Hardening Project 「Hardening 2017 Fes」開催 ～運営者の視点から～

こんにちは、Hardening Project実行委員の川口です。

Hardening 2017 Fes 開催

ラックがスポンサーとなっているHardening Projectの開催レポートです。

Hardening Projectは非営利の任意団体であるWASForumが運営しており、衛（まも）る技術の価値を最大化することを目指して活動しています。そのHardening Projectの主な活動は、仮想空間に構築されたシステムを堅牢化（Hardening）し、リアルなサイバー攻撃からビジネスを衛る体験をする競技イベントの運営です。
今回、Hardening Project の第11回目のイベント「Hardening 2017 Fes」が11月23日～25日に淡路夢舞台国際会議場（兵庫県）で開催されました。ちなみに、Hardening Projectは一般的な「守る」ではなく、お城をみんなで衛っていることを表す「衛る」という言葉を使っています。

これまで10回のHardening Projectを振り返るセッション ＠WASNight 2017 Summer

今回は、Hardening Projectの11回目のイベントというだけではなく、これから20回目の節目に向けて、「Fes = Festival」として様々な新しい試みを取り入れた重要なイベントになりました。Hardening Projectの4回目から10回目は沖縄県で開催しましたが、今回は特別なイベントの開催地として日本の標準時子午線が通る淡路島を選択しました。そして、「Fes」として盛り上げるべく、開催期間を従来の2日間から3日間に拡大し、日本のサイバーセキュリティの未来に向けて語り合う「Firming Day」を2日目に実施しました。

• 1日目(11月23日) Hardening Day
  競技日
• 2日目(11月24日) Firming Day
  アンカンファレンス、ワークショップ
• 3日目(11月25日) Softening Day
  振り返り、表彰

今回は過去最高となる約200人の応募がありました。この中からHardening Projectメンバーが10月4日に選考会議を行い、16チーム計108人の参加者を選出しました。選出された参加者は過去のイベントの優勝経験者、セキュリティエンジニア、ユーザ企業のシステム部門のエンジニア、産業系システムのエンジニア、公務員、学生などバラエティに富んだ顔ぶれになりました。

「Fes」ならではの仕組み

毎回進化を続けるHardening Project競技ですが、もちろん今回も新しい4つの仕組みを取り入れました。1つ目は「競技時間の延長」です。以前からリクエストが多かった「もっと長時間戦いたい」という要望にこたえるため、今回は競技日を2日に分けた上で、1日目に9時間、2日目に2時間の計11時間と、競技時間を従来の計8時間から3時間延ばしました。単純に競技時間を延長するだけでなく、競技日を分けたことで2日目の朝には頭を切り替えてチャレンジしてもらうことを目的としています。

2つ目は、2日目に導入した「人事異動制度」です。各チームのリーダーを残し、他のメンバーは別のチームに強制的に異動させられます。これにより、別のチームにシステム環境を引き継ぐ能力と引き継がれる能力が問われます。この引き継ぎ能力を評価するポイントを「引継点」とし、新たな評価指標に加えました。2日目の競技再開時に突然、人事異動を発表したことで参加者からはどよめきが起きましたが、メンバーの入れ替えによる不利益以上の大きな収穫もありました。人事異動の結果、参加者は他のチームの取り組みに触れることができ、新たな気づきを得ることができました。

新しい仕組みの3つ目は「経営層とのコミュニケーション」です。今回の競技背景として、参加者は子会社のビジネス運営を担う設定となっています。子会社のショッピングサイトから情報漏えいが発生し、親会社の経営幹部会議に呼び出されるシナリオを取り入れました。実社会ではセキュリティインシデントが発生した場合、会社としての方針を決定するために経営層に報告を行う必要があります。目の前のセキュリティインシデントに対応しなければならないときに、最も状況を把握している人が会議に呼び出されるのもよくあることです。エンジニアの視点では「この忙しいときに会議に人を取られた」と恨み言を言いたくなるシチュエーションですが、経営者は「会社としての対応をするために現状把握が必要」という判断から会議を招集しています。Hardening Projectの競技の中で、参加者にはIT用語やシステム環境に詳しくない経営層とのコミュニケーションを取りつつ、インシデントレスポンスをするというリアルな体験をしてもらいました。

4つ目の新しい仕組みは「サービス稼働チェックの厳密化」です。参加者の所属するチームのシステム環境で動いているサービスの稼働チェックを厳密化し、その稼働状況が売り上げに反映する仕組みを作りました。さらに競技シナリオには「サービスに必要な機能に脆弱性があった場合にどう対処するか？」という判断が必要なものも用意しました。例えば、WordPressのある機能を使ったシステムにおいて、その機能に脆弱性が存在する場合、どのように対処することが最適なのかを考える必要があります。対処として以下の選択肢が考えられると思います。

• システム障害のリスクを受け入れ、アップデートを実施する
• 安定稼働を優先してアップデートを見送り、そのまま運用する
• アップデートせずにセキュリティ製品の機能で攻撃を防ぐ
• 脆弱性がある機能を停止して、そのサービス提供を諦める

実社会と同様に、チーム内の技術力や対応リソースによって、どの選択肢が最適なのかは変わります。しかし、そこはHardening Projectの競技ですから安易にアップデートしたり、機能を無効化したりすると売り上げが伸びないような仕組みを取り入れました。実際に組み込んだ問題は、YouTubeの動画をご参照ください。

WordPressの脆弱性を悪用するシナリオ

11時間の競技を終え、通常発生する何倍ものセキュリティインシデントの対処に当った参加者は、顔に達成感を満ちあふれさせていました。参加者のチームは、それぞれのシステムが稼いだ売り上げをベースにして順位が決定します。毎回、1位のチームの売り上げは最下位のチームのほぼ3倍になっています。つまり、全く同じ環境下で全く同じ商品を扱っているところに全く同じ攻撃が発生した場合、対応方法によって売り上げが3倍も違ってくるということです。システム運用やインシデントレスポンスの重要性を示す事例と言えるでしょう。

未来について語らい

2日目のFirming Dayの午後には、今回アンカンファレンスを実施しました。アンカンファレンスは通常のカンファレンスと異なり、事前に話し合う内容は決められていません。当日同じ問題意識を持ったメンバーが集まり、それぞれが気になるテーマを出し、議論する形式です。Hardening Projectの第5回のイベントでも同様にアンカンファレンスを実施した結果、MINI Hardening Projectや沖縄サイバーセキュリティネットワークなどの組織が生まれました。競技もイベントの大事な要素ですが、参加者が「自分はどう行動するか？」という視点で意見を出してもらいます。今回の 「Hardening 2017 Fes」 では、参加者は11時間に及ぶ競技の熱が冷めやらないまま、以下の4つのテーマに分かれてそれぞれ議論を行いました。

• 経営とセキュリティをどう考えるか
• 脆弱性対応、インシデントレスポンスをどうするか
• セキュリティ人材育成をどうするか
• おれたちのHardening

特に「おれたちのHardening」の参加者は、それぞれの課題意識を解決するためHardeningの競技形式を発表しました。MINI Hardeningの全国開催や特定技術分野にフォーカスしたHardening形式などいくつもの提案が行われました。Hardening Projectとしては年に2回開催する競技への参加だけでなく、様々な派生プロジェクトが生まれることを望んでいます。今回の淡路島で語り合った「おれたちのHardening」がどこかで芽を出すことを期待しています。

Hardening Projectは年に2回のイベントを通して、サイバーセキュリティ対策へのエネルギーやモチベーションが広がっていくことを願っています。2017年のHardening Projectイベントはこれで終わりですが、2018年も新たな企画を用意して盛り上げていきますのでご期待ください。

Hardening 2017 Fes at 淡路夢舞台は、無事に閉幕いたしました。ご参加・ご参画はもとより、数々の応援を頂き、ありがとうございました。#h2017fes pic.twitter.com/bcgEobi9ql

— Hardening Project (@WASForum) 2017年11月26日