富士ソフトでセキュリティ研究に従事する原悟史です。2018年7月6日~7日にかけて沖縄の宮古島で開催された情報セキュリティの競技「Hardening II Collective」に、当社から私と、私と同じくセキュリティ研究に従事する水戸部の2人がそれぞれ別チームで出場しました。本コラムでは2回にわたり、私と水戸部それぞれのハードニングにおける取り組みをご紹介します。次回は水戸部が「Hardening II Collective」の参加レポートをお届けするのでお楽しみに。
ハードニング(Hardening)とは?
ハードニング(Hardening)とは、WASForum(Web Application Security Forum)が主催する情報セキュリティ競技のこと。会社に見立てたチームごとの、ECサイトの売り上げとインシデント対応能力を競うもので、2018年で12回目の開催となりました。
競技内で各チームに求められるのは、情報セキュリティインシデント発生時の対応。脆弱性のあるECサイトを運営し、数多くのサイバー攻撃を受ける中で、システムの安定稼働を図る、というものです。例えば、ネットワークやwebサーバーの堅牢化にとどまらず、インシデント発生時の広報・親会社との連携や、IPAやJPCERTなどの公的機関との連携、費用対効果を考えたセキュリティ製品導入や販売システムが安定しない中での仕入れの判断など…。チームに求められるスキルは多岐にわたります。
参加者は技術系の社会人・学生はもちろんのこと、営業・法務・経営等の技術以外の面でセキュリティに関わっている方もいます。開催の約1ヵ月半前にチーム分けが発表されるのですが、競技までの間に対面/オンラインでのミーティングを重ね、各自で事前準備や勉強をして当日に臨みます。
今回、各チームの人数は11人。チームの中で以下の4つの役割に分かれることとなり、私はCEOを務めました。
(1) CEO
(2) 経営企画部門:事業戦略、人事、社内システムの管理
(3) 営業統括部門:購買、顧客対応
(4) 技術部門:運営サービスの運用管理
※本コラムでの説明上、ハードニング競技中の名称と一部変更しています
いざ本番、『たらいまわし事件』発生!
いざ、競技当日。チーム内は同じネットワークに接続されているものの、座席は役割ごとに離れていました。
さっそく各部門では、前夜に配布された資料をもとに、あらかじめ決めておいた作業に着手します。最初のうちは順調に進み、CEOへの報告もスムーズに上がってきますが、攻撃が始まるとそうはいきません。各部門は「予定していた作業(=将来の攻撃に対する備え)」と「目の前の攻撃に対する対応」をどのような力加減で進めるかの判断に迫られます。メンバーそれぞれがキャパオーバーの状態で、部門間の「報告」「連絡」「相談」が次第に取れなくなっていきます。
目まぐるしい対応の中で数々の問題が発生したのですが、ここでは我がチーム最大の事件「たらいまわし事件」をご紹介します。
競技中に、とある[サーバーA]がランサムウェアの被害を受けた時のこと。まず、"技術部門"がランサムウェア復旧サービスの利用を要望し、"経営企画部門"と"CEO"の承認のもと、"営業統括部門"から発注しました。つまり、この時点でチーム内全員『[サーバーA]をランサムウェアの被害から復旧したい』という目的を共有していました。
しかし、いざ復旧サービスのサービス員が到着した時に、事件は起こりました。復旧する[サーバーA]は"技術部門"が管轄するため、当然、サービス員は"技術部門"を訪問します。しかし、"技術部門"では、発注責任者である"営業統括部門"へ確認に向かいます。"営業統括部門"は独断で"技術部門"へ差し戻してよいか分からず、"経営企画部門"そして"CEO"の判断を仰ぎます。そして、CEOの私は、サービス員を連れて対応現場である"技術部門"へ向かいます。ということで、見事な(?)たらいまわしを1周完成させてしまいました。サービス員に迷惑をかけてしまったことは当然のこと、インシデントの対応速度の面でも、大きな後れをとってしまいました(当然、大きな減点だったようです)。
余談ですが、我々の利用した復旧サービスは実は犯人役が提供していたもので、犯人にお金を渡してしまう結果となりました。競技終了後に判明したことですが、こちらも冷静に情報を集めていれば、気付けた内容でした。
セキュリティインシデントへの備えは万全ですか?
社会人経験が長く、セキュリティインシデント対応に精通したメンバーが集まり、かつ直前に目的が共有されていたにも関わらず、なぜこのような予想外の行動を取ってしまうのでしょうか。
極限の状態で対応を行うと、身も心も守りの姿勢に入ってしまいます。このような状況で、判断を誤ってしまったり、自身で判断すべき事象であっても他人に判断を委ねてしまったり…というような経験、みなさまも心当たりがあるのではないでしょうか。現に、当日夜にチームで反省会を行った際、なぜこのような対応をしてしまったのか、全員で首をひねってしまいました。
米国の国立標準技術研究所(NIST)が提唱するセキュリティフレームワークは、大きく「特定」「防御」「検知」「対応」「復旧」の5つの要素に分類されます。攻撃を受けないための「防御」や、攻撃を受けているかの「検知」への意識は高く、多くの組織で対策を行っているでしょう。では、攻撃を受けた際の「対応」「復旧」への準備はいかがでしょうか?
インシデント発生時は想定外のことが数多く発生します。そのような状況で、冷静に行動できるのか、事前に用意したマニュアル通りに動けるのか、マニュアル化できない事象に直面した時に、適切な判断を行えるのか。訓練をしないと気付けないことが数多くあります。また、通常の業務とは違う立場で訓練を受けることも重要です。別の立場でインシデントを経験することにより、インシデント発生時の自身の役割に客観的に気付くことができます。
今年も間もなく防災の日を迎えます。多くの組織で防災訓練を実施するのではないでしょうか。災害への備えが必要なのは、情報セキュリティも同じです。そろそろ、情報セキュリティの防災訓練を始めませんか?
富士ソフトのセキュリティソリューションについて、詳しくはこちら
セキュリティソリューション