KDL BLOG
こんにちは!神戸デジタル・ラボ広報室の大野です
今年も「Hardening Project」がデザインし、実現するセキュリティ堅牢化競技会「ハードニング競技会」が開催されました。
このブログでは、競技者として参加した、経営戦略本部 情報企画の勇美貴洋(以下 勇美)と、デジタルビジネス本部System Integrationの東田裕靖(以下 東田)に競技会の様子や学びについてインタビュー(後編)をご紹介します。
一番頑張った、褒めてほしいポイントはありますか?
勇美
実質監視をする中で攻撃に気づけたというのもそうですが、ECサイトの競技環境につないだタイミングでたまたまWindows環境のユーザ一覧を見にいきました。そこで事前資料に掲載いただいていたチームのユーザに謎のユーザが混ざっていることに気づきました。それに気づいて報告できたのは、普段の業務でも情シスでPCセットアップなどをする際にユーザ一覧を確認するという経験が活きたな、というのが成功体験としてありますね。
東田僕は、しいて言うなら自分で監視プログラムを作ったことでしょうか。良く言えば、最後まで監視プログラムを動かすことに注力できたことですね。悪く言えばただの頑固なんですけど。
勇美動くところまで持っていったのは頑張っていたと思うよ?
東田ありがとうございます。でも、そんなに褒められたことかな?と悩んでいるんですよね。頑固になっていたことで、8時間あるうちの6時間をほぼ仕掛けに使ってしまったので。。途中で「これは僕は何をしているんだろう?」「いつまでKDLの情シスと戦うんだ」「僕だけまだKuromame6(の攻撃)に会えていない!」と思いました。
勇美いやいや、でも動かすところまでいったし、脆弱性一個見つけているのはすごいって!
東田実際に監視プログラムを動かすことができたのは最後の二時間ですが、例年最後の一時間について攻撃はほぼ来ないんですよね(追記:岡田良太郎さんコメント「そんなこと、ないよ?多分気がついてないだけだと思うよ・・・」)。なので実質一時間なんです。そこが悔しいです!!反省点ばかりですね。
同じチームで競技に参加してみてどうでしたか?
(Hardening Project提供)
東田勇美さんのすごいところは、僕は自分の作業に必死になっていた時に、ほかのメンバーの所に行って使っているサーバが正常かどうかを見てまわっていたところですね。
勇美攻撃に使われるであろう不審なユーザアカウントを見つけたので、確認しに行って見つけたら消すという作業をしていました。各チームメンバーの席を回っていました。
東田ちゃんと足を動かしてチームに貢献している姿を見て、僕は何もやってない、ヤバいぞ!って思いましたね。
勇美逆に東田さんはE2Eテストとか、たくさんの知識を持っているなと思いました。本番までの間、東田さんはいっぱい武器を持っているけど、自分はなにができるか?と焦っていました。東田さんの技術力とか、競技が始まってアクシデントがありつつも「できませんでした」じゃなくて創り上げるところまでやりましたし、攻撃も検知しているのは本当にすごいと思いましたね。東田さんのやったことにはちゃんと意味があったので。今更ながら情シスから空っぽの端末を渡しておくべきだったなと思います!(笑)次回は全く社内に繋がらないものを用意します!
東田来年はHardening用の空っぽの端末くださいってもらいに行きますね!(笑)
ソフトニングデイで感じたことはありますか?
(Hardening Project提供)
勇美ほかのチームの発表で、かなりチーム構成に大きな違いがあったことに気づきました。僕と東田さんが担当した監視だけの役割を設けているチームはほかになく、「いいですね!」ってコメントもいただきました。逆に驚いたのは、あえて役割を設けないチームがあったことです。ある程度の役割はあったのかもしれませんが、基本的には気づいたことを気づいた人がやるというチームがあったんです。 全員の意識が高くないと無理でしょうし、リーダーも役割にないことをお願いしないといけないのは難しいですよね。強力なリーダーシップも必要だと思います。役割なしでチームが回せるというのが自分には想像できなかったのですが、そのチームは結果もよかった(最高スコア)ので効果も出ていたのだと思います。
東田僕もチームによって特色があるのだなと思いました。うちのチームとほかの一番違う所は、マーケットプレイス(※)の有料サービスを一切使わず、チーム力だけで完結させようと頑張ったところです。ですが、マーケットプレイスを適切に活用することで評価点や総合売上に繋がります。ソフトニングデイで、マーケットプレイスはソフトニングデイ込みのものだと気づきました。ソフトニングデイの最後にマーケットプレイス側が表彰してくれる制度があるのですが、マーケットプレイスを使わないと何の特典もないという悲しい結果に・・。例年はもっと高価でしたが、今年は売り上げに大打撃を及ぼすこともなかったようなので、有料サービスの利用も考えるべきでした。
※マーケットプレイス
チームの外部からサービス・製品を調達できるというルール。競技内の売上を利用するため、経営のバランスやサービス・製品導入のためのリソース投入、担当者とのコミュニケーションコスト等、チームだけでなく全体を見た判断が必要となる
今後参加される方へメッセージをお願いします
勇美
KDLで自分はがっつり開発をするポジションではないので、技術者というよりは情シス目線で参加したのですが、結果どんなポジションの方でも学べることがすごく多いと感じました。攻撃から守りつつ、達成できたら加点してもらえる当日のミッションがあるので、全員がなにかしらに貢献できます。エンジニア視点でもECサイトがさまざまな構成で作られるなど、競技とはいえ「現場あるある」なことがたくさんちりばめられていて勉強になります。参加すれば学べるものがあると思うので、ぜひ参加してほしいです。
東田この取り組みには完全に学びしかないということを伝えたいです。自分が知っていることよりも吸収することの方が確実に多いので、行って損をすることはまずないですし、逆に行かないと損をすると思うくらいの素晴らしい機会なので、ぜひ参加してほしいですね。
勇美次回出るとしたら、僕は同じことはやりたくないので、インフラ回りや経営など、違うポジションでも参加したいと思っています。
東田今回、自分がやりたいことができなかったので、やりたいことを1から10まで全部やってやるそ!と思っています。準備を怠らず、とりあえずPC調達からやりたいです!
岡田良太郎さんからコメントをいただきました!
(Hardening Project提供)
勇美さんは、コーポレートエンジニアとして、事業環境のサポートから経営陣へのレポート作りまで、ぬかりなくやってくださる信頼できるエンジニアです。また、東田さんは、重要インフラ産業に関わる新たなことにチームで果敢にチャレンジする優秀なアーキテクトです。ハードニング競技でハイリスクな状況にさらされる中、発揮できる分野が異なる2人が一緒に取り組むという経験は良いもんですね!
さて、「これ、競技だからよかったようなものの」と思いませんでしたか。実社会ではこれ以上の悪意のある攻撃が毎日降り注いでいると考えるとぞっとしますよね。それでも、あきらめずに、皆に安心してITを使ってもらいたいという2人の意欲が、このハードニングで鍛えられた胆力とあいまって、これからの成果をより堅牢にしていくんだと思います。
「こんなもので終わると思うなよ」と思ってらっしゃると思いますので、ぜひ戦闘力上げて帰ってきてください。今後も社内外のご活躍に、期待しています。
勇美さん、東田さんありがとうございました!競技会への参加、お疲れさまでした!