VPNルータとドリンク類が見守った「守りの技術」

運用に焦点を当てたセキュリティ競技大会「Hardening Zero」

2012/05/25

 「守る方のセキュリティを評価してほしい」「現実の問題と向き合いつつ、セキュリティオペレーションに携わっている人に陽の目を浴びてほしい」――こんなコンセプトから生まれたユニークなセキュリティコンテスト「Hardening Zero」が、WASForumの主催で4月に開催された(関連記事)。

 最近、CTF(Capture The Flag)をはじめ、セキュリティ技術者の育成を目指したイベントが国内でも企画、開催されるようになった。Hardening Zeroもその範疇に含まれる取り組みだが、ユニークなのはその設定。オンラインショッピングサイトをきちんと運用しながらサーバを堅牢化し、さまざまなインシデントに対処していくという、いかにも現実に「ありそう」なシチュエーションを再現し、運用技術を競うというものだ。

ph01.jpg 運用とセキュリティの両立を競う「Hardening Day」の模様

 というのも、「基本的にサーバは運用し続けないといけないもの。一方でセキュリティ向上のためには、それを停止しなければならない局面もある。そういった現実の中で、どのように運用していくかが問われる」(WASForum Hardening Zero実行委員会 実行委員長 門林雄基氏)からだ。

 Hardening Zeroは、8時間に渡って競技を行う「Hardening Day」と、その競技結果を振り返る「Softening Day」の2日に分けて行われた。学生を主体としたチームから社会人チーム、主にCTFに参戦しているチームまで、全8チームが参加した。

現実の運用をなぞったシナリオ

 「そもそも事故というのは、情報が足りないときに起きるもの」(Hardening Zero実行委員会 川口洋氏)。

ph02.jpg 配布された資料から必要な情報を洗い出すために知恵を絞る各チーム

 Hardening Dayは、引用だらけで読みにくい前システム担当者からの引き継ぎメールを読み解くところから始まった。とあるオンラインコマースサイトでIT担当者が入院することになり、参加チームが急きょ引き継ぐことになった――という設定だ。一方で社長からは、「売り上げをなるべくたくさん上げるように(=ECサイトの運用を止めないように)」という命令が下っている。

 参加チームは、ところどころ漏れがあるらしいメールの情報を基にネットワーク構成や環境、アカウント情報を再現し、サーバにアクセスして安定運用を試みることになる。Webサーバが停止してしまうと売り上げは上がらず、いい成績は収められない。かといって、脆弱性が残ったまま運用を続けて、情報漏えいなどが発生してしまうとペナルティを課される。

 各チームはそれぞれ資料と首っ引きになりながら、持ち込んだ機材を用いて格闘を始めた。時折「これ、アップデートしておく?」「別のサーバもチェックしておくわ」といった会話が漏れ聞こえてくる(実際には、Skypeなどを使ってもっと盛んに会話が交わされていたようだ)。昼食の時間になっても、机を離れる参加者はほとんどいなかったほどだ。

ph03.jpg 競技が進むにつれ、いろいろなおやつや飲み物も消費される

 ユニークなのは、顧客対応も評価の対象に入っていることだ。時折サポート窓口宛てに送られてくるメールへの対応が適切になされた場合は「バッヂ」で評価される仕組みとなっていた。

ph04.jpg 2時間おきに得点が集計され、会場で紹介された

参加者にも運営側にも「想定外」が多数

 4月26日に行われた「Softening Day」では、参加チームがどんな意図でどういった作業を行ったかを披露し、最後に成績発表と表彰式が行われた。

ph05.jpg Softening Dayでは、参加チームによるプレゼンも行われた

 参加チームはそれぞれ事前に、誰がどういった作業を行うか分担を決めたり、あれこれシナリオを想定して「こんな脆弱性があるのではないか」「この項目とあの項目はチェックしておこう」と、ある程度の手順を決めておいたそうだが、その想定通りにいった部分もあれば、うまくいかなかった部分ももちろんあった。最終的には「カン」による対処を迫られた局面もあったようだ。

 バックドアプログラムの送信やWebサイトの改ざん、ブルートフォースなど、運営側はいくつもの「イベント」を用意していた。チームによっては、運営側の予想を上回る素早さでソースコードの脆弱性を見つけ出して対処したり、「たまたま見つかった」バックドアを削除していたという。中には、手慣れた様子でiptablesの設定をきれいに整えたり、独自にrsyslogを書き換えて監視項目を追加するチームもあったそうだ。

ph06.jpg Hardening Dayを支えた運営スタッフ。各チームの状況を見ながらいろいろな「インシデント」を起こした
ph08.jpg 課題を洗い出して付箋に書き出し
ph09.jpg 一覧できる形でチーム内で共有。進ちょく状況も一目で分かる

 チームごとのポリシーの違いが垣間見られた事柄の1つが、情報漏えいにつながる脆弱性が見つかったときの「顧客対応」だ。素早い修正を優先して告知せずに直したチームがあった一方で、あえていったんサーバを停止し、経過も含めて情報提供を優先したチームもあった。「顧客に告知のメールを送りたいので、メールアドレスを教えてほしい」と、運営側が想定していなかった申し出まであったという。

 チーム内での情報共有に、付箋を用いた「カンバン」を用いたチームもあった。問題を洗い出して重要性ごとに分類し、完了すれば印を付けてボード下部に貼り付けていく……というシンプルなものだ。だが、全体を見渡すことで「漏れ」に気付くことができたり、タスクごとの所要時間を大まかにつかんでペース配分に役立てるなど、いろいろな効果があったようだ。

 成績は、売り上げ(=稼働時間)のほか、技術点や顧客対応などいくつかの角度から評価された。優勝したのは、理想的な顧客対応を見せつつ最高の売り上げを達成した「パケットモンスター」。慶応大学 環境情報学部 武田圭史研究室の学生と卒業生、教授で構成されたチームだ。パケットモンスターのチームリーダーを務める中島明日香さんは、「メンバーそれぞれの役割分担がうまくいったこと」を勝因に挙げている。

ph10.jpg パケットモンスター チームリーダーの中島明日香さんとHardening Zero 実行委員長の門林雄基氏。表彰の模様はSkypeで武田圭史研究室にも届けられた

 また中には、これまで多くのCTFに参加してきたチーム「sutegoma2」にばかり頼ってはいられないと、新たにチームを立ち上げ、国内外のCTFに参加していくことを決めたチームもあった。

 WASForumは今回の成果を踏まえ、年内に「Hardening One」を開催する予定だ。こうした取り組みを通じて、「セキュリティは楽しいこと」(門林氏)、そして「セキュリティがいろいろお役に立てること」(岡田良太郎氏)を伝えていきたいという。

(@IT 高橋睦美)

情報をお寄せください:


@IT Special

- PR -

TechTargetジャパン

Security&Trust フォーラム 新着記事
  • 情報危機管理コンテストで考える――人材は育てるもの? それとも育つもの? (2017/6/21)
    さまざまなセキュリティインシデントに対応する能力をコンテスト形式で鍛える「第12回情報危機管理コンテスト」の決勝戦が、2017年5月25〜27日に和歌山県田辺市で開催された。競技シナリオにもない脆弱(ぜいじゃく)性を見つけたチームあり、意識的に初参加者を加えたチームあり、これまでのコンテストの枠を超えた戦いが繰り広げられた
  • リクルートのCSIRTが、マルウェア対策の一部を内製化した理由 (2017/6/19)
     本連載では、ランサムウェアを含む「マルウェア感染」という、さまざまな企業が頭を悩ませる問題について、リクルートグループのコンピューターインシデント対応チーム「Recruit-CSIRT」の発想と技術をお伝えする
  • 「WannaCry」の次は「SambaCry」? (2017/6/14)
    2017年5月のセキュリティクラスタ、ゴールデンウイークはのんびり過ごせたものの、その後が大変。ワームとして動くランサムウェア「WannaCry」の話題で持ちきりとなりました。騒ぎが落ち着いたと思ったら「SambaCry」が話題に。結局5月末まで、Windowsファイル共有サービスがタイムライン(TL)を賑わしていました。この他、無線LANのタダ乗り無罪判決に対し、総務省が違法だと主張してTL上で意見が飛び交いました。
  • 「WannaCry」にどう対処する、猛威を振るった「ランサムウェア」を知る記事12選 (2017/5/30)
     2017年5月12日からランサムウェア「WannaCry」が大きな話題になった。これをきっかけにランサムウェア対策を講じることになった企業も多いのではないだろうか。本稿では、ランサムウェアに関する記事をピックアップ。今後のセキュリティ対策の参考にしてみてはいかがだろうか
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH