KDL BLOG

敵はKDL?!「Hardening 2022 DECADE」参加メンバーにインタビュー(前編)

(Hardening Project提供)

こんにちは!神戸デジタル・ラボ広報室の大野です。

今年も「Hardening Project」がデザインし、実現するセキュリティ堅牢化競技会「ハードニング競技会」が開催されました。

2022年大会である「Hardening 2022 DECADE」は、2022年11月15日に沖縄名護市の「万国津梁館」で開催される「Hardening Day」、翌16日にオンライン開催される「Analysis Day(s)」、19日に東京でハイブリッド開催される「Softening Day」で構成され、競技者として約100人が参加、KDLからは2名が参加しました。

このブログでは、競技者として参加した、経営戦略本部 情報企画の勇美貴洋(以下 勇美)と、デジタルビジネス本部System Integrationの東田裕靖(以下 東田)に競技会の様子や学びについてインタビューします。

今回参加した理由を教えてください


勇美

僕はKDLで情報システム部門(以下 情シス)とSIRT(サート:Security Incident Response Team)を業務として担当しているので、インシデントハンドリングを経験して普段の業務に生かすことができればと思い参加しました。通常業務に戻ってまだあまり時間は立ちませんが、その経験が生きているなと思う場面もあります。「やったことは残していかないといけない」「次に同じことが起きた時にすぐ動けるように考えておこう」とか、技術的なこと以外で同じ失敗をしないようにという意識は確実に上がっています。

東田

僕は、Hardening出場経験もある松田さん(KDL生産技術所属)に勧めていただいて、「じゃあ行きます!」と二つ返事で参加を決めました。松田さんに品質管理の観点からプログラムの確認をいただいた縁でHardening Projectを知ったんです。行った感想としてはめちゃくちゃ楽しかったです。むしろKDL全社員に行ってほしいです!為になることしかありませんでした。

会場の様子はいかがでしたか?


hp2022_01.jpg

(Hardening Project提供)

勇美

会場は「万国津梁館」というすごくきれいなところだったのでテンションが上がったのを覚えています。最初に岡田良太郎さん(「Hardening Project」の実行委員で、KDLの執行役員・CSA(チーフセキュリティアドバイザー))が「前説」をやってくれまして、「久しぶりのオフライン開催なのでみんなで拍手の練習しましょう!」みたいなことをしてくれてアイスブレイクになりましたね。

東田

みんなでリアルで集まって何かすることに意義があると思いました。オンラインに意義がないということではありませんが、同じ会場に集まってメンバーの様子を見て、同じ空気感を味わうことができるのはオフラインならでは。自分は何をするべきかを考えるのも大変でした。

所属したチームと自分の役割について教えてください


hp2022_isami.jpg

KDL 勇美貴洋(Hardening Project提供)

勇美

チーム名は「君のOKI名は。」です。1チーム10人でした。僕たちはざっくり経営チームと技術チームでメンバーを分けていました。技術チームの中にもインフラ担当とECサイト担当と監視担当にわかれて、僕と東田さんは監視を担当しました。
競技は、運営しているECサイトを様々な攻撃から守りながら売上を上げ続けるというもので、僕たちは各ECサイトに不審な点がないかを見て回る役割でした。何かあればチーム内で報告し、例えばインフラ担当が新しい技術を入れた時には検証やテストもしました。
「***のサイト、見れなくなっています」と報告し合い、直ったら「見れるようになっています」と確認し合うようなイメージです。

東田

勇美さんと同じく監視を担当したのですが、僕は普段の業務でWEBアプリを作っているので、開発という面ではECサイトは近いところがあるなと感じました。最初は、目視での確認ではスピードが出せないので、ECサイト4サイト(サーバは数十台)を効率的に守るには事前に自分で「攻撃を監視し、検知するためのプログラム」(以下 監視プログラム)を作り「E2E(エンドツーエンド)テスト ※」で監視するプランでした。

※E2Eテスト  アプリケーションが期待どおりに動作し、ユーザのタスクやプロセスの種類を問わずデータフローが適切に機能することを確認する手法。今回は改ざん検知に用いた。

印象に残っている攻撃や問題点はありますか?


hp2022_higashida.jpg

KDL 東田裕靖(Hardening Project提供)

東田

先ほど「監視するプランでした」と過去形で話したのには訳がありまして。実は、監視プログラムは最後の2時間しか動かなかったんです。ECサイトの内容を書き換えられたかどうかを監視するためのものなのに、そもそも設置するのがめちゃくちゃ大変でした。

勇美

そうそう、当初の流れは僕は目視、東田さんは監視プログラムを設置してうまくいけば手が空く時間がとれる予定だったのですが、なかなかうまくいかない時間がありました。

東田

運営サイドには「Kuromame6」という攻撃者がいるのですが、僕にはもう1つの敵がいたんです。KDLの情報システム部門という(笑)。
事前にKDLから支給されている業務用のパソコンでHardeningに参加するということは許可をいただいており、PCに色々と情報を詰め込んで持って行っていたんです。ですが、僕はKDLのパソコンからは危険なコードが打てないようになっているのを知らなくて、競技が始まってから発覚しました。初めて自分が働いている環境の堅牢さを感じた瞬間でした。

勇美

横で見ていて、自分自身情シスなので複雑でした・・・。次回から、Hardening Projectに参加する方には、KDLのシステムとは何も繋がっていないパソコンをアサインしようと思います(笑)。

その後、どうなったのでしょうか?気になる続きは後編でご紹介します!

Hardening Projectとは?


Hardening Projectとは、セキュリティ堅牢化競技会である「ハードニング競技会」をデザインし、実現するボランティアによるセキュリティ・プロジェクトです。2012年を皮切りに、この「ハードニング競技会」毎年継続して開催してきました。この競技は、全国からセキュリティに関わる技術者・非技術者が応募して集まり、8時間のサイバー攻撃に耐えるという「衛り」を競うものです。

このプロジェクトは、サイバー攻撃により不安に満ちたインターネット社会において、最高の「衛る」ための施策、すなわち技術面と適用の施策を見極める目を持つスペシャリストを発掘・顕彰してきました。サイバーセキュリティの実践力を強力に向上することが目的です。(Hardening Project(ハードニングプロジェクト)より