-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
7月25日のセミナー「ビジネスとセキュリティを守る人材育成」でお話したHardening Projectを通して得られた気づきについてご紹介。その3。
3つ目の気づきは「ビジネスは技術力だけではない」です。
Hardening Projectの競技はこれまでは仮想空間に構築されたショッピングサイトの売上を評価指標としてグランプリを決めてきました。現実世界でもお金がなければビジネスが成り立たないわけです。参加者の行動がお金にどのようにつながるかということが重要であり、極端なことを言えば売上が上がるのであれば何をしてもいいわけです。ホームページが改ざんされても、標的型攻撃メールを開いてしまっても、売上があがるのであればそれは問題ないのです。もちろんkuromame6としてはホームページが改ざんされたままであれば売上があがらないような仕組みを取り入れているので、放置していては勝利に遠ざかるようになっています。
参加者の評価をショッピングサイトの売上で評価する仕組みになっていますが、技術力があれば優秀な成績が残せるかというとそうでもありません。それぞれの行動を測るために売上という評価指標以外に「技術点」「対応点」「顧客点」「経済点」「協調点」という5つの評価指標も用意しています。kuromame6が用意したシナリオにどう対応したかということを上記の評価指標に当てはめて、最終成績を発表しています。
技術点はシナリオに用意された脆弱性や不具合をどの程度直したかということを評価します。SQLインジェクションやXSSのような脆弱性や、ショッピングサイトでマイナスの個数の発注ができるという仕様の検討漏れのようなものまで様々ですが、技術的な対応がどの程度できたかを評価します。
対応点は競技中の会社の中でどのようにふるまっているかを評価します。日常業務でもセキュリティインシデントが発生すれば上司や社内の関係者に連絡して調整するように、セキュリティインシデント発生時に関係者に適切にコミュニケーションが取れているかという評価指標です。
顧客点は競技中のユーザをどのようにケアしたかを評価します。自社の保護のみを考えて行動するのではなく、ユーザ保護の観点を持った行動は評価されるべきであり、ユーザへ適切な情報公開、ユーザ保護の取り組みを行ったチームを評価します。
経済点は競技環境における全体の経済にどのように貢献したかということを評価します。最近のHardening Projectには「マーケットプレイス」という仕組みを用意し、自分のチームにないリソースはスポンサー企業から提供されるリソースを有償で利用できるシステムがあります。目的遂行のため、自分のチームだけでできないことをリソースの外部調達したチームを評価します。
協調点は競技環境におけるチーム同士や関係者とどのように協調したのかという点が評価されます。ここ数年、情報共有や情報連携の重要性が叫ばれていることと同様に競技環境にいる関係者と協調した行動を取っているかを評価します。
このように売上以外にも多くの評価指標が存在しますが、技術点が高いチームが優勝しているとは限りません。技術的には素晴らしい対応をしたチームが社内報告や顧客対応をおろそかにして減点された結果優勝を逃していることも多くあります。逆にビジネスのことをバランスよく対応を行い、技術的な対応以外に力を注いだチームが優勝を持って行っています。多くの場合、優勝チームの行動を振り返るプレゼンを聞いてみたところ、通常のビジネスでも重要だということを愚直に遂行していることがよくわかります。技術的に正しいことをしているだけでは勝てないところが、Hardening Projectの面白さであると我々は自負しています。
実はHardeningに参加申し込みを渋る人の理由の多くが「私にはそんな技術力がなくて」ということも多いのですが、技術力があるだけでは勝てないのですから、技術力以外の点で力を発揮してもらえれば、十分貢献するチャンスはあります。「技術力がなくて」と今まで尻込みをしていた人はぜひ11月のHardening 100 Weakest Linkにお申し込みください。
次回は「ビジネス継続のために防御力と復旧力が重要」を取り上げます。
- 得られた気づき その1 マルウェア感染にはなかなか気づかない
- 得られた気づき その2 意思決定のスピードが重要
- 得られた気づき その3 ビジネスは技術力だけではない
- 得られた気づき その4 ビジネス継続のために防御力と復旧力が重要
- 得られた気づき その5 サービス再開は判断が難しい
- 得られた気づき その6 トラブルは情報の不足と間違いから
- 得られた気づき その7 脆弱な初期設定に注意
- 得られた気づき その8 安易な作業がトラブルを生む
- 得られた気づき その9 事前準備と事後の振り返りが重要
- 得られた気づき その10 情報共有は共同オペレーションの体験から
この記事をシェアする
関連記事
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR