KDL BLOG

“Hardening 2017 Fes”に協賛・運営協力・参加しました

2017年11月23日~25日、淡路夢舞台国際会議場 にて “Hardening 2017 Fes” が開催されました。このイベントに、KDLも協賛、および、運営協力と競技への参加をさせていただきました。このイベントに、広報室メンバー代理として、IoT班の中西が取材させていただいたので、中西のコメントを交えながらレポートしたいと思います

Hardening 2017 Fes Sponsors.JPG

システムも人も「強化」する”Hardening”(ハードニング)

HardeningProjectLogo.pngこのイベントの母体となっている “Hardening Project”は、非営利の団体による実践的なセキュリティスキルに関する情報交換と研鑽のプロジェクトであり、年々増加しているサイバーセキュリティ脅威を踏まえ、これに対処できる人材育成のために競技会形式でのイベントを2012年より東京で、2014年より沖縄で開催しています。そして、今回の “Hardening 2017 Fes” では、通算11回目となる節目に際して、これから10回の開催を見据えた新たなキックオフとして、日本標準時子午線の通る開催地・兵庫県淡路島で初開催されました。開催地が、KDLの本社がある兵庫県でもあることから、KDLとしてもこのイベントに協賛させていただくともに、運営面での協力と、若手エンジニアの競技参加をさせていただいたというわけです。

では、具体的にどのような競技だったのでしょうか?

それは、イベント名にある”Hardening”の意味の通り、ITシステムの「強化」「堅牢化」のための実践の場であり、この実践を通して参加者自身も高度セキュリティ人材として「強化」されるという競技です。主催者サイトの説明を引用すると「チーム対抗で、脆弱性のあるECサイトへのハードニング(堅牢化)力の強さを総合的に競うコンペティション」であり、「進行中のEコマースビジネスに突如ふりかかるサイバー攻撃にかかわるリスクを回避・対処し、その成果として売り上げを競う」という、本格的かつ実践的な学びの場でした。

P4_hardening01.jpg

それでは、3日間の内容をダイジェストで以下にご紹介していきましょう。

1日目~Hardening Day~

初日は”Hardening Day”ということで、1チーム7名程度で16チームが参加する過去最大規模のHardening競技から始まりました。前日になるまで公開されない競技環境の情報を受けて、自分のPCを競技環境に接続するところから始め、自分のチームのサーバへアクセス。そのサーバ上にある仮想のECサイトを運用していきます。

競技開始時風景.jpg

各チームの状況はリアルタイムで会場内のスクリーンやモニターに表示され、サーバーがどういう状況なのか、ECサイトでどれだけの売上を上げているのか等がわかるようになっています。

スタート時.jpg

競技環境にはマルウェアや脆弱な設定やサイトが準備されており、競技環境の脆弱性を突いて、イベント運営側が用意した選りすぐりの技術者集団「kuromame6」が悪意のある攻撃を次々にしかけてきます。各チームでは、攻撃から競技環境を衛るべく、問題点を見つけ対策を講じることで、ECサイトを運営し売り上げ向上を図ります。

ランサムウェア.jpg

また、競技の途中からは「マーケットプレイス」(MP)と言われる、セキュリティ担保やサイト運用効率化等を可能とする各種サービスや人材を自分のチームが持つポイントの範囲内で購入することができ、自分たちのチームのサイトを守りつつ、ECサイトでの売上を伸ばすことに力を注ぐことができるようになります。このMPには、KDLセキュリティチームが誇るエキスパートの松本・寺岡より「改ざん検知・復旧サービス」を提供させていただきました。

MarketPlace.jpg

さらに、競技中に好調に売り上げを伸ばしていた上位2チームに対し、個人情報流出事故が発生したと兵庫県警から連絡が入ったという設定で、チームの中で「社長」の役割を担うメンバーが急きょ「役員室」に呼び出され、緊急役員会儀が開催されるなど、本当に気が抜けない内容となっていました。(この緊急役員会儀での説明の様子も会場スクリーンで中継されました)

役員呼び出し.jpg
個人情報流出.jpg

このような形で進む9時間にも及ぶ競技が終わる頃には、チームの状況を表示するパネルも大いに乱れ、各チーム、MPともにヘトヘトになりながらも、開放感からか安堵の様子でした。

1日目終了.jpg
1日目終了!.jpg

2日目~Firming Day~

1日目夜の懇親会で大いに楽しみ、参加者同士の交流も深まる中で迎えた2日目の朝。会場全体に衝撃が走り抜けます。それは、各チームに通達された「人事異動」のお知らせでした。

社長を残して異動.jpg

以前までのHardeningは、競技が1日で完結しており、2日目はSoftningと呼ばれる各チームの振り返りや気付きの発表等が行われていたのですが、今回は勝手が違いました。2日目の冒頭に突然、チーム内の「社長」を除くすべてのメンバーが他のチームに「人事異動」を言い渡され、各チームは引き継ぎのための資料を作ることとなり、Hardening競技の延長戦がスタートしたのです。

引継ぎ.jpg

引き継いだチームには、ECサイトの商品を全て販売してしまっていたチームもあったりと、ちょっとざわつく状態からのスタートとなりましたが、新たなチームとなった中で、昨日に続けて2時間のECサイト運用が続きました。

追加ルール.jpg
2日目競技中.jpg

そうして、2日目の午前中まで使った競技は本当に終了となりました。

競技終了.jpg

その後は昼食を挟んで、アンカンファレンスが行われました。「アンカンファレンス」とは、講演者の話を聞くセッションの形態とは異なり、参加者自身がテーマを出し合いそのテーマについて自分たちで話し合い、参加者全員で作り上げる形式のカンファレンスのことです。

ここでは、「経営とセキュリティをどう考えるか」、「脆弱性対応」、「インシデントレスポンスをどうするか」、「セキュリティ人材育成をどうするか」、「 おれたちのHardening」テーマに分かれ、それぞれのテーマに興味のある参加者が意見を出し合い、熱い議論を重ねていました。

俺たち.jpg
アンカンファレンス.jpg

3日目~Softening Day~

最終日である3日目は、丸1日かけて、2日間の競技を振り返る時間でした。各チームは参加にあたり準備した内容や競技中の気付きを発表し、また攻撃側の「kuromame6」からもどのような攻撃や脆弱性があったのかの説明も受け、多くの気付きを得る貴重な場となりました。

推移.jpg
day3_数字で見る.jpg

そして、最後に、競技を通して最も売上を伸ばしたチームの表彰と、協賛企業各社からの特別賞が発表されました。

売上ランキング.jpg
グランプリ.jpg

ちなみに「KDL賞」は豪華神戸牛を進呈させていただきました。受賞されたチームの皆さんおめでとうございます。

KDL賞.jpg

なお、Softeningの様子はYouTubeにもアップされていますので、是非ご覧ください。

KDL presents の「スポンサーパーティ」

Hardeningとしては以上の内容でしたが、今回は兵庫県での開催ということで、イベント後には地元パートナーであるKDLが提供するスポンサーパーティを淡路ハイウェイオアシスのBBQハウスを貸切って実施させていただきました。

BBQハウス夜.jpg

この場には、今回のイベント運営メンバーの皆様とマーケットプレイス・協賛企業の方々にご参加いただき、皆様に楽しんでいただきました。

BBQ.jpg

怒涛の3日間を振り返って

このような怒涛の3日間でしたが、広報代理スタッフとして参加してくれた中西からは、以下のコメントをもらいました。

中西波瑠.jpg

Hardening では、最新のトレンドを踏まえたリアルなサイバー攻撃からビジネスをまもる競技ですが、毎回の演習内容の進化に驚いています。

ここで Hardening が「訓練」ではなく、実際のビジネスを模した「演習」であるという点を挙げさせていただきましたが、競技でもあるために他のチームよりも秀でた結果を残すという目標は当然存在するのですが、単に競技結果に一喜一憂するのではなく、いかに多くの気付きを得て持ち帰り、自身の糧にすることができるかという点も、毎回進化を遂げる演習だからこそのものだと感じます。

例えば実際のインシデントが発生した現場では、その場にいるメンバーで急造のチームを組み、解決に向けて多種多様の対応を求められる場面があります。 その際には、与えられた役割以上の範囲の対応を求められるでしょうし、急増チームでは足りない技術や人材をどのように補うのかの判断を求められたりもするでしょう。

今回競技に導入された「人事異動制度」による「引続き力」もまさに実際の現場ではよくある光景です。現場のエンジニアから新たな担当へ引きつぐことを考えた準備や行動と、新しいチームを受け入れつつ進めて行くリーダーの統率力が求められるなど、より実際の現場に近い新しい要素が競技内容に追加され、進化を遂げていることで、より多くの気付きが増えてきていると思います。

これと同じことを、競技を通して体験し多くの気付きを学べ、教訓とすることができるHardening Project はなんて素晴らしいことかと、自身の胸を熱くし、スポンサー、運営、参加者の関係者の皆様には頭が下がる想いでいっぱいです。

これからの時代、いくら優秀なエンジニアでも個人で対応できることに限度があり、求められる範囲が多様化しているからこそチーム力を上げることで、セキュリティの力を強くすることが必要なのだと 改めて感じた次第です。

メディアでも取り上げられました

12月17日の神戸新聞でも “Hardening 2017 Fes”が取り上げられました。そちらも合わせてご覧ください。

https://www.kdl.co.jp/news/2017/12/hardening2017.html