「Hardening 100 Value x Value」に見た、競技結果よりも大事なこと：セキュリティ・アディッショナルタイム（9）（2/2 ページ）

目的に向けた役割分担とチームワークが鍵に

　肝心の競技だが、勝敗を分けたのは、技術力よりもむしろ「役割分担」や「チームワーク」が的確に機能したかどうかという点だったようだ。

　あるチームは、6人という限られた人数で対応しなければならないことを考え、あえておのおのの自主性に任せ、フレキシブルに対応しようとしたが、「それぞれが自分の作業に没頭してしまい、情報共有がうまくできなかった」と振り返った。また、状況が変化する中で手が足りなくなり、リーダー役も実作業に参加してしまった結果、リーダー業務に専念できない状態に陥ったチームもあった。

　逆に、優勝を飾ったチーム「No. Bee」は役割分担と優先順位付けが明確だった。競技中も「ログの中にスキャンやクロスサイトスクリプティングっぽいのが混じっているんですけど、どうしましょう？」「業務への影響はどのくらい？ あと3時間しかないので、その中で解決できる問題に集中しましょう」といった会話が交わされるなど、情報を共有し、売り上げを最大化するという目的に沿って優先順位を付け、問題に対処していた様子がうかがえた。

　No. Beeのマネジメントを担当した佳山こうせつ氏は、「セキュリティ人材不足と言われる中、特に不足していると考えているのは、現場のエンジニアと上の人たちをつなぐ役割。今回のHardeningでは、チームの中で自らその役割を果たすことで、上と現場をつなぐ橋渡し役の重要さを実証できればと考えた」と述べ、一定の成果を出せたのではないかと振り返った。ここで得られた知見を基に、こうした「橋渡し役」の重要性を広め、育成する取り組みを進めていければという。

　一方、技術面をリードしたコジュハロフ・カリン氏は、「通常の業務とは異なり、環境を把握し、インシデントが発生した際の原因の切り分けを行うのが難しかった」と述べながらも、「誰が何を担当するか、役割分担を明確にして良いチームワークを発揮できた。一人一人が高いスループットを出せた」と振り返った。

最初のミーティングで、唯一「メンバーをお互い批判しない」というルールを定めたというNo. Beeは、見事なチームワークで優勝を飾った

　川口氏は各チームのプレゼンテーションを踏まえ、「『自助、共助、公助』と言われるように、サイバー攻撃への対策においてはコラボレーションが重要。この競技を通して共同でオペレーションを行った経験は非常に貴重だ。次に何かがあったときに留意すべきポイントも分かるだろう」と述べ、チームとしてオペレーションを行うことの重要性を強調した。

想定外を体験し、気付きを持ち帰ることが最大の価値

　「参加に当たって事前にいろいろな想定はしていたけれど、想定通りにいかなかった」——Softening Dayであるチームがこぼした言葉だが、これほど、現実のセキュリティインシデントに当てはまる言葉はないだろう。

　多くのチームは、事前のミーティングやSlackでの情報交換を通して、開始後にやるべきことを列挙して競技に臨んでいた。「管理者権限のパスワードを変更する」「バックアップを取る」「Burpで脆弱性検査を行う」「ファイアウォールのルールを変更する」……といった具合だ。

回を重ねるにつれ、「アナログでの情報共有」の重要性を認識し、付箋やボードなどさまざまな準備を整えて競技に臨むチームが増えてきた。ただし、想定通りにタスクを進められるかというと話は別だ

　ところが実際に競技が始まってみると勝手が違ったという。「事前の想定が抽象的な事柄にとどまっており、具体的なプロセスにまで落とし込めていなかったため、実際に問題が発生すると慌ててしまった」「実機で操作を経験していなかったので、作業に予想以上に時間がかかり、焦ってしまった」という声があった。

　そもそもHardeningは、新規のシステムではなく、過去のさまざまなしがらみを引きずっているという、現実にありがちな環境を再現している。全体の構成を把握しないままパスワードを変更したり、バックアップを取らないまま変更を加えたりしてしまうと、“ドツボ”にハマる恐れがある。

マーケットプレイスで提供されているセキュリティ製品をどのように導入すれば最も効果を発揮するか、議論を交わすシーンも

　今回は、競技前日に3時間ほどシステムを参照できる時間を設けたとはいえ、限られた時間の中で2種類あるWebサーバをはじめとするシステム構成を把握し、どこに問題があるかを把握しながら死活監視の仕組みを整え、サービスレベルの低下を検知し、「単なる障害か、それともサイバー攻撃か」を切り分けられる仕組みを作り上げるのは難しい課題だった。

　そうした事柄も含め、さまざまな「想定外」を体験できたことこそ、参加者にとって大きな資産になるだろう。

　「セキュリティ人材不足」が声高に叫ばれるようになったことを背景にしてか、数年前では考えられないほど、多様なセキュリティ競技が開催されるようになった。Hardening Projectに関しては「MINI Hardening Project」といった活動が生まれたり、自主的な勉強会が企画されたりするなど裾野が広がっており、今回は120人もの応募があったという。

　ただ、本当に大事なことは、対策を立てて競技を攻略し、優勝という結果を得ることではない。「大切なのはここで何を経験し、何を持ち帰ったかだ。皆さんが持ち帰る気付きや学びこそが一番大きな価値だ」と門林氏。同氏はSoftening Dayやブログなどでのまとめを通じて、「何ができて、何が足りなかったのか」を振り返り、普段の業務に反映することで、「守る」という共通の価値を高めていってほしいとした。