マネジメント力が勝利の鍵となった「Hardening 10 ValueChain」：「情報共有」の重要性を身をもって体験

　2015年11月7日、8日の2日間にかけて、「守る」技術を競うコンテスト、「Hardening 10 ValueChain」が沖縄コンベンションセンターで開催された。脆弱性を見つけ、攻撃する技術ではなく、さまざまな攻撃からWebサーバーを保護し、安定稼働を通じてビジネスに貢献するというWeb運営チームに求められるさまざまなスキルをチーム対抗戦で磨くイベントだ。

　このイベントはWeb Application Security ForumのHardening Projectが主催するもので、今回で7回目を迎える。

今回は「バリューチェーン」というコンセプトを掲げ、セキュリティ技術者だけでなく、インフラ運用やプロジェクトマネジメントといったスキルを持った参加者も募集し、各チームに割り振ったことが特徴だ。競技には沖縄県内外から60人が参加。6チームに分かれ、8時間という競技時間の中でいかにWebサーバーを堅牢化し、さまざまなインシデントに対応するかに取り組んだ。

　参加各チームは、ECサイトを運営している企業のWeb管理チームという役割を担う。このサイトにショッピングに訪れるユーザーを模した「クローラー」の巡回数をベースに「売上高」を競う仕組みだが、脆弱性があれば巡回数は減り、逆に適切な対応がなされれば頻繁に顧客が訪れる。セキュリティに取り組む姿勢が売上高に反映するという仕掛けだ。

　だが評価のポイントは技術だけではない。セキュリティ担当者、Webサーバー担当者も組織の一員だ。従って、上司や社長に適切なタイミングで報告を行い、指示を仰がねばならない。外部の第三者から情報漏えいやマルウエア感染の疑いを指摘されれば適切に対応しなければならないし、時にはしかるべき組織に通報すべきだ。こうした対応能力、サポート力を、実際のインシデントに近いシナリオの中で磨くことが求められる。

　なお、公開Webサーバーや在庫管理システムなども含めた競技環境のインフラは「StarBED」を核に、沖縄データセンターの「ゆいまーるクラウド」と「さくらのクラウド」を用いて構築されている。

広告経由のマルウエア感染など、最新のインシデントへの対応力を競う

　Webサーバーを取り巻く脅威は増加するばかりだ。最近の動きだけ拾い出しても、Webサイトの改ざんとそれによるマルウエアの配布、SQLインジェクションの脆弱性に起因する情報漏えい、標的型攻撃、DDoS攻撃など、数え上げればきりがない。Hardening 10 ValueChainでは、こうした最新の攻撃トレンドを反映したシナリオを用意して参加者チームに攻撃を行い、どれだけ防御できるかを競った。

　例えば、昨今問題化しつつある不正な広告からのマルウエア感染に気付けるかという意図で、3回に1回だけマルウエアがダウンロードされるという、検知の難しいインシデントを用意した。また、インターネットの根幹を支えるシステムであるDNSに起因するトラブルも用意し、インフラの安定運用に欠かせない問題の切り分けと対応能力も問われた。

　そもそもHardening 10 ValueChainでは、参加チームに割り当てられるWebサーバーが必ずしも安全だとは限らない。古いバージョンのWordPressやプラグインが使われていたり、設定に不備があったりと、攻撃者に付けこまれる恐れのある「スキ」があちこちに残っている。そこでまずは脆弱な個所をどれだけ見つけ出して修正できるか、あるいは限られた時間の中で修正できないまでも攻撃の影響を受けない環境を作れるかが成績を左右する。

　こうした対策を支援するため、競技には「マーケットプレイス」という仕組みが用意されている。現実の世界でも、セキュリティ対策を全て社内リソースだけでまかなうケースは稀だ。ファイアウォールやウイルス対策ソフトを購入し、時にはコンサルタントを雇って診断を受けたりと、投資対効果を見据えた上でセキュリティソリューションを導入している。マーケットプレイスはこれを模したもので、スポンサー各社から提供されたセキュリティ製品やプロフェッショナルサービスを購入し、その分空いたリソースを他の取り組みに充てて売り上げ増を図ることが可能だ。

　実際、複数のチームがNECのWebアプリケーションファイアウォール（WAF）製品「InfoCage SiteShell」を購入したり、ネットエージェントの「PacketBlackHall」を用いてログ調査を行ったりといった具合に活用していた。また、作業用のWindows端末を保護するため、カスペルスキーのエンドポイントセキュリティ製品も活用されたという。

　ただ、そこで一筋縄にはいかないのがHardeningという競技だ。いくつかある仕掛けの一つとして、WAFの導入によってWebアプリケーションの一つの動作に不具合が発生し、特定の商品が売れなくなってしまうという仕込みがなされていた。WAFのログを確認すれば分かることだったが、そこまで気付けたチームは少なかった。Hardening Projectの川口洋氏は「WAFを使うにしても、使いっぱなしではだめ。『疑う』ことがあってもいいのではないか」と述べている。

リーダーはPCに触らなかった……マネジメントが鍵を握る

　8時間に渡る攻撃をしのぎきって優勝を飾ったのは「チーム現地集合検知改竄」だ。クローラーの巡回頻度は20段階まで設定されていたが、その最高段階まで達成し、トップの売上高を達成した。

優勝を飾った「チーム現地集合検知改竄」には副賞も贈られた

　その要因は、技術的な対応能力もさることながら、的確なチームマネジメントと情報共有にあった。同チームのリーダー役は、「テクニカルなイベントであるにもかかわらず、全くPCに触らず、チームビルドとマネジメント、コミュニケーションに専念した」と振り返る。洗い出した問題はWebサイトの売り上げを最大化するという目的に沿って優先順位付けを行い、ホワイトボードや付せんで共有した。

付せんで問題を「見える化」し、優先順位を付け、チーム全体で共有した。的確なマネジメントが勝因になった

　また当初は「脆弱性検査」「対応・チューニング」「その他」という3グループ体制で競技を始めたが、状況に応じてチームを追加・再編し、臨機応変に対応したこともポイントだ。新たに設けた「運用」チームは、Webサーバーの運用状況を監視し、売り上げ低下の兆候が見えると早期対応に当たる役割を担った。別途、顧客対応にも専任の担当を割り当て、問い合わせへの対応や情報漏えいに対するお詫びに当たったという。

　こうした体制が可能になった理由として、初めにマーケットプレイスで適切な投資を行い、専門家二人分のサポートを得たことも大きいだろう。得られるであろう売り上げ見込みを考慮し、「お金で買えるところはお金で解決しよう」という判断を下すことで、もくろみ通りの成果を得た。

　チーム現地集合検知改竄のアプローチからも、また過去のHadening Projectの結果からも言えることだが、インシデント対応とWebサーバーの安定稼働に必要なものは、技術的スキルだけではないことがよく分かる。ビジネスの目的を達成する上では、適切に情報を共有し、チームを適切にマネジメントし、意思決定を下していくことが不可欠だ、という当たり前のことを体感できる機会と言えるだろう。

　ちょうどこの時期、沖縄県名護市では、サイバーセキュリティをテーマとした国際会議「Cyber3 Conference Okinawa 2015」が開催されていたが、この会議でもたびたび「情報共有」の重要性が語られていた。Hardening 10 ValueChainはそれを身をもって体験できるイベントとも言えそうだ。

　Hardening Project実行委員会 実行委員長の門林雄基氏は「Hardeningはビジネスを守る価値を最大化していくプロジェクトであり、エンジニアリングはもちろんだが、それだけのイベントではない」と述べ、普段一緒に仕事をしているメンバー以外の人々と、コミュニケーションやマネジメントを体験できる場として、より幅広い層に参加してほしいと述べている。