Hardening 宣言
1.私たちの挑戦は、現場で本当に起きている脅威と向き合うことである。
2.それは、強固な計画よりも柔軟な変化を必要とする。
3.それは、役割分担よりも連携と協働を必要とする。
4.それは、隠蔽しようとする誘惑、単純化しようとする誘惑、そして転嫁しようとする誘惑に抵抗することである。
5.それは、現状よりも目的を、知識よりも経験を、コンテンツよりもコンテキストを、そしてアイテムよりもストーリーを重視することである。
6.これによってはじめて、異なる視点、異なる意欲、異なる役割、異なる手段をもつ仲間を獲得し、困難に立ち向かうことができる。
7.私たちの挑戦は、この志と企てを共有し、前進することである。
--
「サイバー攻撃が深刻化する一方、セキュリティ人材は不足している」--- セキュリティ業界はこの 10 年というもの、この同じ台詞を繰り返し、ぼやき続けてきたように見える。次々と新たなソリューションやキーワードが登場しては消費されているものの、攻撃者側の優位は続いている。
では「衛る」側には一体何が足りないのか。どうすればより堅牢な守りを実現し、次世代に技術を伝えていくことができるのか --- そんな問題意識に立って、守りを築くための技術と心を身につけるための場としてデザインされたのが「ハードニング競技会」だ。
2012 年に都内で開催された第一回目を皮切りに、沖縄や北海道、淡路島など場所を変えながらも、常に「衛る技術の価値を最大化する」ことを掲げ、その時々の最新技術や脅威の傾向を取り入れながら 20 回以上競技会を開催してきた。
特に、技術とビジネスの両側面で実践的にセキュリティ対応の疑似体験ができるだけでなく、競技を振り返り、知見を共有するといったスキームが充実していることなどが評価され、2022 年の「グッドデザイン賞」を受賞。さらに、セキュリティ業界団体の JNSA からは「2022年度JNSA特別賞」を受けている。
●「いかに気付きを得て、変わっていけるか」が目的
ハードニング競技会には基本フォーマットがある。
まず Hardening Day では、技術者はもちろんだが、学生やマーケティング担当者、法務担当者などさまざまなバックグラウンドを持つ参加者が 6~10 名規模のチームを組み、ECサイトの運営に取り組む。8 時間の競技時間中には、主催者側の「Kuromame6」によるさまざまな不正アクセス、攻撃が発生するため、それらから自サイトをいかに守り、事業を継続し、顧客からの評判やブランドを高めて売り上げを伸ばし、ひいては企業価値を高めていくかをチーム間で競う。
その後行われる Softening Day では、チームごとに「どんなことに取り組んだか」「どんな学びが得られたか」についてプレゼンテーションを行い、知見を共有していく。Hardening Day の間はライバルとして横目で動きを見ていたチームの取り組みを知り、「こんなやり方があったのか」と互いに学び、それ以降の自分自身の業務や学びに生かしていく仕掛けだ。つまり、「競争」と「協調」の両面が組み込まれている。
ハードニングは「衛る」技術を伸ばすための競技会であり、売り上げ見込額という形のスコアががあり、明確に順位が付けられる。だが、Hardening Project実行委員会委員長の門林 雄基 氏(奈良先端科学技術大学院大学)は、「ハードニングは、この 8 時間を通して皆さんが変わることが目的です。気付きを得て仲間を作ることが大事です」という。
ハードニング競技会を 10 年間継続してきた中で、クラウドやコンテナが普及し、Torello や Miro、Discord といったコラボレーションを支援するさまざまなツールも登場するなど、IT環境は大きく前進した。一方セキュリティを巡る状況はというと、「あまり良くなっていません」と門林氏は指摘した。
その大きな要因が、さまざまな「サイロ化」だ。さまざまなテクノロジスタックがビルのように乱立し、サプライチェーンのつながりも広がる中、思いもよらない要因で障害が発生したり、攻撃の影響を受ける状態だ。IT の現場も同様で、「デベロッパーとオペレーターの役割が異なり、ひとたび問題が起きると『これはそちらの問題だ』と指を差し合う状況になっています」(門林氏)
また、世代ごとのサイロ化も課題の一つだ。新たな脆弱性が次々に指摘され、若い世代の目がそちらに引きつけられる一方で、10 年以上前の古い脆弱性がいまだに解決されない状態が続いている。
こうした状況を踏まえ門林氏は、「根っ子が腐らないだろうかと危機感を抱いています。ハードニングはこうしたサイロ化にあらがうための大きな装置であり、コミュニティであり、一緒に挑戦していく冒険です」と述べ、守りの構築に取り組むさまざまな有志がつながり、会話を交わし、ベストプラクティスを共有することで、これからの 10 年間、自信を持って守りを構築できるようなヒューリスティックを共有したいとした。
●地元やコミュニティの温かい支援を得ながら実施された Hardening 2022 Decade
文字通り 10 年目を迎えた「Hardening 2022 Decade」は、2022 年 11 月 15 日に沖縄・万国津梁館で開催され、10 チーム、92 人が参加した。うち 7 名はオンラインでの参加だが、新型コロナウイルスの影響でオンライン開催、ハイブリッド開催を余儀なくされた時期が続いたが、満を持してのオフライン開催となり、会場は独特の高揚感に包まれた。また、次世代を担う若者に貴重な経験を積ませたいという思いで北海道の技術系地域コミュニティ、LOCAL の交通費支援を受けて参加した学生をはじめ、多くの学生も参加した。
他の回でもそうだが、ハードニング競技会には地元自治体やコミュニティの協力が欠かせない。今回も、8 年以上にわたってハードニングを支援してきた沖縄総合事務局や、名護市、地元企業がさまざまな支援を行った。会場には渡具知 武豊 名護市長も姿を見せ、「万国の架け橋という意味を持つ万国津梁館で経験を積んだ人材が、世界に大きく羽ばたくことを期待したい」と激励した。
ハードニング競技会では基本フォーマットを踏襲しつつ、毎回異なる設定が与えられる。今回は参加チームは「アニメーション制作会社」となり、テレビアニメやその劇場版を制作するほか、関連グッズの企画・製作・販売を手がけるという想定で、ECサイトの売り上げを競うことになった。さらに、アニメ番組のサブスクリプションサービスも販売している設定で、順調にサブスクリプションサービスの加入者を増やせるかが勝敗を決めるポイントの 1 つとなった。
さらに参加チームは、チームナンバーが奇数か偶数かによって 2 つの「制作委員会」に分けられた。委員会ごとに劇場版アニメを作成するという想定で、チームごとの売り上げに加え、制作委員会全体での売上金額も競うこととなった。つまり、チーム単体で最高の売上金額を記録しても、制作委員会の売り上げがもう一方に負ければグランプリにはなれない。制作委員会全体の売り上げ向上を目指すため、各チームの「CISO」が「セキュリティガバナンスタスクフォース」に参加し、与えられた課題にどのように協調して取り組んだかも評価の対象となった。
ハードニングでは毎回、NICT の StarBED を利用して大規模な模擬環境が提供されるが、今回各チームに提供される仮想マシン数は 34 台に上り、一部にはリモートワーク環境も用意された。Windows もあれば Linux もあるこの環境を 9~10 人で手分けし、脆弱性を防ぎ、堅牢化してさまざまな攻撃から守っていくことになる。とはいえ EC-CUBE や Welcart で構築された ECサイトが 3 つにサブスクリプション販売サイト 1 つ、そのほか新卒採用ページなどが用意されたコーポレートサイトや構築途中の商品紹介サイトなどがあるため、全容を把握し、営業やマーケティングの観点で運用するだけでも一苦労だ。
そしてもしウイルス感染や情報漏洩といったインシデントが発生した際には、CEO への報告や関係機関への報告などをあらかじめ用意された手順に沿って行わなければならない。さらに、ECサイトで販売する商品の仕入れ・管理に加え、コンテンツ管理をはじめとする「ミッション」が 20 項目与えられ、エンジニア以外のメンバーも多くのタスクをこなしていく必要があった。
●敵は Kuromame6 だけでなく、むしろチーム内にある?
こう説明していくだけでも「おなかいっぱい」の内容だが、この中で確実に売り上げを伸ばすには事前の準備とチームビルディングが不可欠だ。参加チームはいずれも、メンバーが決まった時点から Discord や Zoom などを活用してコミュニケーションを取り、各々の得意なスキルの確認やチートシートの作成を進めてきた。
そして前日には現地に入り、事前に配布された資料を深夜まで読み合わせながら競技に備えた。当日も、会場入りもそこそこにセッティングや最終確認に集中していた。中にはおそろいの Tシャツをあつらえ、競技に臨んだチームもあった。
Hardening Day が静かなのは、競技が始まってから最初の一時間ほどだ。その間に各チームは、実環境やアカウントを急いで確認してバックアップを取得したり、パスワードの変更を行ったりといった初期対応を進めつつ、協賛各社が提供するさまざまなセキュリティソリューションを購入できる「マーケットプレイス」への入札を行ったりする。
なおマーケットプレイスで必要な機器やサービスを調達すれば人手不足を解消し、競技をスムーズに進められるが、あまりに投資しすぎてはキャッシュフローが圧迫され、収支がマイナス状態に陥ることもある。「適切なセキュリティ投資」はどうあるべきかを考えさせられる仕掛けだ。
Kuromame6 からの攻撃が始まると、会場の空気は一変し、怒濤の数時間が過ぎていく。もししっかり堅牢化ができている状態であれば各ECサイトでは売り上げが順調に伸びていくはずだが、実際にスコアボードを見ると、むしろ伸び悩むサーバが徐々に現れ、売り上げグラフが頭打ちとなってしまう。
後の Softening Day で Kuromame6 の川口 洋 氏(株式会社川口設計)が行った「ネタばらし」では、ランサムウェア感染による二重脅迫やクロスサイトスクリプティング、リモートワーク環境で利用していたブロードバンドルータの管理など、実際のインシデントにつながるさまざまな仕込みが解説された。
用意された中でも最も大きなインシデントが「琉球アニメーション未公開PR」というプレスリリースの漏洩だ。WordPress で、公開日よりも前に下書きしておいたプレスリリースの内容と添付ファイルが、ファイル名のパスを推測されることによって漏洩してしまうという、仕掛けを聞いてしまえば「何だ、そんなことか」と思われそうな原因だが、説明を聞いて会場からは「ああ、そうだったのか」となんとも言えないため息が漏れていた。
「SQLインジェクションがどうとか、マルウェアがこうだとかいった高度な対策も大事なことです。しかし誰もが使える仕組みで、下書きとしてファイルを入れるという作業はごく当たり前に行われていることでありながら、そこから情報が漏れることがあります。『Wordpress もプラグインもアップデートして最新版だから大丈夫だ』という場合でも、下書きの運用をどうするかが盲点になりがちです」と川口氏は呼びかけた。
そして、敵は Kuromame6 だけではない。チーム内のディスコミュニケーションや焦り、見落としによるミスで、ある意味「自滅」してしまうケースも珍しくない。今回も、Kuromame6 が攻撃したわけではない DNSサーバが停止してしまったり、RDP接続が奪われて「攻撃だ」と思い込んでいたら単にチーム内で接続を取り合っているだけだったというケースがあったが、これもインシデント対応や障害時によくあることではないだろうか。
もう一つハードニングの名物が、情報漏洩を引き起こしてしまったチームから CEO や取締役への報告会だ。今回は、Hayabusa作者で新たに Kuromame6 に加わったマシス・ザッカリー氏が作成したマルウェアによって新作の動画ファイルが盗み出され、リークサイトで公表がほのめかされたという状況で、2 つのチームが別室にそれぞれ呼び出され、どのように経営層に説明するかが問われた。
ただでさえ多くのタスクに追われる中、漏洩原因の調査や脅迫への対応方針をまとめ、経営層に報告するというのは、やや荷が重いミッションだったようだ。実際には脅迫メールが届いていたにもかかわらず状況を把握できず、「サイバー攻撃の噂があるが、どうなっているのか」という問いかけに無根拠に「大丈夫です」と断言してしまったり、ログが残っておらず、状況も原因もわからない状態で答えに窮する状態に陥ってしまった。しかしそうした経験をすることで、インシデント対応の現場の一端を知ることができたようだ。
一方で、今回の新機軸であるセキュリティガバナンスタスクフォースでは、忙しい合間を縫って定期的に各チームの CISO が集まり、互いの状況を報告し合ったり、ミッションとして与えられた「サプライチェーンセキュリティ対策」についての提言をまとめたりしていた。特に Even連合(偶数チーム連合)では、課されたミッションごとに役割を分担した上で一時間に一回、スコアボードを見ながら打ち合わせを行っており、「困ったら近くの人に聞いてみるのも新鮮でいいことだなと感じました」という感想も聞かれた。
午後 3 時を過ぎる頃にはだんだん疲れが見え始め、なんとなく動きにキレがなくなってきたり、手を頭の後ろで組んで長考に入る姿も目立ち出す。それでも容赦なくサーバは落とされ、一方で時間までに作業レポートを提出するよう迫られる、という中で、最後の力を振り絞りながら競技に取り組んだ。スコアボード表示が消える頃にはラストスパートに向け、交わす会話もどことなく早口になっていった。
そんな中、あるチームから聞こえてきたこんなつぶやきが、とても印象的だった。
「あきらめたらそこで試合終了ですよ」
「いや、もうあきらめかけてた。何のために沖縄に来たのかなぁ……」
「これを味わうためですよ」
●体験し、共有したからこそ身にしみた貴重な知見とは
8 時間の格闘を終えても、ハードニングは終わらない。むしろその後が重要といえるかもしれない。まずチームごとに活動を振り返り、まとめを行う「Analysis Day」を経た後に、11 月 19 日には「Softening Day」が都内で行われ、各チームがそれぞれの知見を披露した。
各チームが感じ取ったことはさまざまだが、いくつか共通する事柄がある。
まず一つは、事前の準備の重要性だ。最近では参加者有志による勉強会や同人誌といった形で事前の情報共有が盛んに行われていることもあり、事前準備の充実ぶりには目を見張るものがある。特に、過去の参加経験者がいるチームではチートシートの用意は当たり前で、役割分担やマーケットプレイスで購入するソリューションの選定、マニュアル類の整備といった準備に加え、机上演習的に全体のシミュレーションを行ったり、本番と同様の環境を構築して訓練を実施したチームまであったほどだ。また、ハードニングを繰り返し体験できる「Micro Hardening」の参加者もおり、過去問ではないが「あ、これ、やったことがある」と、状況にうまく対応できたという。
二つ目は、そうやってしっかり準備していても想定通りにものごとは進まない、ということだ。いくら準備をし、訓練を行っても完璧はあり得ない。たとえば、コードとして記述することでインフラを制御する最近の IaC(Infrastructure as Code)の流れを踏まえ、Ansible のプレイブックを用意するチームも複数あったが、実際には短時間ではなかなかうまく適用できなかったようだ。中には「準備してきたことの 3 割くらいしか出来なかった」と振り返るチームもあった。
そして三つ目は、監視の重要性だ。特に競技が進行してくると目の前の事象への対応に目が向き、監視がおろそかになりがちだが、複数のチームが「きちんと監視役を置き、攻撃を受けていることに早期に気付けるようにしておけばよかった」と振り返っていた。
実行委員の淵上 真一 氏(日本電気株式会社/OWASP OKINAWA)は、「『知っている』と『できる』は違います。そして次は『やっている』というのが大事になります。今回の経験を生かし、本当にやっている状態を作っていくことが、皆さんのハードニングの始まりだと思います」と述べている。
今回、売り上げ額を競ったのはチーム8 と 9 という二つのチームだった。チーム単体で最高の販売額を達成したのはチーム8「あめちゃんランナーズ」(2 億 8568 万 9800 円)だったが、制作委員会では Odd(奇数チーム)に軍配が上がり、チーム9「狂気ぬ沙汰ほどうむさっさー…!」(2 億 8218 万 7927 円)がグランプリに輝いた。
この 2 チームのリーダーには、IPA の産業サイバーセキュリティセンター(ICSCoE)の中核人材育成プログラムの卒業生という共通点があり、面識があった。チーム8 のリーダーである八木氏は 3 回目の参加、チーム9 のリーダーであるぐっさん氏は 2 回目の参加だ。
後日開催された「WASNight」での振り返りによると、これら 2 チームはそれぞれの戦略を立てて Hardening 2022 Decade に取り組んだ。チーム9 はあらかじめしっかり役割分担を決め、それぞれ得意な領域を担当するという、ある意味オーソドックスな形で競技に取り組もうと計画していた。ただいざ本番が来てみると、結局は「各自が自由に得意なことをやろう」という形に落ち着いたという。
オンラインで進めた事前準備の際には、週一で集まりながらも、音声のみではどうしても感情が伝わりづらく、なかなか一体感が感じられないところがあったという。しかし前日の準備の段階で全員が集合し、互いに認識し合うことで一気にチームが噛み合わさり、成長できたと振り返った。「やっぱりオンサイトの情報量は非常に大きいものがあります。リアルで会うことによって、お互いが何をすべきかのイメージが固まり、自覚していくんだと思います」(ぐっさん氏)。
Hardening Day では机で作業を続け、ディスプレイを横目に見ながら昼食をかきこんだチームも少なくない中、チーム9 はいったん外に出て、皆でランチを食べながら一言ずつ感想を述べ合っていった。オンライン参加が一名いたのが心残りではあるが、おかげで午後も一体感を持って競技に参加できたという。
一方のチーム8 は、八木氏の強い希望(あるいは「わがまま」?)で役割分担を決めず、手が空いている人がタスクを取りにいくというチャレンジングな形式で臨んだ。メンバーからは不安の声も上がる中、あえてこうしたやり方を取ったのには理由があったという。「過去の二回は役割を決めて臨みましたが、そうすると、チームとして今やらなければいけないことも置いておいて、自分の役割に専念してしまうという風に、視界がどんどん狭くなってしまうのではないかと感じました」(八木氏)
そこで今回はあえて役割を決めず、チーム全体が今どういう状況にあるかを把握し、必要なタスクが浮上してきたら、自分ができるのであればやる、という形を目指した。実際、競技が進むにつれてメンバーの理解が進み、「今、手が空いていますから次は何をやりましょうか」と自発的に声が出るようになっていった。リーダーとしてチーム運営しながらも、これはすごいことだなと感じたという。
こういった関係が実現するまでにはいくつかの段階があった。まず最初は、信頼関係のベースになるコミュニケーションがチーム内でできていたことだ。これにより、今の状況について「声を出せる関係」を皆で作り出すことができた。そして、それによって信頼や安心感、いわゆる心理的安全性が生み出されていった。
「競技が始まって、みんながわっとタスクに取り組み始めた時に、『助けて』と声の上がったところに皆がヘルプで入っていきました。これを機に『助けてと言ったら助けてくれるんだ』という信頼や安心感が、チーム内でかちっと固まったのかなと思います」(八木氏)。こうして競技を進め、時計の針がお昼を回った頃には売り上げが一位になっていた。ランキングで首位にいることに気付いた時に、「このやり方でいけるんだ」という自信や確信が芽生えたという。
準備の段階でも、役割を決めていないからこそ「自分用」の手順書ではなく、誰が見てもできるようなものを整えていったという。
実はこのチーム8 の取り組みは、「HARDENING宣言」の 3 番目に書かれている「それは、役割分担よりも連携と協働を必要とする」という言葉そのままだった。「結局、Hardening Project実行委員会の手のひらの上で転がっていた状況ですが、言うのとやるのとでは違うと思います。実際にそれをやって体験できたことが我々の財産になると思います」と八木氏は述べている。
一方チーム2 ののみぞう氏は、過去 Hardening 2020 H3DX で優勝した経験がありながらも今回の成績が振るわなかった要因を振り返り、中途半端な役割分担を挙げた。チーム内でとりまとめ役と意思決定役を分けたはいいが、意思決定がふんわりしたものになり、「遠慮の塊」が発生してしまったという。
その中で痛感したことの一つは、リーダーシップだけでなく「フォロワーシップ」の重要さだ。「各々が役割を全うするには、それに付き従う、賛同してくれるフォロワーシップが大事だなと私は思います。よく言うんですが『ACKを返せ』と。誰も ACK を返してくれないと大変つらい気持ちになるので、ぜひ返していただけるとうれしいなと思います」(のみぞう氏)
二つ目は、チーム内の温度差をどうするかという問題だ。ハードニングには学生からプロのエンジニアまでさまざまな人が参加するが、その中でどう共通目標を設定していくかが肝になるという。さらに、「これはハードニングだけでなく、セキュリティ組織にも言えることだと思います。素養の違う人たちが集まっても同じ方向を向いていくには、お客様のために何ができるのか、提供する価値に注目していくことが大事なのかなと思ったりします」(のみぞう氏)
そして、タレント・タモリ氏の「真剣にやれよ、仕事じゃねえんだぞ」という名言を引き合いに出し、せっかくハードニングに参加する以上は、「正しいロールプレイ」をするべきだとコメントした。つい、ハードニングという競技でいかにいい成績を残すかというハックの部分に注力したくなるが、設定の中で無理のある動きをせず、事業会社の情報システム部門で本番環境に取り組んでいる、という前提で真剣に取り組むことが大切だとした。
このように、さまざまな学び、気付きが生まれている。川口氏も「これはテストではありません。どのチームが間違っていて、どのチームが正しかったかというのではなく、必ず答えがあるとは限らない問題に対し、取捨選択や優先順位付けをしながら、ゴールに近い選択肢を取れたか、納得感が得られたか、そして『ああすればよかった』と思えたかが重要です」と述べている。
●Kuromame6 もインフラチームもやっぱり「俺たちのハードニング」を体験
ちなみに今回のハードニングでは、Kuromame6 やインフラチームも「俺たちのハードニング」をたっぷり体験した。毎回、直前までこの巨大で複雑な環境の作り込みに追われているが、今回はいろいろと予期せぬトラブルが発生したという。
ハードニングでは各チームのスコアに加え、各サーバが理想的な状態にあったらどのくらいまで売り上げが伸びるか、最大値を示す指標として、Kuromame6 のスコアも表示される。しかし、午後 2 時を回った頃、Kuromame6 のスコアが参加チームに負けるという状況が発生した。
冷や汗をかき、最悪の事態も想定しながら川口氏が原因の切り分けに取り組んだところ、どうやらカートの中に「2億円」という巨額の決済が入っていたことが原因であることがわかったという。「ほぼ前回と変わらないシステムでしたが、サブスクリプションのロジックを変更していたんです。Kuromame6 の場合、サブスクの人数が増えて購入金額が巨大になり、上限に引っかかってエラーになるのですが、エラー発生時にカートの中身を消す処理を入れておらず、次回の購入時にまたエラーが発生して最初に戻ってしまう、という話でした」(川口氏)
結局、サブスク会員数の多い Kuromame6 だけがこのエラーに引っかかり、参加チームへの影響はないことが判明し胸をなで下ろしたというが、「こんなところまでも検証が必要なんだなと痛感しました」と川口氏。唯一良かった点は、こんなこともあろうかと片っ端からログを取っていたため、それを元に原因究明ができたことで、「皆さん、何かあったときに備えてログを取るのは本当に大事です」と述べていた。
会場のインフラとなったネットワークにもいろいろな「ハードニング」があった。
まず、エッジ側では、これまで使ってきた枯れた機材に代わり、新たに 10Gbps対応のネットワーク機器を導入し、さまざまな映像配信をより高速に、よりスマートにできるようにチャレンジした。しかし「机上テストやローカルテストでは問題なかったのに、会場ではうまくつながらないため、あきらめて 1Gbps に戻し、急遽物理的な線も追加して対応しました」(実行委員の山城重成氏、ラック)。10 年やってきて初めて「ヤバい」と思ったほどだったという。
また、常に「快適につらい競技環境」を目指して環境を提供してきた StarBED でもトラブルがあり、「本当につらい競技環境」になってしまい、ぎりぎりのところで、何とか競技を継続させていった。
具体的には一部のチームで、存在しない IPアドレス宛に通信が来ると ARPリクエストが大量に出るという事象が発生し、ネットワークが不安定になってしまったのだ。MACアドレスの重複も VLAN の設定間違いもないことも確認でき、どうやら VXLAN に関連しそうなところまではわかっているが、インフラチームでは引き続き原因究明に取り組んでいるという。
ちなみに、今回のハードニング競技環境は、28 コア 56 スレッドで 2 ソケット合計 112 スレッド、メモリは 512GB、ストレージは 480GB SSD×2 で、ネットワークインターフェイスは 1Gbps×2、25Gbps×4 という、「サーバ一台でカローラが買える」(安田真悟氏、情報通信研究機構)というスペックの StarBED の最新のサーバ、70 台のクラスタを利用して構築された。仮想マシンは全体で 539インスタンスと過去最大級の環境となっている。
ただ、新しい環境にはバグが付きもの。安田氏らは「OS の自動展開ソフトウェアを利用すると、再起動が無限に繰り返される」とうバグに悩まされたほか、ケーブル結線のミスにも悩まされながら環境を整えてきた。
「参加者もマーケットプレイスも、Kuromame6 も全部そうですが、新しいことにチャレンジするのがハードニングです」(山城氏)
●10 年後も「攻撃者は優位にある」と言わないために、味方を作り情報共有を
10 年目を迎えたハードニング。この構想が浮上したきっかけは、「情報共有」に関する議論だったという。
「12 年ほど前に『守る側も情報共有しないとだめだ』という議論をしていたのですが、いざ情報を共有しようとなっても互いに猜疑心の塊で、『自社は信用できても他社は信用できない。情報なんて出せない』という具合に、信頼の欠如が根底にありました」(門林氏)。セキュリティ専門家の仕事は主に「敵」を考えること。このためどうしても猜疑心に駆られがちという状況にあった。
しかし「敵を考え、敵を探す仕事だけでなく、味方を探す仕事も大事であり、味方を探す仕事のごく一部が情報共有です」(門林氏)
情報共有は味方と連帯するためのものであり、その連帯をどう作るかがハードニングの根底にあるという。こうした発想から、Kuromame6 という攻撃専門のチームから守っていくために参加者どうしが連帯し、チームワークを作り上げ、その一部として情報を共有していくというハードニングのデザインが生まれた。
短い時間の中で高いプレッシャーにさらされ、共通の失敗体験や成功体験を通じて、どのように振る舞ったかを知ることで信頼関係が生まれていく。つまり「ハードニングというのは、味方を見つけるための装置なんです」(門林氏)。既存のさまざまなサイロを壊し、新しい信頼関係を構築していくために、あえてチーム構成も組織の壁を越えたものになるようにしているという。
実行委員の岡田 良太郎 氏(アスタリスク・リサーチ/OWASP Japan)は、今のセキュリティの報道や議論では、「なぜやられてしまったか」が盛んに語られ、「ああいうことがあってはならない」という「べからず集」になっていると指摘した。「それももちろん大事ですが、セキュリティとは他者に邪魔されない自由な業務環境を作ること、不安がない状態を作ることのはずです。やってはいけないことをやらない、ことの寄せ集めであるのはおかしいんですよ」(岡田氏)
現状では「なぜやられたか」ばかりが議論の的となり、「うちはこうやって守れています」とは声高にいいにくい。このため、守る技術、守る知見の共有も、ベンダーのビジネスモデルに沿うものしか語られず、「こうすれば効果的に守れます」といった事柄の共有は進んでいない。
そこでハードニングでは、実際にさまざまな形で守りに取り組んだ結果得られた学びについて発表することで、「そうやって守ればよかったのか」という知見を共有できるように設計した。攻撃ありきの防御が本質ではないことに気付き、「安全で安心できる環境を作る」ことにフォーカスしたエンジニアリングに日の目を当てていくための、無形の装置ということになる。
門林氏も、演習も一種の装置であるとした。そして「演習環境に実際の問題を引き写すことで、一般的な会社ではやらせてもらえないような仕事、たとえばゼロベースで組織体制を再構築したり、コミュニケーションの方法を変えていくといったことを、若い人たちが自分で工夫しながらやっていくことができます」とした。
さらに、ハードニングでの成功体験を会社に少しずつ持ち帰ることでフィードバックが働いていくという。「ハードニングは現実の映し鏡であると同時に、現実に対する映し鏡でもあります」
現に、岡田氏によると、ハードニングの経験を経て、実際のインシデントでも冷静に対応できるようになったといった具合に「変化」するケースも多いという。それは攻撃者に対する想像力がたくましくなったからではなく、技術だけでなくコミュニケーションや意思決定のあり方も含め「どうやって安全領域、安全圏を作るのか」についてリテラシーを高めることができたからだとした。
ハードニングには他にもいろいろなデザインが込められている。たとえば「いくら優秀な人を集め、準備してきても、思うように手が動かない」「勉強してきたのに面白いようにやられてしまう」という体験を通して、痛い目を見るという貴重な経験をするデザインでもあり、「自分たちはこんな風にやって成功し、失敗した」という取り組みを言語化し、一日かけてナラティブを共有することにも価値を見出すデザインにもなっている。
このように守る側の研鑽につながるという意味で、CTF とも異なる。失敗し、その経験を糧に何かにつなげていくこと、それ自体がハードニングという取り組みであり、得がたい取り組みと言えるだろう。
「競技時間中に WAF でこんなツールの攻撃を止めました」といった事柄は一部に過ぎない。全体としてどのように意思決定を行ったのかも含め、「振り返り、説明できるようにするには、記録の取り方も大事になります。その体験をいかにしてうまく言葉にしたり、整理して論理的に考えるかも守る力だと思うんですよ」(門林氏)
セキュリティ関連の記事を執筆していると、これだけ多くの人が守るための努力を重ねているにもかかわらず「攻撃と防御はいたちごっこ」「攻撃者は常に守る側の先を行く」といった常套句を使うことになり、忸怩たる思いをするケースが少なくない。その状況を少しでも変えていく取り組みとして、今後も Harening Project の取り組みに注目したい。
なお、この記事を読んでハードニング競技会に興味を持った人には朗報として、2023 年 10 月に「Hardening 2023 Generatives」が開催される。詳細や応募要項は公式サイト https://wasforum.jp/hardening-project/hardening-2023-generatives/ に記されているため、ぜひチャレンジしてみてはどうだろうか。
