連載
» 2017年10月25日 05時00分 公開

セキュリティ・アディッショナルタイム(19):転んだ経験が、いつかセキュリティを進める力に (3/4)

[高橋睦美,@IT]

カジュアルに「マイルドな修羅場」を体験できる「MINI Hardening」

 筆者もそうだったが、本家Hardening Projectに参加すると多くの学びがある。が、己の非力さを認識して打ちのめされ、落ち込む人は多い。そこで、優しく学べる「マイルドな修羅場」を体験しようという趣旨で有志が実行しているのが「MINI Hardening」だ*1)

*1)MINI Hardening Project

 MINI Hardening Projectは、2014年に開催された「Hardening 10 Evolutions」のアンカンファレンスの成果として発足した。「いかにシステムを守り、サービスを継続させるかを競う」という目的はHardening Projectと変わらないが、規模を抑えた。

 本家は丸2日かかる大掛かりなイベントで、システム構成も複雑だ。MINI Hardeningは半日から1日程度の時間で、カジュアルにセキュリティインシデントを体験できる。システムもAmazon Web Services(AWS)上に構築したWindowsとLAMPという比較的シンプルなものだ。

 2017年8月26日に都内で開催された「MINI Hardening Project #2.3」には24人が参加し、4人一組のチームに分かれて競技に取り組んだ。準備時間はあまりなく、ほとんどのチームが当日初めてメンバーの顔を知ったという状態だ。

 ルール説明後に与えられた30分程度の準備時間で自己紹介し、役割を決め、Slackのチャンネルを設定したころには競技がスタート。3時間という限られた時間の中でシステムの堅牢化とインシデント対応、メール対応などに手分けして取り組んだ。

開発や運用を担当するエンジニアも多く参加した「MINI Hardening Project #2.3」 開発や運用を担当するエンジニアも多く参加した「MINI Hardening Project #2.3」

 MINI Hardeningで参加者が守るのは、WordPressで構築されたECサイトとFTPサーバ、CMSであるJoomla!を利用した公開サーバだ。本家同様、環境を確認して不備を修正し、時にはデータベースのチューニングに取り組みながら、脆弱性を突いた不正アクセスやブルートフォース攻撃、DDoS攻撃からサーバを守る作業を進めていった。

 フルHTTPS化に移行するWebサーバが増えてきたことを背景に、電子証明書の扱いが求められる課題もあり、中には、慌てて検索しながら証明書インストール手順を確認するチームも見られた。

競技時間後半には、次々とイベントが襲来する 競技時間後半には、次々とイベントが襲来する
最後には報告書の提出が求められる。慌ててテンプレートを確認するチームも 最後には報告書の提出が求められる。慌ててテンプレートを確認するチームも

 MINI Hardening Projectの特徴は、本家以上に、セキュリティ以外の分野、具体的には開発やインフラ運用を担当するエンジニアが参加していたことだ。「セキュリティにはいろいろな分野の人の力が必要だ。そのため、『ssmjp』など他の勉強会からの参加者枠も設け、いろいろな人に参加してセキュリティインシデントを経験してもらいたいと考えている」(運営メンバーの田端政弘氏)という。

参加者の様子をうかがいながら競技を進行していったMINI Hardening Projectの運営メンバー 参加者の様子をうかがいながら競技を進行していったMINI Hardening Projectの運営メンバー

 参加者の1人は「普段はインフラの運用を担当しており、あまり使ったことのない部分に触れることができた。ただ、普段の業務では変更を加える際、必ずレビューやダブルチェックを行い、承認を経てから反映する仕組みが徹底している。今回は時間が限られている中、知識として『こうするのが正しい』と分かっていても本当にやっていいのか、サービスが停止しないか、少しドキドキしながら作業した」と振り返っていた。

MINI Hardeningのスコアボード。サービスの死活状態がかわいらしい鳥のアイコンで示される MINI Hardeningのスコアボード。サービスの死活状態がかわいらしい鳥のアイコンで示される

 「今回のイベントを通して、実際に攻撃を受けるというのがどのようなものなのかを経験し、いろいろな気付きを得てもらえたのではないか。死なない程度に修羅場を体験することが成長につながる」(田端氏)

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。