地雷を踏み抜き、失敗から学べ！ 運用力を磨く「情報危機管理コンテスト」：セキュリティ・アディッショナルタイム（8）（1/3 ページ）

　セキュリティは何のために取り組むものだろう？ 問題を調査し、脆弱性を理解し、対策を考えるのが楽しいからだろうか。一人のセキュリティエンジニアとしては十分な理由だが、大半の企業や組織にとってはそうではない。おそらく「安定し、信頼できるサービスを提供するため」が大きなモチベーションになっているだろう。

　安定したサービスを支えるのは、セキュリティも含めた「運用」の力だ。これは座学で身に付くものではなく、一朝一夕で磨けるというものでもない。いくつか地雷を踏み抜く経験をしながら学び、鍛えられていく性質のものだ。ただ、ITが生活や経済活動に欠かせないインフラとなり、かつ企業に失敗を許容する余裕があまりない昨今、若いエンジニアが安心して地雷を踏める環境は多くない。

　こうした課題を早くに見抜き、「安心して失敗できる場」を用意してサーバやネットワーク、セキュリティに関する技術やコミュニケーション能力を含む総合的な運用力を磨く場が10年前から継続して設けられている。それが「サイバー犯罪に関する白浜シンポジウム」と同時に開催されている「情報危機管理コンテスト」だ。

技術力だけでなくコミュニケーション能力も必須のコンテスト

　昨年の記事でも紹介した通り、情報危機管理コンテストは大学生・大学院生を対象とした腕試しの場だ。ただし、バイナリなど深い知識や攻撃コードに関する理解が求められることもあるCapture The Flag（CTF）とは異なり、インフラに関する基礎知識をベースに、守り、運用し続ける能力が問われる。参加チームは2〜4人一組となって運営側が用意したさまざまなトラブルに対処し、インシデント対応能力を競う。その意味で、「Hardening Project」に近いと言えるだろう。

　コンテスト参加者は、ホスティングサービス事業者の管理者チームという立場になって、顧客企業からの電話やメールによる問い合わせに対応し、インシデントを処理し、結果を適切に報告することを求められる。従ってまず問われるのは、問題の切り分けと対処を行える知識と技術力だ。

　ただ、このコンテストがユニークなのは、評価軸が技術力だけではないことだ。

前日のオリエンテーションで「管理者は大きな権限を持つゆえに、自らの作業の正当性を確保し、信頼を得ることが大事だ」と説明した和歌山大学の川橋（泉）裕氏（右）と、情報セキュリティ研究所の木村修二氏（左）

　前述の通り参加各チームは、ホスティングサービス事業者の管理者という設定だ。最終的な意思決定者は、そのサービスを利用している「顧客」である。従って、顧客の代表であるセオ（＝CEO）さんに問題点を説明し、適切な解決策を示し、了解を得た上で作業を進めなければならない。納得のいく説明ができない限りセオさんのゴーサインは下りず、独断で作業することは御法度だ。従って、メンバーが得た情報を持ち寄って分析するマネジメント力、必要なタイミングで分かりやすく顧客に説明できるコミュニケーション能力も重要な要素となる。

　「CTFならば個人の能力で突破できるが、トラブルシューティングの場合はあらゆる可能性を考えに入れ、組織として対応に当たらなければならない。問題はネットワークにあるかもしれないし、サーバかもしれない。もしかすると、問い合わせしてきたユーザーの方に問題があるかもしれない。そうしたあらゆる事柄を考慮し、リーダーがジョブを切り分けて、うまくオペレーションを回していく必要がある」と、コンテストの発案者であり、全体の指揮を執る和歌山大学の川橋（泉）裕氏は述べている。

　コンテストの審査員を務めた国立情報学研究所の高倉弘喜氏も、「実際の事故対応では、いま目に見えているものが全てではないことを念頭に置いて対応に当たることが重要だ。しかも、時間の制約がある中で作業を進めなければならず、悪くすると同時にいろいろな問題が生じることがある」と述べた。コンテストではそうした状況を反映したシナリオが用意されており、競技を通じて「目の前にいる一匹のネズミを追いかけ回していると、大きな問題を見逃してしまう」恐れに気付き、今後の糧にしてもらいたいという。

二回にわたる予選をくぐり抜け、5チームが決勝戦に参加

　今回で11回目を迎えるコンテストには、全国から20チームが参加した。

　一次予選は、各チームがセキュリティコンサルタントとなって、「コワーキングスペースを運営しているが、利用者から『情報がインターネット上に流出してしまった』というクレームを受けてしまった。原因と対処法を教えてもらえないか」という依頼に回答するという想定で行われた。不特定多数が利用できる無線LANや組み込み機器が抱えるセキュリティ上の問題に切り込み、戦略的な対策を提示するプロ顔負けの回答も見られ、予選の問題を担当した和歌山大学の吉廣卓哉氏は、「気合いの入った、非常にハイクオリティのアドバイスばかりだった」と振り返っている。

　この予選を突破した12チームが、VPN経由でトラブルシューティングを実施する二次予選に参加。最終的に、Team GOTO Love（早稲田大学）、セキュリティ讃歌（岡山大学）、KobaIC（関西大学）、TDU-ISL（東京電機大学）、fukuitech (福井大学）の5チームが、5月20日に和歌山県田辺市のBig・Uで行われた決勝戦に進出した。

　決勝戦では全チームが一つの部屋に集められ、おのおののテーブルに置かれた電話とメールで、別室に陣取るセオさんと連絡を取りながら対応を進める。

　会場は前日のオリエンテーションの段階で各チームに開放され、チームそれぞれのフォーメーション・役割分担に応じてPCや椅子の位置を決めていった。「環境を整備することはとても重要。互いのコミュニケーションをいかに有効に機能させ、リーダーが常に状況を把握できるようにすることが大事だ」と泉氏は述べている。

昨年から「机や椅子の位置も戦略の一つ」という傾向が鮮明になった。横並びにするか、それとも背中合わせに座って必要に応じて互いのPCをのぞけるようにするか……各チームが工夫を凝らした

　全チームの姿が互いに見えるのもコンテストを盛り上げる工夫の一つで、「他のチームが何をしているか、どこまで作業が進んでいるかが見えるので、焦りを感じることがあるかもしれない。そうした状況でも、解決を急ぐあまりに暴走することなく、きちんと許可を得ながら作業できるかどうかもポイントの1つになる」（高倉氏）。現実のインシデント対応でも、周囲から『早くしろ』と急かされることは少なくない。そんなプレッシャーの下でも適切な手順は欠かせないというわけだ。