでは「Barracuda Web Application Firewall (以下Barracuda WAF)」とその設定や運用をサポートするコンサルティングサービスを提供しました。

Barracuda WAF を利用すると、SQLインジェクションやクロスサイトスクリプティングといった Web サイトに対する様々な攻撃を防御することが出来るようになります。また、Barracuda WAF では SSL 通信の終端をすることが可能ですので、もともと HTTP となっていたサイトを、安全な HTTP”S” サイトにすることが簡単に出来るようになります。