セキュリティ業界の精神と時の部屋!?Hardening Projectとは
皆さんは Hardening Project というセキュリティの競技会をご存知でしょうか?
Hardening (ハードニング)とはもともと「固くする」などの意味を持ちますが、セキュリティの分野ではシステムの脆弱性を減らすことなどによる「堅牢化」という意味合いで使われる言葉になります。
そして、実行委員会の WASForum によると、Hardening Project とは『「衛る技術」の価値を最大化することを目指す、全く新しいセキュリティ・プロジェクト』と定義されています。一般に使用される「守る」ではなく、チームで城を衛る衛兵などの意味でも使われる「衛る」の漢字を使っているところに実行委員会の方々の思いが込められているのではないかと思います。
私の所属するバラクーダネットワークスは昨年より Hardening Project のスポンサーをさせていただいています。
今回、「 Hardening II Collective」が7月6、7日の2日間に渡り、沖縄県の宮古島で行われました。初日が競技日となり、2日目は Softening Day と呼ばれる競技の振り返りや表彰を行う日となります。私もマーケットプレイスの一員として参加してきましたので、その様子を簡単にレポートさせていただければと思います。
Hardening には IT ベンダー、ユーザ企業はもちろん、公務員、学生の方のなど幅広い方々が参加されています。
参加者はチームに分かれ、それぞれに架空のECサイトをはじめとした「衛るべき」システムが与えられますが、このシステムには様々な脆弱性が仕込まれており、さらに競技中には運営側の「kuromame6」と呼ばれる攻撃者集団からも容赦ない攻撃を受け続けることとなります。
各チームにはそういった中でシステムを「衛り」ながらECサイトを運営し、売上を上げていくことが求められます。
そして、競技の評価も単なる技術だけではなく、売上や関係機関との協調性など多角的に評価されるのも Hardening の大きな特徴です。
通常の業務でなかなか体験することの出来ない(したくない)、様々な攻撃やインシデントへの対応をこのような実践的かつ緊張感のある競技環境で経験出来るのは非常に貴重な機会なのではないでしょうか。
競技とマーケットプレイスの役割
今回は全7チームに分かれ、また、各チームを実際の会社に見立て、社長を筆頭にチーム内に経営企画や営業統括、サービスプラットフォームといったビジネスユニット (BU) を設置するなど、実際の組織さながらに役割分担をしながら競技が進められました。
Hardening ではサイバー攻撃への対応などを行うエンジニアの方が必要なのはもちろんですが、インシデントが発生した場合の関係機関への報告や顧客からの問い合わせ対応、ECサイトの在庫管理など非エンジニアの方も活躍する場が多くあるのも大きな特徴で、実際に多くの非エンジニアの方も競技に参加されていました。
競技がはじまると各チームは攻撃をブロックしたり、システムに潜む脆弱性の対応やセキュリティ設定の見直しなどを進めていきます。また、実際の企業のIT活動と同様に外部の製品やサービスを導入するといったセキュリティ対策を取ることが可能です。それがマーケットプレイス (MP) と呼ばれる仕組みとなります。MPには様々な企業のセキュリティ対策製品やサービスが出店されており、チームは自分達の予算や状況にあわせた製品、サービスを導入することが出来ます。
バラクーダネットワークスでは「Barracuda Web Application Firewall (以下Barracuda WAF)」とその設定や運用をサポートするコンサルティングサービスを提供しました。
Barracuda WAF を利用すると、SQLインジェクションやクロスサイトスクリプティングといった Web サイトに対する様々な攻撃を防御することが出来るようになります。また、Barracuda WAF では SSL 通信の終端をすることが可能ですので、もともと HTTP となっていたサイトを、安全な HTTP”S” サイトにすることが簡単に出来るようになります。
1日の競技の間で Barracuda WAF で検知した攻撃だけでも1チームあたり平均100万件を超えていました。
私は MP として当日は Barracuda WAF の導入、運用まわりを担当していましたが、リアルタイムで発生する攻撃への対応など、普段メーカーのSEとしての業務ではなかなかない経験をすることが出来ました。
他にもランサムウェアがばら撒かれるなど参加者は多種多様な攻撃に技術的に対処するのはもちろん、顧客対応やインシデントの報告など実際の現場で求められる様々な対応を1日の競技の中で経験することになりますので、実際の競技参加者の方が得る経験(そして苦労)は計り知れないものではないかと思います。
イベント後の懇親会で実際に参加者の方とお話しさせていただく機会もありました。様々なバックグラウンドを持った方が参加されていますが、どなたも本当に高いスキルや経験、そして何よりセキュリティ業界を良くしていこうという強いモチベーションを持った方ばかりです。
このように素晴らしくモチベーションの高い方々と密度の濃い時間を過ごすことのできる Hardening が終わった時に得る充実感は計り知れず、まさに「精神と時の部屋」と呼ぶに相応しい環境ではないかと思います。
最後になりますが、実行委員、参加者、MP など Hardening にかかわった全ての方々にこの場を借りて改めてお礼を申し上げたいと思います。
本当にありがとうございました!
参考リンク:
- Hardening Project: https://wasforum.jp/hardening-project/
- Barracuda Web Application Firewall: https://www.barracuda.co.jp/products/waf/