11月に「Hardening 2021 Active Fault」が開催！KDLからも3名が参加しました

こんにちは！神戸デジタル・ラボ広報室の大野です。

今年も、セキュリティ堅牢化の競技会「Hardening Project」の2021年度競技会が開催されました。「Hardening 2021 Active Fault」と名付けられた今回の競技会は、”システムにも、人間にも完璧は期待できない。「それでも衛る」には。”をテーマに11月に開催されました。

KDLからは、デジタルビジネス本部 Security Serviceチーム所属の安達智弘さん（写真左下）と田中裕真さん（写真右上）、情報企画部兼 KDL-SIRTの武富佳菜さん（写真左上）が参加。参加した3名に、競技会で学んだこと、辛かったこと、良かったことなどをインタビューしましたのでご紹介します！

Hardening Projectとは？

@ Hardening 2021 Active Fault – Hardening Day

ITとは切り離せない存在となった情報セキュリティ。Hardening Projectは、WASForum（*1）が2012年より開催するセキュリティ堅牢化の競技会です。脆弱（せいじゃく）なECサイトなどのシステムを様々な攻撃から守る体験を通して、システムを堅牢化（弱点、脆弱性を減らしてセキュリティを強化すること）し、「セキュリティをビジネスに活かす」ことの本質を理解することを目的としています。IT技術者はもちろんのこと、セキュリティに間接的に関係する非技術者の参加も呼びかけています。

今回の競技会「Hardening 2021 Active Fault」は、2021年11月17～20日に競技を中心としたHardening Dayがフル・オンラインで開催され、同27日に振り返りを行うSoftening Dayがオンラインとオンサイト本部会場への来場のハイブリッドで開催されました。

Hardening Day（競技）は、各チームにECサイトをはじめとする複数のシステムや資金が託され、競技終了までECサイトを運営することになります。運営に必要なサービスなどをマーケットプレイスと呼ばれる場所で購入することもできます。

競技が始まると、事前にチームで立てた戦略や方針に沿ってECサイトを運営していきますが、メールが使えなくなった、サイバー攻撃を受けてシステムが乗っ取られた、など問題が次々に発生します。参加者は、その問題を対処しながら、ECサイトの運営を続け、いかに売上を上げるかを競います。競技翌日のSoftening Dayでは、各チームからの発表や運営側からの解説など、競技で経験したことを業務に生かすための振り返りの機会も設けられています。

*1
WASForum（Web Application Security Forum）。ウェブアプリケーションのセキュリティにかかわる課題を研究、情報共有することにより、適切な対策や構築手段に関する有効な情報を普及啓蒙することを目的とする非営利の任意団体です。「Hardening Project」企画・運営を行うWASForum Hardening Project 実行委員会には、KDL執行役員・CSA（チーフセキュリティアドバイザー）の岡田良太郎さんも参画されています。

インタビュー

競技会のどれくらい前から準備されていましたか？

安達

チームが決まったのは1カ月くらい前です。そこから各チームのリーダーが舵を取りながら進めていきます。僕たちのチームは、週2回のミーティングの中でメンバーそれぞれのスキルマップを作成し、自分の技術をいかしながら、でも「何がやりたいか」を重視して各担当を決めていきました。「何ができるか」を明確にしておくことでお互いを知ると共に、任せることと自らが動くことがはっきりし、それぞれが意欲的に取り組めたのではないかと思います。

武富

私たちもチームが決まった1か月くらい前から週に1度程度のミーティングを重ねて、タスク管理や役割決めをしていました。Hardening開催前日の夜に協議の内容が発表されてから、一気にHardening Projectが始まった！という気分になりましたね。
今まで参加した人の話を聞く機会があって、どんなことをやるかは分かっていたつもりですが、守らなければいけないサイトの数やサーバー、それ以外にもやることがたくさんあって混乱しました。

田中

僕たちのチームでも週1のペースでミーティングをしました。過去のHardening経験者が少ないチームでしたので、過去の出題を見返し、YouTubeなども見て、みんなで課題を共有するなどコミュニケーションを大事にしていました。

参加したきっかけは？

安達

ずっと前から興味があり、出たいと思っていたのですが、現地開催だったので時間が取れずに参加できていませんでした。今回はオンライン開催でしたので参加できました。その時の都合で開催場所まで行くのが難しいなど、色々とオフラインだと難しい場面もあると思うので、オンライン開催だったらそこの敷居が低くていいですね。

武富

KDL-SIRTのメンバー宛に、岡田さんからオファーをいただきました。メンバーとも調整し、私も参加することになりましたが、オンライン開催だからこそ参加できたという面が大きいです。

田中

以前から興味があったので、これまでもMicro HardeningやMINI Hardening Projectには参加していました。KDLに入社してHardening Projectにも参加でき、嬉しい気持ちでいっぱいです。コロナ禍ということで、多くの人が一度に会するイベントは移動や宿泊を含めて怖い部分がありましたので、私もオンライン開催はすごくいい案だと思いました。

チームでの役割分担は？

安達

僕は11番チームで、チーム名は「セキュリティーホール90%オフ」です。事前に決めた通り、WEBアプリやフロント画面など技術的なところを担当していました。

武富

私は5番チームで、チーム名は「せきゅあねこ」です。技術というよりはフロント担当として、お客様へのメール対応などのサイトのフロント業務、商品画像のアップ、金額設定などをしていました。

田中

僕は7番チームで、チーム名は「しろくま」でした。運営・経営・技術・フロントに分かれて対応したのですが、僕は技術を担当させていただきました。サーバーが止まったら原因を調べ対処する、マルウエア感染が分かったときはバックアップ状態に戻す、といった役割です。

岡田さん

危険が生じるとわかっている環境を「衛る」という、とてつもない戦いを、初めて知り合う人の多いチームで実践するって、本当に大変だと思います。でも、実際のインシデントのレスキューのためにプロフェッショナルが関わるときには、もっと緊急性の高い状態で、事業部門から広報などさまざまな部門の方々、ベンダーなど外部の協力者、そして監督省庁や警察の方など、全く初顔合わせの組み合わせをこなすことが求められます。同様に、Hardening競技のチームメイキングや、役割分担の間合いを図るところはすでに競技レベルの挑戦が始まっているんですよね。
それぞれの戦いには、それぞれのストーリーができるはず。わくわくしますね！

つづきは別のブログでご紹介します

まだまだお伺いしたいことがありますので、ここからは個別のインタビュー形式でブログを続けようと思います。

皆さんには、チームの中での役割や、競技会当日にどんなことが起きたか、HardeningProjectに参加して一番衝撃を受けたこと、自分の成長に繋がったと感じたことなどをお伺いします。

順番にご紹介できればと思いますので、よろしければご一読ください。

執筆：大野陽子

広報室