サイバー攻撃から“ビジネスを衛る”ために！ハードニング競技会 Hardening 2023 Generatives

「Hardening Project」とは

サイバーセキュリティの実践力向上を目的とした「ハードニング競技会」を実施するプロジェクト。
産官学界から集まったボランティアで構成されています。

ハードニング競技会とは

技術者と非技術者がチームを組み、熾烈なサイバー攻撃から「衛る」チカラを、全国から集まる他チームと競うイベントです。技術知識やテクニックのみならず、経営判断なども加味して「ビジネス」を衛り、他チームよりも成果を収めるミッションがあるため、効果的かつスピーディに対応するにあたり、衛りの優劣が可視化されることがユニークな点です。 ※ 出典：「2022年度グッドデザイン賞」受賞プレスリリース

事前情報

競技背景

競技会では、チームは一つの企業です。ECサイト事業を展開しているという設定で、競技に必要な事業の詳細や扱っている商品、取引先などが細かく設定されています。

競技環境

競技は、バーチャル環境で実施されるため、仮想のネットワーク環境を使用します。競技参加者が競技背景や競技環境への接続方法やシステム構成図を見ることができるのは、本番前日に公開される「参加者配布資料」です。競技背景も同じ資料に掲載されます。

MP（マーケットプレイス）

実際にインシデントが発生した際には、SIerやセキュリティのコンサルタントに協力を要請したり、セキュリティ対策製品を活用します。そこで、ハードニング競技会中もそれらを適切に活用してインシデントを解決するスキルを磨くため、「参加者配布資料」に記載された各チームの保有予算の中から、MP参加企業が提供している製品やサービスを購入することが可能です。スポンサー企業にとって、実際にサイバー攻撃が行われている現場で、製品やサービスがどのくらい役立つのか、また自社の社員のサポート力を試すことのできるまたとない機会です。そのため、強制されているわけではないにもかかわらず、スポンサー各社がMPに参加しています。

参加するためには、選考を通過しなければならない

実際の攻撃を体験し防御力を競うだけでなく、ビジネスの継続力も試されるハードニング競技会は、個人の能力だけでなく、チームワークが試される場です。実際に被害を受ける以外にこのような経験ができる機会は限られているため、参加希望者が年々増加しています。そのため、選考を通過するためには、申込時に参加に当たっての意気込みのアピールが必須です。2023年は、90名が実行委員の方々による選考を通過。1チーム9人体制の10チームが技術とチームワークを競いました。セキュリティ担当者だけでなく、マーケティングや広報担当の方など、競技参加者の職種はバラエティーに富んでいます。次回の申し込み情報が気になる方は、Xで「Hardening Project」と検索してみてください。例年、7月ごろに公開されています。

SKYSEA Client Viewを
競技会で使えるサービスとしてエントリー

当初は、競技参加者の皆さまを陰ながら応援する立場で参加する予定でした。 ところが、実行委員のお一人、株式会社川口設計の川口氏から「Ｓｋｙさん、当然MP参加しますよね」のひと言が。 ん？ MP? そういえば、スポンサー向けの資料には、競技会に自社の製品やサービスを提供できると書いてあったような。

というやりとりが何度かあった後、関係者と相談しMPに参加することを決めました。現地での対応は、お客様に対してSKYSEA Client Viewの技術的なサポートを提供している2名が担当することに。 しかし、この時点ではまだ知らなかったのです。 MPは気軽に参加できるものではないことを……。

─ 準備期間 ─作戦を練るだけでなく、“チームワーク”を育む

広報や営業、学生まで幅広い参加者との交流も魅力

選考から競技本番までの実質の準備期間は、1か月半足らず。この間に、各チームは実行委員から提示されているコミュニケーションツール「Discord」をはじめ、各種オンライン会議ツールなどを使用してコミュニケーションを図ります。週1で実施される定例ミーティングでは、情報共有や役割分担、競技会当日運営するECサイトの内容の確認、手順書の作成、競技会当日の作業効率化のため仮想環境を構築するなど、やることは盛りだくさんです。

このミーティングの場を仕切ってくれるのが、各チームに配属された競技会経験者。過去の経験を生かしたアドバイスや、事前に読んでおくと役立つ参考資料の共有などが行われます。本番までに何度もミーティングを実施してコミュニケーションを重ねた結果、競技会当日にはどのチームもすっかり一体感が醸成されていました。

資料作成や競技用の各種準備など、MP参加企業も準備がいろいろと

MP参加企業にも事前の準備が課せられます。まず、競技会参加チームに製品やサービスを選んでいただくために必須なのがアピールです。

また、競技会の環境や仕組みを理解しなければ、何をどう準備すればいいかわかりません。ところが、本番を担当するサポート担当者が多忙過ぎるため、エンジニアではない普段はライターの本記事執筆者「私」が把握して関係者に展開することに。仮想環境やネットワークの知識が乏しく、わからないことだらけで、MP関係を担当されている実行委員、株式会社FFRIセキュリティの中西氏には何度も質問＆弱音を吐きまくる日々でした。この準備期間に、MPはスポンサーの実力も試される場だと気づきました……。

─ 競技会本番 ─“ビジネス継続”のための防御とインシデント対応

SKYSEA Client View購入チームは現れたのか？

何と、2チームが購入してくださいました。この感謝の気持ちは一生忘れることはないと思います。この場をお借りして「腸とっきゅう」「チーム名は「ないん」です。」の2チームの皆さん、ありがとうございました！

攻撃を防御できても、売り上げを伸ばさなければ上位には入れない

通常のセキュリティ競技会であれば、防御力だけがスコア対象です。しかし、ビジネスの継続を重視しているハードニング競技会では、攻撃の防御だけに注力してもスコアは伸びません。BtoC（Business to Consumer）ショップやサブスクリプションの売り上げと、BtoB（Business to Business）の請求書処理が結果を大きく左右します。

2023年は、どのような攻撃が行われていたのか

上場企業の決算報告が遅れる原因になったランサムウェア攻撃

近年、ランサムウェアに感染して財務会計システムが使用できなくなり、決算発表を延期する大手企業が増えています。そこで、ハードニング競技会でも財務会計システムへの攻撃が行われました。ランサムウェア対策といえばバックアップです。もちろん競技会でもバックアップデータがフル活用されました。あらためてバックアップの重要性を実感。

セキュリティインシデント報告書を参考にした攻撃

『政策研究大学院大学の情報システムに対する不正アクセスの調査報告書』に書かれた攻撃も行われました。このインシデント報告書の内容は、10年近く長期潜伏している攻撃者、脆弱性の放置、情報システムの企画・運営の軽視等々、組織でのあるあるネタが満載です。情報システム部門の方にとって、共感できたり参考になる情報が数多く掲載されていますので、ぜひ一度ご覧になることをお勧めします。

その他

フィッシングやDDOS攻撃など、近年、企業・組織が被害を受けている攻撃はひととおり投下されました。しかし、トラブルはサイバー攻撃だけではありません。誤ってパスワードを初期化してしまい、サーバーにアクセスできなくなるなどの「自滅」と呼ばれる自分たちが起こすミス。実はサイバー攻撃よりもミスに苦しめられるチームが多いようです。不要な管理者権限の削除や、古いバージョンのプロトコルが使われないようにグループポリシーの設定を変更したり、脆弱性対策のためのパッチ適用など、日頃から行っている基本的な対応でもミスは発生します。

インシデント対応以外に課せられる21個のミッション

競技会で対応するのは、インシデントと見積もり処理だけではありません。「在庫管理会社との通信を常に保持」「Webサイトの画像更新」など、21個ものミッションをこなしていきます。中には、チーム全員で写真を撮って送るというほほ笑ましいミッションもありました。

個人情報を漏洩させたら役員への説明も

サイバー攻撃を受けた企業は、経営陣など意思決定者や、親会社などに社内でもしっかり説明して理解を促す必要に迫られます。そのため、今回のハードニング競技会でもランサムウェアに感染して個人情報がWebサイトで公開されてしまったチームには、「役員会議」での説明を求められる場面がありました。さまざまな「担当役員」から、具体的なヒアリングや今後の対応について鋭い質問が次々に投げかけられていましたが、それもそのハズ。質問していたのは、実際に経営に携わられている皆さまです。そして、個人情報を漏洩させてしまったチームは、監督官庁や警察への報告も必要です。これも競技会で経験しておけば、万が一の際に役立ちます。時間の関係ですべてのチームが呼び出されるわけではありませんが、役員への説明中もインシデント対応は続いていますので、呼び出されることを想定して事前に役割を分担しておくことが重要です。

残念ながら、SKYSEA Client View活躍の場を見落とす

SKYSEA Client Viewサポート担当者の普段の業務は、お客様からのお問い合わせ対応やトラブル対応です。しかし、ハードニング競技会で求められたのは、ログを監視して怪しい動きにいち早く気づき、SKYSEA Client View購入チームへ適切にアドバイスすること。普段とはまったく異なる役割に、競技開始から数時間はログを見ても通常の動きなのかサイバー攻撃によるものなのかがつかめませんでした。やっとコツをつかんでも、次々と襲ってくる攻撃や自滅によって殺気立っている競技会参加者に、どのタイミングで声を掛けていいのか戸惑うばかり。そこで、Discordからメッセージを送ったのですが、メッセージに気づいてもらうまでにタイムラグが発生してしまいます。

そして、ほとんどお役に立てないまま、あっという間に時間は過ぎ、競技会は終了しました……。

---

ハードニング競技会に参加して得た学び

インシデント対応に重要なコミュニケーション

実行委員からの解説の中で、川口氏は「ハードニング競技会は、8時間で衛りを変えるテストではない」「ゴールに最も近い選択肢は何か？ もし答えを持っているとしたら？」「それはほかのチームです。ぜひ交流を」と呼びかけられました。確かに各チームの発表を聞いていると、ほぼ同じ攻撃を受けているにもかかわらず、対応や結果がまったく同じチームはなかったと思います。相互に意見を交わせば、さらに知見が広がるのは間違いありません。

また、コミュニケーションはMP参加企業にとっても大事です。競技会終了後、SKYSEA Client View購入チームのリーダーと話をすることができたのですが「競技会中、声を掛けるタイミングがわかりませんでした」と伝えたところ、「気にせずいつでも話しかけてください」との返答が。もっと早くコミュニケーションを取っていればと後悔しました……。コミュニケーション力がなければ、インシデント対応はスムーズに行えません。次回はもっと積極的にコミュニケーションを取り、SKYSEA Client Viewを選んでくださったチームのお役に立てるよう頑張ります！

発表・表彰【Softening Day】の模様は、YouTubeで公開されています

発表・表彰が行われるSoftening Dayでは、競技参加者が得た学びや感想を聞くことができました。情報システム部門の皆さまにとって参考になる情報だと思いますので、ぜひ当日の様子をYouTubeでご覧ください。

発表・表彰【Softening Day】の模様はこちら