KDL BLOG

KDL-Hardening @ 総関西サイバーセキュリティLT大会

10月某日、「総関西サイバーセキュリティLT大会」の場をお借りして、セキュリティ堅牢化競技会「KDL-Hardening」を開催しました。

Hardeningとは

まず、Hardening(ハードニング)とは、脆弱性を抱えたシステムを堅牢化するプロセスのことです。ハードニング競技会は、システムをいかに「強く安全にできるか」を競う競技であり、ビジネスの継続と成長を支える重要な活動です。
KDLは2017年からHardening Projectが主催する「ハードニング競技会」に協賛し、多くの社員が競技に参加しています。これにより、社員が実践的にセキュリティスキルを習得し、その知識を現場で活かしています。

「KDL-Hardening」とは

KDLでは、セキュリティを強化したシステムをお客さまにご提供するために、全開発者がセキュア開発トレーニングを受講することを義務付けています。これにより、開発者一人ひとりがセキュリティの重要性を理解し、安全なシステムを構築するスキルを高めています。

「KDL-Hardening」は、社内での実践的なセキュリティ学習の機会を増やし、社員のセキュリティ意識をさらに高めることを目的に企画されました。
そして、社内だけでなく社外にも広くセキュリティ強化の重要性を伝えることを目指して社外での開催を始め、前回は徳島で実施されました。

社内開催の様子:社内ハードニング競技会を開催!座学では得られない体験を

今回は、KDLでよく利用するクラウドプラットフォーム「AWS(Amazon Web Services)」を使い、AWS環境での堅牢化をテーマに競技を行いました。AWSは現在、多くの企業で利用されているクラウドサービスであり、そのセキュリティを強化することはビジネスの成長に不可欠です。

それでは、「KDL-Hardening」実行委員の東田が当日の様子をレポートします。

競技内容

AWS上に構築された脆弱性を持つアプリを複数人でどのように堅牢化していくかを競います。AWSのECS(Elastic Container Service)、S3(Simple Storage Service)、RDS(Relational Database Service)などのサービスを利用して作られたSNSアプリに対して、「AWS基礎セキュリティのベストプラクティス」に基づいたチェックポイントを設け、以下の3つの観点でスコアをつけ、合計スコアの高さを競いました。

  1. チェックポイントの基準を満たしているか
  2. アプリ稼働が継続しているか
  3. 追加指示に適切に対応したか

AWS Security Hubは、AWS環境に対するセキュリティ設定の適切さを評価し、アラートをまとめて表示するサービスです。その評価基準の一つが「AWS基礎セキュリティのベストプラクティス」です。

今回は、「AWS基礎セキュリティのベストプラクティス」から優先度の高いチェックポイントを中心に、参加者が複数のAWSサービスに触れられるようバランスを考慮して選定しました。例えば、「コンソールパスワードを使用するすべてのIAMユーザーに対してMFA(多要素認証)を有効にする」といった、複数のAWSサービスの設定が必要かつ、重要度の高いセキュリティ設定を選びました。

競技中は、アプリの稼働継続も加点要素となるため、設定変更によってアプリが停止しないよう慎重に考慮する必要があります。これは、競技中「この設定を変更することで、アプリ稼働に影響が出ないか?」というリスク評価を常に行う必要があることを意味します。また、AWSのセキュリティ設定に関係しない「投稿時間の修正」などの、アプリ稼働によって発生する追加指示への対応もスコアに影響するため、優先度の迅速な判断や、柔軟な入れ替えなどが求められました。

当日の様子

参加者は14名で、7名ずつの2チームに分かれて競技を行いました。競技は1時間のセットを2回行い、技術の定着と理解を深めることを目的に2セットとも同じ環境で実施しました。1セット目での経験を活かして、2セット目はより効率的に堅牢化を進めることができ、参加者のみなさんそれぞれに成長を実感していただけたようです。


競技中は各チーム真剣に取り組み、接戦が繰り広げられました。特に1セット目では、競技終了までどちらが勝つかわからないほど白熱した戦いが繰り広げられました。各メンバーが自分の役割を果たしながら迅速に対応するには、メンバー同士の協力が非常に重要であることを改めて実感していただけたと思います。


競技終了後には参加者全員でフィードバックの時間を設け、どのような点が良かったのか、どの部分に改善の余地があったのかを共有しました。「身をもって学ぶことができました」「設定が上手くいっていなかった事もあったので次回は気を付けたい」といった振り返りがあり、競技を通じて学んだこと、達成できたこと、そしてまだ改善の余地があると感じたことなど、さまざまな思いを抱えていらっしゃる様子でした。
参加者同士が互いに学び合う機会を設けたことで、次回の競技会に向けた意識とモチベーションを高めていただくことができました。

開催後の感想

AWSを利用したことがある参加者からは「もっとこうすればよかった」「ここがうまくいった」といった声が多く、AWSを初めて扱う参加者からは「ついていくのが大変だったが学びがあった」「AWSに興味を持った」といった感想をいただきました。皆さんにAWSやセキュリティに関する知識を少しでも持ち帰っていただけたことが伝わり、開催してよかったと感じました。


さらに、「AzureでもHardeningをしてほしい」という声もいただきました。普段から業務でAzureを利用している私にとって、とても嬉しいご意見ですので、今後はAzure環境での実施も検討し、KDL-Hardeningの取り組みをさらに広げていきたいと考えています。
最後に、今回「総関西サイバーセキュリティLT大会」の場をお借りして実施できたことに深く感謝申し上げます。大会の運営に携わってくださった皆さま、そして参加者の皆さまに心よりお礼申し上げます。今後もこのようなセキュリティ強化の取り組みを続け、より多くの方々に学びの機会を提供していければと考えています。ありがとうございました。

デジタルビジネス本部 Progressive Development
東田裕靖