転んだ経験が、いつかセキュリティを進める力に：セキュリティ・アディッショナルタイム（19）（2/4 ページ）

中核となるのは確かな技術

　Hardening Projectの大目的である「守る」を実現するには、確実な技術とスキルが不可欠だ。一連の競技環境は情報通信研究機構（NICT）のテストベッド環境「StarBED」上に構築されている。当初はシンプルな構成だったが、これも回を重ねるごとに拡張を続け、今回は延べ541台もの大規模環境となった。

　各チームは、複数のEC用Webサーバや公開サーバ、DNSサーバ、データベースサーバなど20台からなる環境を手分けして運用せねばならない。

　競技ポイントの1つは、「レンタルサーバ」、つまり自社システムと同じポリシーを適用しにくい環境を用意したことだ。「シャドーITということがよく言われるが、IT環境は多層的であり、ガバナンスの効かない環境はいっぱいある。かといって教科書的に一律禁止することもできない。これを前提にして、いかにセキュリティマネジメントを実現していくかが問われる」（門林氏）

　参加者は、コンテンツ管理システム（CMS）やファイアウォールなどの環境と設定を確認し、必要に応じてアップデートや設定変更を行う。こうしてランサムウェアやDDoS攻撃、Web改ざんなどのインシデントに対応していった。もちろん最終目的であるWebサイトの安定稼働に向け、目視などで稼働状況を監視し、データベースのチューニングに取り組むメンバーも重要な役割を果たした。

システムを把握し、ToDoを整理し、優先順位を付けながらインシデントに対応していく

　競技に備えて事前に勉強会を開くなど、入念に準備するチームも増えている。沖縄入りする前からSlackなどでコミュニケーションを取り、「それぞれの得意分野と不得意分野の整理」「ToDoリストの作成」「チートシートの作成」などを行っていたチームは多い。当日はこれに沿って、バックアップの取得やパスワードの変更などの対策を進めていった。

　ユニークなところでは、CentOSやDebianのフルパッケージを持ち込んだり、Raspberry Piにyumのアップデートパッケージを入れてきたり、Ansibleを用いたデプロイ、構成管理に取り組んだりと、用意周到なチームも目立つようになった（が、競技中にはなかなか活用し切れなかったようだ）。

　さらに前回の情報を参考に「謝罪会見があり得る」と想定し、「よい謝罪」という書籍を読み込んできたチームまであった（が、幸いなことにこのチームで情報漏えいは発生しなかった）。

一度転んだ経験がモノを言う

　Softening Dayのプレゼンテーションの中で印象に残ったのは、「シーサーとゆかいな仲間たち」のメンバーが「普段と違う立場を経験できた」と振り返っていたことだ。「普段はSOCアナリストとして働いているが、この体験を通じてお客さまの本当の気持ちが分かった。これまでは脆弱性が見つかったら『すぐ対策やってください』と言うだけだったが、これからはもっと優しくしたい」

　「ななちゅーばー」メンバーの次の言葉も印象的だ。「日常やっていないことは競技ではできないし、競技でできないことは日常の業務でもできない。もし目の前で事故が起きたらどうすべきか。短距離走の筋肉と長距離走の筋肉、両方を考える機会になった」

　この日、どのような環境が用意されて、それに対する攻撃の内容はどうだったのか、「種明かし」を行ったKuromame6の川口洋氏（ラック）は次のように呼び掛けた。「高度な設定やプログラミング能力も大事だけれど、多くの事件は、ほんのささいなところから起きている。パスワードの管理だったり、アクセス制御だったり、管理者が気付かない標準設定だったり……そのささいなところをマメにつぶしていくのが皆さんの仕事」。

　さらに、「（インシデントが）起きた後の動きが重要だ。そのためにスクリプトやチェックリストといったものが役に立つ。もう1つ、転ぶ体験をしたことがあるかが重要だ。この場で一度転び、コラボレーションした経験が、きっと後々に生きてくる」と続けた。

　結果として、平均年齢が20歳未満ながらも、過去に参加経験のあるメンバーも集まった「術中Hack」が優勝した。沖縄からの参加者が多かったものの、距離を埋めるコミュニケーションを通じて役割分担を明確にし、「皆が『こうしよう』『あれをしたい』と自然に動いた」ことが勝因の1つかもしれないと振り返る。

　さらに今回のルールを生かして、「サービスを止めない前提で、借金してでも広告を打つ」という意思決定を下していたこともポイントだろう。加えて、一度転んだ「経験」が物を言うことを示したのではないだろうか。

グランプリに輝いた「術中Hack」