2026.01.26
これまで本誌でたびたびご紹介してきたHardening Project主催の「ハードニング競技会」。2025年度もSky株式会社はスポンサーとして活動をお手伝いさせていただき、競技中に自社商品を提供するMP(マーケットプレイス)として参加したほか、競技者としても弊社の情報システム部から2名が参戦しました。そして、今回は本誌の制作に携わっているライターも現地で初の生観戦! 第三者として熱戦を見届けた観戦レポートをお届けします。
「Hardening Project」とは
サイバーセキュリティの実践力向上を目的とした「ハードニング競技会」を実施するプロジェクト。
産官学界から集まったボランティアで構成されています。
ハードニング競技会について
技術者と非技術者がチームを組み、熾烈なサイバー攻撃から「衛る」チカラを、全国から集まる他のチームと競うイベントです。技術知識やテクニックのみならず、経営判断なども加味して「ビジネス」を衛り、他チームよりも成果を収めるミッションがあるため、効果的かつスピーディに対応するにあたり、衛りの優劣が可視化されることがユニークな点です。
※ 出典:「2022年度グッドデザイン賞」受賞プレスリリース
Hardening Project公式Xアカウント @WASForum
数字でチェック! レポートをより楽しむための事前情報をチェック!
本番当日のレポートをより楽しんでいただくために、まずはハードニング競技会の基本情報や今回の注目ポイントをご紹介します!
「kuromame6」と8時間の攻防! セキュリティを強化して“ビジネス”を衛れ
競技はチーム戦。各チームはそれぞれECサイト事業を展開している企業という設定です。競技用の仮想環境に構築されたシステムを運用し、商品の仕入れや販売を行うことで売上を伸ばしていきます。そのビジネスを邪魔してくるのが、実行委員会の「kuromame6」と呼ばれるチーム。「kuromame6」は各チームのシステムに次々とサイバー攻撃を仕掛けてくるので、競技者たちはECサイトを安定稼働させるため、セキュリティの堅牢化やインシデントへの対応をしなければいけません。競技時間は脅威の8時間! ビジネスの継続をめぐる攻防を繰り返し、時には対応の善し悪しによって加点や減点もされながら、最終的に最も売上の多かったチームが勝利となります。
競技者の約9割が初参戦!
競技会へ参加するには、申し込み後に実行委員会による選考を通過する必要があります。今大会では101名が選考を通過し、そのうち90名が初参加! これまで、初参加者は全体の3分の2程度というのが通例でしたが、一人でも多くの人に競技を経験してほしいという実行委員会の思いから、このような割合になったそうです。つまり、初心者大歓迎ということですね。サポート体制も万全で、実行委員会が任命した9名の「相談員」が中立的な立場で各チームの相談や悩みに応えてくれます。中には、競技会に4回以上参加している猛者もおり、非常に心強い味方です。「参加したいけど、初めてでも楽しめるのか不安……」という、そこのあなた! 気負いしすぎず、次の大会に申し込んでみてはいかがでしょうか。例年、7月ごろに募集が始まるので、気になる方はHardening Project公式Xアカウントをフォローしましょう。
今回からの新要素! 全12チームで協力し、親会社のシステムを監視
ハードニング競技会では、時勢を意識した新しい要素が毎回導入されます。今回は「競技者全員が親会社から子会社に出向している社員」という設定の下、参加する全12チームで協力しながら親会社のシステム運用を行う新ルールが追加されました。子会社の防御を固めても、親会社が攻撃を受けたら元も子もない! ……ということで、競技者たちは自チームのセキュリティ強化と売上向上に注力しつつ、親会社のシステムも監視しなければいけません。
競技会当日!緊迫の熱戦! 数多のインシデントが競技者を苦しめる
さて、ここからは競技会当日のレポートです! 各チーム、この日までに打ち合わせや模擬演習を入念に重ねてきたようで、熱気と緊張が渦巻く独特な雰囲気の中で競技がスタート。そして「kuromame6」が怒濤のサイバー攻撃を開始すると、会場は一気に慌ただしくなりました……。
個人情報が漏洩! 関係各所への報告にも悪戦苦闘
競技環境では当初、アクセス制限の不備により全チームで注文履歴が外部から閲覧可能な状態となっていました。「個人情報が漏洩しているのでは?」という問い合わせのメールが実行委員会から各チームへ送られたこともあり、5チームほどがこの問題を解決していました。しかし、セキュリティ対策だけでは終わらないのがこの競技会! 情報漏洩があった場合は、実際の企業と同様に関係各所への報告もしなければいけません。皆さん、個人情報保護委員会などに提出する報告書の作成に悪戦苦闘していました。中には「実際に似たような事案を経験したことがあり、迅速に対応できました」と語る猛者もいましたが……。
コーポレートサイトを改ざんされ、見知らぬ写真の表示が……
さまざまなインシデント対応に追われていた競技者たちをあざ笑うように仕掛けられたのが、Webサイトの改ざんです。各チームのコーポレートサイトに「kuromame6」メンバーの集合写真が表示されるという、企業からすると屈辱的な攻撃内容でした。手口はPUTメソッドの悪用で、多くのチームが被害を受けたようです。最近はあまり見られない手法ではありますが、PUTメソッドを無効にするなど、基本的な設定を見直すことの重要性を競技者たちは再認識していました。
ダンプファイルに注意! 金銭を要求する脅迫
異常が起きたときなどに備えてシステムの情報を保存しておくダンプファイルが、外部からアクセス可能な状態になっているというインシデントが各チームで発生。対処できなかったチームは「kuromame6」に脅迫され、金銭を要求されていました。現実でも、2017年に国内の多数のWebサイトでダンプファイルが外部から閲覧可能な状態であることが発覚し、一般社団法人JPCERTコーディネーションセンターが注意を呼びかけたことがあります。こうした非常にリアルなセキュリティインシデントを実際に体験できるのも、ハードニング競技会の魅力です。
最大の敵は自分たち!? 競技会恒例の「自爆」
ここまで紹介した以外にも、ランサムウェアによるファイル暗号化など、さまざまな攻撃が仕掛けられていました。しかし、競技者たちに降りかかるインシデントは攻撃によるものだけではありません。むしろ、サイバー攻撃以上に大きな混乱を招いていたのが、自分たちのミスによって起こるトラブル、通称「自爆」です。時間に追われながらさまざまなタスクをこなさなければならないため、日頃から行っている初歩的な作業であってもミスが起きてしまうようです。焦りは禁物!
今大会で発生した「自爆」例
衛るだけでは勝てない! 試される「ビジネス」力
セキュリティの堅牢化技術を競う大会でありながら、勝敗は売上で決まります。これは、大手飲料メーカーや通販サイトを運営する大手企業が相次いでランサムウェア攻撃に遭い、長期にわたって業務が停止する事態となったことからもわかるように、セキュリティ技術を磨く最大の目的は「ビジネスを継続する」ことにあるからです。普段はエンジニアとして働く競技者が多いこともあり、慣れないビジネス判断に頭を悩ます姿が散見されました。
時事要素も導入! アルコール飲料の出荷停止で深刻な在庫不足に
商品の中で、アルコール飲料の販売価格が特に高く設定されていました。当然、アルコール飲料を大量に売るほど勝利に近づけるわけですが、そう簡単にはいきません。競技開始早々、サイバー攻撃が原因でアルコール飲料の生産と出荷が停止するという、時事ネタを取り入れたイベントが発生し、すぐに仕入れるのが困難になりました。中には、イベント発生直後に商品の買い占めに走ったチームもあり、序盤からいきなり経営力が試される展開となりました。
負担は大きいけれど……放置するわけにはいかない親会社のシステム
新要素として導入された、競技者全員で親会社のシステムを運用するルール。親会社のシステムは各チームのテーブルから少し離れた場所にある専用PCでしか作業できないため、作業者はその間、自チームの業務に当たることが難しくなります。しかも、このルールが発表されたのは本番前日! 作業分担も競技者の自主性に任されていたため、自ら名乗りをあげた数チームが協力して対応していました。競技に勝つことだけを考えれば自チームの作業に専念するというのも一つの手ですが、現実では子会社が攻撃を受けて親会社へ展開されるという最悪のケースも考えられるため、システムを監視する人が誰もいないという状況は避けなければいけません。ホールディングスの重要性をしっかり認識して対応した各チームには、“ファインプレー”としてポイントが加点されていました。
対応の甘さを厳しく追及される経営会議
各チーム対応必須のイベントとして「経営会議」があります。これは、企業の役員に扮した実行委員と相談員に対し、現在の売上や売上見込み、インシデントの対応状況などを説明するものです。ただの「ごっこ遊び」と侮るなかれ。報告内容に不備があれば、するどく厳しい指摘をこれでもかと浴びせられます。慌ただしくインシデント対応に追われているなか、チームが置かれている状況を冷静に分析し、他者にわかりやすく伝えるのは至難の業です。でも、一度このような経験をしておけば、実際の業務で経営者に報告する機会があっても落ち着いて対処できるハズです!
SKYSEA Client Viewも奮闘しました!
この競技会には、スポンサー企業が参加できるMP(マーケットプレイス)と呼ばれる制度があります。MPはセキュリティ強化を支援するさまざまな製品やサービスを販売でき、各チームが売上金から代金を支払って購入します。今回、Sky株式会社もMPとしてSKYSEA Client Viewを1チームに提供! 弊社のカスタマーサポート部の社員3人がログをリアルタイムに監視し、必要に応じてしっかりと対処させていただきました。
SKYSEA Client Viewの活躍を一部ご紹介!
❶ 不審な外部サーバーとの通信を速やかに把握!
通常作業では使用が想定されない外部サーバーとの通信をログとして取得できる「想定外TCP通信」ログから、攻撃者のサーバーへ定期的に通信を行う不審な実行ファイルを発見! 「デスクトップアプリケーション」アラートでexeを指定し、実行を禁止しました。
❷ ハッシュ値を基に危険な実行ファイルをブロック!
❶と似たような実行ファイルを発見。ファイル名は正規のexeファイルと同じで巧妙に偽装されていましたが、ハッシュ値が❶のものと一致! ……ということで、今度はハッシュ値によるアラートでブロックしました。
❸ 攻撃者によるファイル作成の形跡をログでキャッチ!
PowerShellスクリプトによってWebサーバーにHTMLファイルが生成・配置された形跡がログにばっちり残っていました! 競技終了後のインシデント調査にお役立ていただきました。
結果発表! ハードニング競技会で得られる「学び」と「仲間」
8時間にわたるハードニング競技会もついに決着! 優勝したのはThe Golden Applesの皆さんでした。売上額は2位と僅差でしたが、請求処理をしっかり行ったことが勝利につながったようで、最後はビジネス面でのきめ細かな対応が命運を分ける結果となりました。競技会の終わりにはチームの垣根を越えてお互いの健闘をたたえ合う姿も見られ、参加者同士の絆が深まっているのを感じました。
Invisible Divide=見えざる分断とは?
今回の競技会のテーマだった「見えざる分断」。実行委員の淵上氏は「本社勤務とリモートワーク、親会社と子会社といった“外形的な分断”だけでなく、一人ひとりの意識の中に『セキュリティ』と『ビジネス』を切り離してしまう“見えざる分断”が存在する」「『エンジニアだからビジネスには興味がない』と拒絶するのではなく、専門領域以外のことも積極的に学び、自分の中にある分断と戦ってほしい」と呼びかけました。サイバー攻撃によって業務に大きな支障を来す企業が相次いでいることもあり、あらためてセキュリティについて学ぶことの意義を考えさせられる言葉でした。
Webサイトで奮闘記を公開してます!
初参戦したSky情シス社員、結果はいかに!?
競技者として初参加した、弊社の情報システム部社員による奮闘記もWebサイトで公開しています! 事前準備から競技会当日までさまざまな苦労や学びがあったようです。ここでは、その内容をちょこっとだけお見せします!
果たして、チームの結果は!?事前準備として取り組んだあれこれや、競技中の具体的な動きなど、競技会への参加を検討している方にはうれしい情報をたくさんご紹介しています。こちらもぜひ、ご覧ください。
※写真提供:Hardening Project
(「SKYSEA Client View NEWS vol.106」 2026年1月掲載 / 2025年10月取材)