KDL BLOG

2018.12.06
セキュリティイベント・セミナー

Hardening II SecurEach @宮古島 参加レポート

こんにちは。データ事業部でUXエンジニアをやっている内田です。

2018 年 11 月 21 〜 22 日、沖縄県宮古島市で開催された、セキュリティ堅牢化の競技会である「Hardening II SecurEach」に競技者として参加してきました。このイベントでの出来事や学びを振り返りたいと思います。

◎昨年の様子はこちら

uchida.png

<データ事業部 内田 恵>

Hardening競技会とは?

  • Hardening競技会は、基本的に、チームに託されたウェブサイト(例えばEコマースサイト)を、決められた比較的短い時間であらゆる手だてを尽くして脆弱性を発見し、堅牢化し、同時にビジネスとして売り上げなど成果が最大化するよう調整する力を競うものです。

競技会の公式サイトから引用

つまり、運営側が集めた精鋭なる技術者集団からあの手この手をつかってハッキングされる自チームのウェブサイトを守り、スコアを競うというものです。また今回は技術的なことのみではなく、例えばECサイトならサイトでの販売、仕入れ、堅牢化のためのベンダー製品の購入や人材の調達、またインシデント時の広報対応など、幅広くビジネスを成り立たせるための対処に関してスコアリングされるルールでした。

そして、今回の大会では「SecureEach」というサブタイトルの通り、「自分だけ良くても産業は守れない=サプライチェーンのセキュリティ」というミッションのもと、連合制度というものが導入され、自チームのウェブサイトの堅牢化だけではなく、自チームが属する連合内の他チームのウェブサイトも堅牢化する必要がありました。

チームは全部で12チームで、それらが3チームずつ、4つの連合(EAST, WEST, SOUTH, NORTH)に編成され、競技が行われました。
また今回、SRチームという各チームにセキュリティ人材を派遣する人材派遣会社を想定したチームが組まれました。この人材派遣チームからは、売上と引き換えに、人材を時間単位で派遣してもらうことができます。これは今回初の取り組みだそうです。

エントリー~競技前々日まで

イベントに協賛しているKDLからは、私の他にデジタルビジネス本部のワン、チェン、高橋の4名が競技に参加。とはいっても、同じチームというわけではなく、運営側によって参加者が事前にチーム分けされます。

hardening2018_005.png<左から、ワン、内田、チェン、高橋>

私のチーム#9「ZERO」は、私以外のメンバーが関東だったり所属もバラバラだったので、基本的にはSlackでやりとりしながら、収集した情報をGoogleDocで共有したり、Webで定期的にミーティングを行ったり、各自に割り当てられた準備を進めたりしていました。

宮古島入り(競技前日)

海が綺麗だな~というのほほんとした気持ちも束の間、夕方に運営側から当日の資料が送られてきた瞬間から戦いの火蓋は切られました・・・。
そんなこととはつゆ知らず、初めて顔合わせした私達はとりあえず資料を印刷し、居酒屋に向かって、リーダーの許可をもらいオリオンビールで景気付け(笑)。

hardening2018_001.png

<チーム「ZERO」のメンバー>

その後、ホテルに戻ってリーダーの部屋で資料の読みこみと翌日の戦略を練り始めましたが、乾杯しているうちにスタートダッシュに遅れ、人材派遣会社の人材予約ができない事態に直面。。これは自分たちの力でなんとかするしかない!と、腹をくくりつつ、会議は深夜の1時頃まで続き、競技開始前から若干ぐったりした状態で解散したのでした。。

1日目 Hardening Day

hardening2018_006.pngまず開幕早々、会場に来ていたKDL代表の永吉が、私に一言言い放ちました(激励?)。

hardening2018_003.png

「無謀やな」(永吉)

そう、これは無謀な挑戦・・・私が一番わかっているのです(涙)。

昨日の会議で決めていた通りに各自が作業を進めようとするも、環境が不安定なこともあったりで、思っていたようには進まない。やっと各サーバーやアプリのパスワード変更できたのがちょうどお昼に差し掛かるころでした。

各チームの売上が可視化されているので、気ばかりが焦ります。

hardening2018_011.png
私は主に商品管理と顧客対応全般を担当することになり、使い慣れないWordPressの画面で商品画像を変更するのに四苦八苦・・・。さほど難しい作業でもないのですが、慣れていないとこんなに時間かかってしまうのだなと改めて思いました。

hardening2018_004.pngそうこうしている間に、ECサイトで販売している商品の金額を勝手に90%offにされたり、何度もアプリケーションが攻撃されて落とされたり。あっという間にランサムウェアにもやられてしまい、運営しているECサイトの売上が完全ストップしてしまう事態に(涙)。

悲しいことに(経験者の先輩方に散々口酸っぱく言われていたもかかわらず)、バックアップも取得できていなかったため、身代金要求に答えるか、高額の復旧サービスを購入するかという選択に迫られるも、このタイミングで人材派遣会社から救世主が舞い降りました!

まさかのKDLのチェンさん(笑)

hardening2018_002.pngここからチェンさんが怒涛の勢いで我がチームのネットワークの復旧と、WEBサイトの構築をし直してくれるという神対応。最終的にはチームのみんながチェンさんを「神」と崇めていました。

hardening2018_008.pngやっとECサイトが復旧して見られるようになって運用作業ができそう・・となってきたところで、競技が終了~。

hardening2018_007.png最後の方になると、もうみんなだいぶ力尽きてきているのですが、ここからまたホテルに戻って翌日の発表資料作成のため、1日の振り返りを行いました。

2日目 Softening Day

2日目は、各チームのふりかえりの報告と、運営側(kuromame6)からの舞台裏のお話や講評と順位発表などが行われました。

hardening2018_009.pngチーム優勝となる条件は、まず連合としての売上で優勝、そして優勝した連合の中から最も売上の高かったチームが優勝となります。売上には技術点や対応点、顧客点、協調点など様々な評価点が加算されるため、それぞれのインシデントへの立ち回りも優勝への大きなポイントになります。

面白かったのは、全チームの売上では7位だったチームが優勝したということ。自分のチームだけではなく、連合のフォローを行うなどビジネス全体の安定性を考えた対処が優勝につながったようです。技術が凄まじく高く、圧倒的に堅牢でも優勝するにはチーム力が必要というところは今回の競技の面白さだと感じました。

hardening2018_010.png残念ですが、私のチームが所属していたEAST連合は1位になれず、チームの売上ではまずまずだったものの受賞ならず、という結果でした。

学び

長時間の戦いで追い込まれることにより、様々な気付きを得ることができました。

個人スキル

まず、土壇場で問われるのは普段の対応力。火事場の馬鹿力とはいうものの、実際には実力以上の力は出せないものだなと思いました。

逆に、普段の業務で身につけてきた経験や知識は小さなことでも有用だと思いました。「やったことがある・さわったことがある」というのは大きな違いがある。経験が大事だと気付くことができました。

チームスキル

このイベントでは、マーケットプレイスで様々なセキュリティ商品を購入したり、セキュリティ人材を派遣してもらったり、いろんな力を借りることができる仕組みなのですが、今回はあまり活用できませんでした。もっと自組織の能力を客観的に評価して不足している能力をアウトソーシングで補ったり、他組織とうまくシェアすることの重要性を感じました。

なにを準備するか?

準備の重要性はとにかく身に染みました。

細かい話でいうと、各アプリケーションの作業手順といった細々したものは準備をしていたのですが、実際にあまり使うことができませんでした。しかし、逆にプライバシーポリシーといったドキュメント類は事前に用意していたものをうまく活用できました。そもそも「事前準備すべきものは何か?」をどのような観点で考えるべきかという気付きがありました。

そしてもうひとつ、重要な気づきは、計画通りにいかなかった時の、リカバリプランの準備が必要だということです。このあたりが考慮できておらず、実際の問題が起きたときに取り組むべきことの優先度付けや意思決定が遅くなってしまったと反省しています。

まとめ

個人的には Softning Day 前夜にチームメンバーで夜遅くまで真剣に振り返りのディスカッションをしたことが一番印象に残っています。会社員もいれば学生さんもいたり、年齢もばらばら、普段は全くことなる場所で異なる仕事や勉強をしている方々の様々な考え方に触れられたことが貴重な体験でした。

また、参加するまでは、セキュリティ知識が浅い私が参加する意味あるのか?とか思っていたのですが、このイベントを通して、セキュリティに向き合うのはエンジニアだけでなく、会社の様々な役割の人が向き合うべき課題なのだと再認識しました。

・・・と、いいことばかり書きましたが、KDLでは「精神と時の部屋」と呼び声高いこのイベント、長時間セキュリティ攻撃と戦い続けるのでものすごく疲れるけど、最高に楽しいです!少しでも興味をもったみなさんはぜひトライしてみてくださいね!

追伸:宮古島の海は最高に綺麗です!!!(ただし、晴れに限る)

hardening2018_013.png

KDL技術顧問で本イベントオーガナイザの岡田良太郎さんコメント

hardening2018_012.png<岡田さん(左)と、KDLの永吉(中央)、三木(右)>

今回のテーマは「SecurEach(セキュアイーチ)」です。
セキュリティを考慮しながら、どうゴール地点へ達するか(reach)、そしてアプリやネットワーク、コンプライアンスなどそれぞれ(each)の得意分野をどう立体的に組み合わせるか、をチームごとに競い合いました。

今回は参加者を12チームに分けましたが、東西南北の連合軍を組んでもらいましたので一人勝ちはできません。課される課題に対し、どう協力体制を組むのかも見どころの一つとなりました。セキュアにビジネスを成り立たせるには自分たちの点数より連合のほかのチームを助ける必要がある場面も多々あり、一人一人の立ち回りが勝敗を分けたのです。

結果、7位のチームが優勝。それぞれの技術力を競うだけではなく、連合を組むことで学ぶこともたくさんあったのではないかと考えています。

関連ソリューション

情報セキュリティサービス「Proactive Defense」

詳しく見る
関連記事
Webアプリケーション脆弱性検査ツール『VEX』ハンズオンセミナー開催
セキュリティ
イベント・セミナー
Webアプリケーション脆弱性検査ツール『VEX』ハンズオンセミナー開催
2017.07.26
「DevOps」の事例と実践方法を学ぶ、「サイバー攻撃に備える『DevOps』という選択」セミナーレポート(2)
セキュリティ
イベント・セミナー
「DevOps」の事例と実践方法を学ぶ、「サイバー攻撃に備える『DevOps』という選択」セミナーレポート(2)
2019.06.06
KDL社内勉強会で注目の発表「パスワードが守る!パスワードは危険!えー、どっち?!」
セキュリティ
イベント・セミナー
KDL社内・社員
KDL社内勉強会で注目の発表「パスワードが守る!パスワードは危険!えー、どっち?!」
2020.10.21