KDL BLOG
こんにちは。セキュリティ事業部で脆弱性診断をやっている藤原です。
2020年1月24日〜25日、沖縄名護市・万国津梁館にて開催されたHardening 2020 BOに競技者として参加してきました。初参加である今回のHardeningでどのような体験をしたか、何を得られたかについて報告します。
Hardeningとは
Hardening競技会は、基本的に、チームに託されたウェブサイト(例えばEコマースサイト)を、ビジネス目的を踏まえ、降りかかるあらゆる障害や攻撃に対して、考えうる手だてを尽くしてセキュリティ対応を実施しつつ、「ビジネス成果を最大化すること」を目的に、調整する力を競うものです。(引用:Hardening 2020 BO 募集要項)
ざっくり言うと、自チームが運営するECサイト等のサービスを、Hardening実行委員会チーム(通称:kuromame6)からの攻撃から約8時間守り続けながら、スコアを競う競技です。主目的は売上の最大化ではありますが、ユーザをサポート・保護する取り組みや製品・サービスの積極的利用による市場の活性化、チームを越えた市場全体のための脅威情報の共有といった要素も評価対象となります。
事前準備
Hardeningのチームは、申込み時の情報を元に実行委員会が決定します。今回は12月初旬にチーム分けが発表され、その後チーム内で連絡を取り合い、各メンバの役割やチーム戦略を固めていきました。競技環境などの詳細な情報は大会前日に公表されるので、それまでは過去の傾向から予測して備えるしかありません。
この段階で、マーケットプレイス(競技環境内でチームの売上によって購入・利用できるサービス・製品)の購入方針を決め、あまり攻撃が来ないと想定される競技開始から一時間の間にすべきことのリストアップを行いました。
マーケットプレイスでのサービス・製品購入は入札方式で行われるので、それを踏まえて戦略を立てる必要があります。私たちのチームはBarracudaさんのWAF(Web Application Firewall)を金額的に多少無茶をしてでも購入する、という方針でいくことにしました。
競技前日
環境情報などの説明資料が競技者に公開されます。各メンバが資料に目を通した後、チームで集まり、資料を基に作戦を練り直します。今大会の特徴的な要素といえば、
・チームが本社と支社に分かれている(地理的に二分される)
・ECサイトとは別にふるさと納税サイトを運営している
・キャッシュレス消費者還元事業を行っている
と設定されていた点でしょうか。
特に、「チームが本社・支社に二分される」という要素から、「途中で強制的な人事異動イベントが発生するのでは」「メンバが本社・支社を行き来することが制限されないか」など、様々な状況を想定しながら編成を考え直しました。
このほか、達成することでスコアが加算される13のミッションがありましたが、必須と書かれた一項目を除いては必ずしも全て実施する必要はないとのことだったので、どの項目を優先するか・切り捨てるかを決めました。
1日目:Hardening day
競技環境はNICT StarBED(新技術の実証試験等に使用される試験用プラットフォーム)上に構築されています。
メンバー各々が持参してきたPCから、Windows環境を踏み台にして、Webサーバ・DBサーバ等を操作する・・・のですが、いきなり「RDPでWindows環境に入れない」という問題にぶつかり、大幅にタイムロスしてしまいました。
なんとかWindows環境に入った後は、踏み台Windows環境の堅牢化から着手しました。パスワード変更、不要なアカウントの無効化、不要なソフトウェアの削除等、予めチーム内で共有されていた手順を基に進め、終わった頃には既に昼。
競技とは関係のないところで悪戦苦闘していた午前でした。
また、午前中にはマーケットプレイスの入札が行われましたが、金銭的に無茶をした結果、WAF含め、事前にリストアップしていたサービスを全て購入することができました。
必須ミッションである「チームメンバ全員でランチボックスを手に名護市の美しい風景とともに写った写真をチームが運営するギャラリーサイトに掲載する」をこなした後、ランチタイムに入りました。
ランチボックスは運営の方々が用意してくださったもので、中身は様々な琉球料理でした。とてもおいしかったのですが、できれば競技時間外にゆっくりと味わいたかった気もします。
午後からは、主にログ監視や設定の確認等を行っていました。何となく要領がわかってきた気がするなあ、と思ってきたところであっという間に競技終了となりました。
2日目:Softening day
2日目には、各チームによるHardening dayの内容の発表、競技の結果発表と表彰、競技環境や攻撃に関する解説等が行われます。
各チームの発表は、「他のチームも同じところで苦戦したんだな」と思うこともあれば、「そういう方法があったのか」と思うこともあり、かなり勉強になりました。
情報共有に使用したツールについて触れるチームもありました。「チーム内の連絡はSlackで行い、タスク管理にTrelloを使う」というチームが多かったです。
今回は、本社・支社の二ヵ所に分かれている中でいかに円滑に情報共有するか、という点もポイントだったように思います。
また、運営の方々やマーケットプレイスの方々のお話も聞くことができました。Hardening Projectに携わる方々もまた、非常にハードな体験をしておられることを知ることができました。
さて、チームの結果ですが・・・評価項目のうち「協調点(市場全体への脅威情報共有)」と「経済点(マーケットプレイスの積極的活用による市場の活性化)」は 1位 でしたが、売上の数字が芳しくありませんでした。マーケットプレイスに大枚をはたきすぎてしまったのが要因でしょうか。
Hardeningに参加して
今回Hardeningに参加した感想・・・というより思い知ったこととしては、やはり「知っている」ことと「実際にできる」ことでは天と地ほどの差があるということです。事前に調べて勉強したところで、競技ではほとんど通用しませんでした。
競技の中で役に立つのは、付け焼刃な知識よりも、積み重ねた経験とその応用だなあと実感しました。
今回のイベントタイトル「Hardening 2020 BO」の「BO」とは、「Business Objectives」の略です。また、冒頭で述べた概要にもある通り、競技における目標は「ビジネス成果を最大化すること」です。
ビジネスにおいて、売上を追求することもサービスを稼働させ続けることも当然重要ではありますが、今回のHardeningはビジネスというものが、如何に多面的で複雑なものかを知ることができるものだったのではないかと思います。
例えば今大会の設定にあったふるさと納税サイトの運営にしても、委託された返礼品が売れればその分利益は増えますが、そこに至るまでには返礼品の上限金額の設定や返礼品として取り扱えない品の確認など、配慮すべきことはいくつもありました。
少人数のチームでひとつのサービスを運営することで、日頃自分たちが行っている業務のひとつひとつがビジネス成果をあげるための、ビジネスを構成する一要素であることを感じることができたと思います。
最後になりますが、Hardenign Project実行委員会の皆様、この度は貴重な体験をさせていただき、本当にありがとうございました。
執筆:藤原 静夏
セキュリティ事業部
KDLはHardening Projectに協賛しています
Hardening Projectには、KDLもPlatinum Sponsorとして運営協力、協賛しています。今回のスポンサー賞「KDL賞」は、KDLが設立より本社を置く神戸を広く皆様に知っていただきたいとの思いから、同じく神戸(兵庫県)に本社を置かれる企業様の商品詰め合わせを提供させていただきました。