2022年1月13日 09:20

Hardening 2021 Active Fault03:「テストはなく確実な作業を求められる」 KDL安達の場合

こんにちは!神戸デジタル・ラボ 広報室の大野です。

今年も、セキュリティ堅牢化の競技会「Hardening Project」の2021年度競技会が開催されました。「Hardening 2021 Active Fault」と名付けられた今回の競技会は、"システムにも、人間にも完璧は期待できない。「それでも衛る」には。"をテーマに11月に開催されました。

KDLから参加した3名のうち、今回のブログでは安達のインタビューをご紹介します!!

2021hardening_adachi_01.jpg

チーム内では「技術」を担当

配属されたチーム「セキュリティーホール90%オフ」は7人チームでした。全員が技術を担当するのではなく、サイト上の商品在庫を管理する担当や、カスタマー対応を行う担当など、チームメンバーそれぞれに役割を決め、小さい会社を運営するようなイメージでした。

技術担当として、主にサーバー上で動いているシステムのセキュリティを見て、デフォルトの設定からセキュリティを考えた設定に変えていくという役割だったので、使用しているツール自体に潜む脆弱性を手動で書き換えるなどセキュリティ対策を担当しました。

一番衝撃を受けたこと

「やることが分かっているのに、それをうまくできない」ことです。ブログではうまく伝わらないかもしれませんが、こうしたいという対策したいことは分かっているのに、具体的な手段がすぐに出てこないという理想と現実のギャップを身を持って感じた点が非常に衝撃でした。導きたい方向は定まっているのにどうすればいいのか分からなくてメンバーみんなで悩みました。

バックアップを取ろうという話が出ていたので、一部ではバックアップを取っていたのですが、それが競技開始初期のタイミングで取ったきりだったので・・・。

バックアップを使ってシステムを復旧すると、システムはバックアップを取った時の状態に戻ります。競技開始初期のバックアップしかないということは、競技開始初期の状態にしか戻せないということです。冷静に考えれば、いつ問題が発生してもシステムをできるだけ最新の状態に戻せるよう、定期的にバックアップを取っておくのは当然のことですが、その当たり前の「定期的なバックアップが必要」ということを欠いてしまった自分自身にも衝撃を受けました。

自分が成長できた部分について

僕がHardeningに参加した理由として、今回はオンライン開催で参加しやすかったということもありますが、参加するからには何かを得て、成長したいと思ったことも大きいです。

過去にMicro Hardening MINI Hardeningに参加した中で得た、Hardening内のWebアプリに使われている技術の傾向や、近年CMSを使用したサイトでのインシデント発生のニュースをよく目にすることから、CMSをセキュアに運用できていない場合、どういったことが起こるのかを改めてしっかりと抑えたいと思っていました。

公開されている既知の脆弱性情報や環境の設定など、当日に向けてリスクベースで「どんな攻撃シナリオが成立するか?」を調査し考えていけたことが成長につながったのではないかと思います。一通り競技をやってみた上で「この方法はよくなかった」など反省という意味でも色々と考えられたイベントでした。

難しいと感じた部分

業務と違う点として、テストを行う環境がなかったので、事前に試すということが全くできなかったことです。稼働しているシステムやサイトの本番環境でもしミスをすればそのシステムやサイトが止まってしまうこともありますので、テストを行わずに本番環境で作業するのはかなり勇気が必要です。保険がきかない中で確実な作業を求められることは、11つの作業に非常にプレッシャーを感じ、難しいなと思いました。

また、リモートのオンライン開催のため、チーム内でのコミュニケーションが難しいと何度も思いました。対面で作業をしていると自分に話しかけられていない事も自然と耳に入っているので周りの状況が分かりやすいのですが、オンラインではそうもいかず。情報を知るという作業に苦労しました。

後悔も

2021hardening_02.jpg

@ Hardening 2021 Active Fault - Hardening Day

前日に競技内容が発表され、その中でざっくりとどういうものが使われているかを把握できました。「これを使っているなら、あの攻撃方法が使えるのでは」というところも何カ所かありました。

ただ、当日は競技に必死すぎて時間が足らず、その施策に効果があったのかどうかに目を向けられなかったのが残念です。どんな攻撃が来ていたか全くログを確認できていませんでした。意味のある対策に時間を使えたのか、無駄な時間を過ごしてしまったのか、Web経由で攻撃を受けていたところもあったので、そこに目を向けられていたら振り返りに使える情報をもっと得られていたなという後悔もあります。

最後に

もしまた参加するなら次回も「技術担当」をやりたいです。業務ではアプリケーションのセキュリティ対策を担当することが多いので、そのあたりの知見はありますが、今回参加したことで、やはりインフラ(システムのサーバーやネットワークなど)の知識も必要だと感じました。

ちょっと踏み込んだ話をすると、サーバーの設定を手動でするのは効率が悪いなと感じましたし、もっとインフラの知識を活かして競技に取り組めたらいいなと感じました。やってみたいこと・やれることがより具体的になった気がします。

また、競技前からマーケットプレイスでお世話になった株式会社イエラエセキュリティの企業賞を頂けたことも嬉しかったです。

多くのことを学べたイベントでした、ありがとうございました!

CSA岡田良太郎より

セキュリティサービスチームでも、自分で手を動かして検証することを率先している安達さん。さすが、近年のCMSインシデントの傾向を詳細にリサーチしていたとは!実践や運用という側面での「あるある」の経験ができたことも含め、良かったのでは。限りある時間での実践は、普段の業務においても求められます。安達さん持ち前の分析力を、脅威予測、防御配備、対応戦略と幅を広げて実践のチャレンジとして加速していく糧にしていただければ幸いです。

関連記事はこちら

◎11月に「Hardening 2021 Active Fault」が開催!KDLからも3名が参加しました

◎Hardening 2021 Active Fault01:「Hardeningは自分の慢心に気づくイベント」 KDL田中の場合

◎Hardening 2021 Active Fault02:「学んだことを普段の業務に生かしたい」KDL武富の場合

執筆:大野 陽子

広報室

本件に関するお問い合わせ

お問い合わせフォームより、お気軽にお問い合わせください。

ページの先頭に戻る