-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
ヤフーさんが開催した実践型セキュリティ総合演習「Yahoo! JAPAN Hardening 2017」(10月12日、13日)に協力しました。昨年、ラックがお手伝いした様子*1をLAC WATCHでお伝えしましたが、今年はさらにパワーアップした演習となりました。
環境が日々変化するなかでシステムや情報が「消える」「止まる」「漏れる」リスクがあり、どんなに準備をしていても、サイバー攻撃が発生してしまうことがあります。多くのユーザへさまざまなサービスを提供しているヤフーさんだからこそ、社内の各部門やグループ会社を巻き込み、自社サービスに降りかかるサイバー攻撃を想定した演習を実施しています。
今回の演習は、ヤフーグループの各カンパニーや横断部門、コーポレート部門のメンバーが8人~10人でチームを組み、運営スタッフが用意した仮想ショッピングサイトやコーポレートサイトの運営を行いました。ラックはヤフーさんとの協議のもと、7時間の競技時間の間にウェブサイトの改ざんやSQLインジェクション攻撃などのオーソドックスな攻撃から、現場で対応した最新の事件・事故を踏まえた20を超える攻撃までを用意しました。
このように次々と発生するサイバー攻撃にエンジニアが中心となって対応する一方、裏側では情報漏えいの被害者であるユーザのクレームやメディアからの取材依頼が次々と舞い込み、CS(カスタマーサポート)担当や広報担当が対応に追われました。
「情報漏えいの被害が発生している原因を調査してほしいんだけど、エンジニアメンバーはシステムの復旧で大変そうだから話しかけづらい。いつ話しかけたらいいんだろう。」と頭を抱えるCS担当者もいました。普段から顔を合わせている間柄でないと、忙しそうにキーボードを叩いているエンジニアに話しかけるタイミングも難しいようです。
一方、エンジニアは目の前のシステム対応に精一杯なところに、情報漏えいの原因調査を持ちかけられます。情報漏えいの原因を調べている間にも攻撃は行われるため、どの問題の優先順位を上げて対応するべきか考える必要があります。参加者は限られた時間と情報の中で「決断する」という体験ができました。
昨年からパワーアップしたポイントをご紹介します。
「Yahoo! JAPAN Hardening 2017」パワーアップした3つのポイント
参加者をグループ企業にまで拡大
今回は参加者をグループ企業に拡大し、より多くの人に演習にチャレンジしていただきました。「Yahoo! JAPAN」が提供するさまざまなサービスに関係するカンパニーや横断部門、コーポレート部門のメンバーが「企業責任」を果たすべく、7時間の競技のために集まりました。同じサービスを担当していても普段は顔を合わせることのないメンバーと力を合わせ、競技環境のなかで売上高の拡大や顧客満足の向上などビジネス価値の最大化に取り組みました。
シナリオの強化
演習のシナリオも強化しました。1つは「ビジネスロジックの対応」です。ショッピングサイトの商品価格やポイント設定が売上に反応するようにクローラ(検索エンジンがWEB上のファイルを収集するためのプログラム)の作りこみを行いました。2つ目は「最新のセキュリティインシデントの追加」です。本年2月に発見されたばかりの脆弱性を悪用した攻撃を組み込んでおり、参加者はその対応を競いました。3つ目は「対外発信&顧客対応シナリオの強化」です。各チームで対外対応をするメンバーに対し、電話やメール、SNSで「攻撃(口撃ともいう)」する担当者を増強し、多数の問い合わせが集中するようにしました。
インフラをクラウドに移行
前回は演習環境を全て物理サーバ上に構築していましたが、今回からシステムの大部分をIDCフロンティアさんのクラウド上に構築しました。演習中は通信帯域の圧迫やネットワーク機器の不調というトラブルもありましたが、大きな問題もなく無事に演習を実施することができてホッとしています。
このような演習に全社を挙げて取り組んでいる企業はまだ多くありません。ヤフーさんでは、多くの部署のメンバーを巻き込んだからこそ実践的な演習を実施することができました。その結果、今回のサイバー防御演習に参加した全ての方々に「決断」「インシデントレスポンス」「チームコラボレーション」という貴重な3つの体験をしていただきました。これらの3つの体験がそれぞれのサービス運営での新たな気づきにつながることを期待しています。
そして私自身、参加した関係者の方々の熱意からたくさんのパワーと刺激をいただきました。今後も「事業」「サービス」「ユーザ」の3つの保護に真剣に取り組む方々へ、面白い体験型コンテンツの提供をしていきたいと考えています。
本家Hardening Projectの活動も
ほっと一息をつく暇もなく、次は本家Hardening Projectのイベント開催が迫ってきています。Hardening Projectは11月23日から25日に予定している「Hardening 2017 Fes」です。今回のイベントは11回目です。過去10回の開催場所は沖縄県宜野湾市でしたが、今回は日本標準時子午線の通る島、兵庫県淡路島の予定です。
過去10回は、競技を行う「Hardening Day」と競技の振り返りを行う「Softening Day」の2日間で構成されていました。これに加え、今回の「Hardening 2017 Fes」では第20回までの方向性を議論する「Firming Day」を設置し、3日間の構成となっています。この開催期間を通じ、「守る技術の価値を最大化」するためには何が必要なのかを、全ての参加者で作り上げることを期待しています。
実はこのような取り組みは初めてではありません。2014年に開催された第5回目のHardeningイベント「Hardening 10 Evolutions」においても同様の取り組みを行いました。沖縄県の地域ISAC(Information Sharing and Analysis Center)として活動している「沖縄サイバーセキュリティネットワーク*2」やHardening Projectのサブプロジェクトであり、「カジュアルにサーバ堅牢化を体験してもらうことを目的」としたMINI Hardening*3はこの第5回目の「Hardening 10 Evolutions」がきっかけで始まりました。今回の「Hardening 2017 Fes」でもまた何かの新しい取り組みが産声を上げることを楽しみにしています。
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR