連載
» 2016年06月03日 05時00分 UPDATE

セキュリティ・アディッショナルタイム(8):地雷を踏み抜き、失敗から学べ! 運用力を磨く「情報危機管理コンテスト」 (3/3)

[高橋睦美,@IT]
前のページへ 1|2|3       

きめ細かな連絡と先回りしての対応が勝因に

 ほぼ半日を費やしたコンテストは夕方に終了し、最後に一連の経緯をまとめた「トラブルチケット」(報告書)を提出して決勝戦を終えた。

 各チームの成績は、対応したインシデントの数と質、サービスの継続性(「株価」という形に換算している)に加え、セオさんとのコミュニケーションの頻度や分かりやすさ、そして最後に提出されるトラブルチケットの内容に基づいて評価された。つまるところ「この人とならば一緒に仕事がしたいか」(吉廣氏)がポイントというわけだ。

インシデントへの対応状況に基づくサービス継続性は、「株価チャート」という形で示された

 審査委員長の三輪信雄氏が「年々レベルがアップしており、どのチームも過去の大会ならば優勝できたかもしれない」と述べるほど難航した審査の結果、経済産業大臣賞を受賞したのは、セキュリティ・ミニキャンプやCTFを通じて知り合ったメンバーで結成した福井大学と金沢高専、沖縄高専の学生らの混成チーム、fukuitechだった。

 fukuitechはリアルな攻撃シナリオへの対処を進めながらセオさんときめ細かく連絡を取っており、その好対応にCICチームも複数の「いいね」を付けるなど、競技全体を通してバランスよい対応を行った。最終的には、原因と対応策を適切にまとめたトラブルチケットの内容や質が決め手となり、優勝を決めた形だ。リーダー、原因究明・修正、チケット作成といった役割分担を明確にし、トラブルチケットについてはあらかじめテンプレートを用意するなど、準備も怠りなかったという。

経済産業大臣賞を受賞したfukuitech。バランスの取れた対応が評価された

 そのfukuitechと甲乙付け難い成績を残したのが、セキュリティ讃歌だ。運用の最重要目標である「サービスを停止させないこと」を強く意識した丁寧な対応が高く評価され、主に対応に当たった岡山大学大学院の赤尾洋平氏には、個人MVPに当たるJPCERT/CC賞が贈られた。

許可のない「暴走」がいっさいなかったセキュリティ讃歌の赤尾洋平氏が、JPCERT/CC賞を受賞した

 優勝を争ったこの2チームに共通していたのは、インシデントの発生を待つ前に自ら問題点を見つけ出し、先回りして対応を図っていたことだ。

 セキュリティ讃歌は競技開始早々に、WordPressの管理者権限のパスワードが弱いことをセオさんに説明し、「変更することを強くお勧めします」と熱心に説得していた。同様にfukuitechも、与えられた環境で稼働中のサービスに脆弱性を見つけ、先手を打って修正を提案した。fukuitechのメンバーは「昨年の経験で、脆弱なものを先回りして調査し、対応しておくことの重要性を意識していた。普段の経験も生かせたと思う」と振り返る。

 問題の発見・対応面で力を発揮したのが、Team GOTO LoveとTDU-ISLだ。TDU-ISLは素早くインシデントの原因の目星を付け、「嗅覚」の鋭さを見せた。またTeam GOTO Loveは、問題解決に必要なモジュールを導入するため、本番環境にコンパイラを導入しようとするなどアグレッシブな対応を見せた。問題追求を徹底するCTFならば望ましい解決策かもしれないが、サービス継続性を重視するコンテストの趣旨からはちょっと外れてしまう。これを踏まえ「間に人が入ることがCTFとは違う。電話対応やコミュニケーションの難しさを体験できた」とTeam GOTO Loveのメンバーは述べていた。

 毎年、大学院生と学部生の混成チームを複数結成し、コンテストに参加している関西大学のKobaICは、過去からの継続的な蓄積と着実なレベルアップが評価された。経験者と未経験者を組み合わせるというチーム構成は、学生らの自発的なアイデアによるものだという。メンバーは「あらかじめ勉強会で予習していたので、jsファイルの改ざんによるWebリダイレクトの問題などはスムーズに対応できたと思う」と振り返った。

体験しないと分からない「地雷」を踏み抜き、落とし穴を知る経験も

 表彰式では参加した学生らが一言ずつコメントを寄せた。技術的な部分で達成感を感じながらも、コミュニケーションや情報共有の部分で新鮮な体験ができたと振り返る声が多かった。そこがまさに、CTFをはじめとする他のセキュリティ競技との違いだろう。

「OK。じゃ、これで行こう。セオさんへの連絡お願いします」——競技中はそんな会話がそこここで聞かれた。まずは断片的な情報を紙やSlackでまとめて共有し、それを対応役がセオさんに報告するのがセオリーだ

 中にはネットワーク管理の「地雷」を踏み抜いてしまったチームも複数あった。コンテストでは、参加各チームはリモートからサーバ管理を行っている。攻撃を排除するためにipfwの設定を変更する際、順番を意識せずに安易に「deny all」を記述してしまうと、管理用のssh接続まで切断され、ネットワークから閉め出されてしまうのだが、このシャレにならない事態に直面して慌てたチームもあった。

 もう1つ印象に残ったのは、管理者のジェネレーションギャップだ。一昔前、あるいは二昔前のIT管理者ならば、サーバやルータの設定ファイルをエディタで変更して対応するのが当たり前だった。だが、今やさまざまなモジュールやツールが公開されており、インターネットで検索すれば簡単に見つかる時代。どちらがいい悪いではなく、うまく使い分けていくことが必要だろうが、ルータ設定を手で変更するよりもモジュールの追加で対処しようとして、審査員に「時代が違う……」とつぶやかせたシーンもあった。

 同様に、「皆、比較的Webサーバ系には強い。けれど今やメールはWebサービスを活用し、自力でMTAやMDAを構築することはほとんどないため、メールサーバには弱い傾向がある」(泉氏)そうだ。

 白浜シンポジウム自体、今年で20周年を迎えた。20年も経てば環境もデバイスも様変わりする。だが、中核をなす基本的な技術——コンピュータの動作の仕組みやTCP/IPをはじめとするネットワーク技術——などは変わらない。川橋氏はさらに「実は普段、意識せずに古いOSやプロトコルを使っていることも多い。攻撃者は、そうした古いものに含まれる脆弱性を悪用することもある」と指摘し、「温故知新」の重要性も意識してほしいと述べた。

コンテストの終わりは、これからの始まり

 こうして第11回情報危機管理コンテストは終わったが、彼ら、彼女らにとってはこれが始まりのステップだ。大半の参加者は、進路はまだ漠然としているというが、夜に行われた懇親会では、白浜シンポジウムに参加したセキュリティ企業やユーザー企業の担当者が学生らを囲み、「ぜひこの世界に加わり、共に力を合わせてほしい」と語り掛けていた。

 ここで得た知識を後輩や周囲に伝えていくことも重要な役割だろう。コンテストでは折に触れて参加者にフィードバックが返される。これらを活用して振り返り、自らのスキルを磨くとともに、「物事は、教えることによってさらに身に付く。ぜひ帰ったら、後輩にトラブルシューティングについて教えてみてほしい」と、コンテスト運営スタッフの木村修二氏(NPO情報セキュリティ研究所)は述べている。

 既にそうした意欲を見せる参加者もいた。岡山大学のメンバーは「自分たちで勉強会をやっているが、こうした知識を僕ら以外にも共有する場を作っていきたい」と述べた。関西大学の参加者も「過去にはゼミ内で、サーバを立てて電話対応などを行うインシデントレスポンス大会を実施したことがある。来年はぜひ行いたい」と語り、インシデント対応の経験を伝え、広げていきたいという。

 5年後、10年後の世界をセキュアに保ってくれるのは、技術力とコミュニケーション力の両方を備え、おそらくは現場と組織のトップとをつなぐ役割を果たせるポテンシャルを持つこうした若者たちではないだろうか。来年以降のコンテストにもぜひ期待したい。

前のページへ 1|2|3       

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。