-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
いつもセキュリティ人材の育成が必要だと叫ばれていますが、具体的には何をすれば良いのか悩んでいる人も多いと思います。人材育成の取り組みとして始めたHardening Projectをきっかけに見えてきたことについて取り上げます。
Hardening 100 Value x Value が終わって一か月が経過しました。あちこちに参加報告や取材記事が掲載されて、様々な人の視点から振り返ることができて大変刺激になります。実はHardening Projectは参加することも大きな経験となるのですが、実はこの振り返りが大事なのです。
「Hardening 100 Value x Value に参加した振り返りをやりましたか?」
現実世界で起きているセキュリティインシデントを仮想空間に実装した競技としていることで、参加者は短時間で多くのセキュリティインシデントを体験することができます。しかし、競技環境に実装されているものは現実世界とかけ離れているものもあり、体験や知見を実業務に生かすためには、振り返りを行うことがとても重要なのです。
「この手法はどうすれば業務で使えるか」
「このログはうちのシステムでも出ているかもしれない」
「このタイプの攻撃はうちのシステムでは限定された条件で発生するかもしれない」
「あのときの判断はベストなものではなかった。本来は○○するべきだった」
「意思決定を行うときには、こんな手順が必要だった」
など、競技と現実世界の差異を埋めるための振り返りをやることで、参加経験を実業務に生かすことが可能です。2015年11月の「Hardening 10 ValueChain」で優勝したチームのメンバーは競技終了後、24ページもの振り返り報告書ができるほど議論を行ったようです。このエピソードを聞いて優勝チームの力を改めて感じました。
ラック社内でも競技参加者とプロジェクトメンバーによる社内報告会を実施しました。あちこちの部門から参加者が集まり、多くの意見が交わされました。
今回の競技の様子を説明
「事前準備したことが生かせなかった」
「自分の意思をもっとアピールすれば、もっとスコアがあがったのに」
「セキュリティに関心がないエンジニアをどう巻き込めばいいか」
「チームビルディングで苦労した経験が今後役に立つと思う」
「バックアップは重要だと思うけど、どこまでやればいいか自信がなかった」
「実は参加者と思わぬ接点が存在した」
「(あの攻撃が発生した時)参加者の反応がはっきりわかって面白かった」
「成績が上位になるチームの行動パターンは○○だね」
「このシナリオはお客様向けのサイバー演習に使えるかもしれない」
「今後の参加者同士の交流はどうするべきか」
「事前に仕込んでいたツールがうまく動かなかった」
2時間近く熱い議論が交わされました。Hardening Projectメンバーとして競技シナリオを準備していますが、その対応方法に答えがあるものばかりではありません。答えが一つとは限らないシナリオに対して、多くの人がトライした結果を見ることができることから新たな気づきを得ています。そして、ラック社内のさまざまな業務に関わっているエンジニアがそれぞれの視点から疑問や感想を投げ込むことで新しい気づきが多くあることが、主催者の私にとっての楽しみでもあります。
Hardening Projectやその他のサイバー演習を通じて得られた気づきを7月25日に
開催されるセミナー「実践的セキュリティ人材の育成」でお話する予定です。
ご都合のつく方はぜひご参加ください。
【参考URL】
Hardening 100 Value x Value について記載されたブログや記事のリンク
Hardening 100 Value x Value 開催! | ラック公式ブログ | 株式会社ラック
Hardening 100 Value x Value@沖縄 | ラック公式ブログ | 株式会社ラック
セキュリティ・アディッショナルタイム(9):「Hardening 100 Value x Value」に見た、競技結果よりも大事なこと (1/2) - @IT
Hardening100 Value × Value はとてもタフな戦いだった件 | ツチノコブログ
セキュリティ技術者の総合格闘イベント・Hardening Project@沖縄に行ってきた|市原えつこ|note
実務以上にハードな事故対応?!今、話題の競技Hardeningとは?~Hardening参加報告#1 | RECRUIT TECHNOLOGIES Member's blog
競技でも業務並みの知見をゲット~Hardening参加報告#2 | RECRUIT TECHNOLOGIES Member's blog
Hardening Value & Value グランプリ(優勝)の決め手~Hardening参加報告#3 | RECRUIT TECHNOLOGIES Member's blog
この記事をシェアする
関連記事
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR