仮想空間で実際のインシデント対応を体験できる「Hardening競技会」を運営する「Hardening Project」。その創設メンバーの一人である川口氏に、創設の経緯やポイントを伺いました。

セキュリティ対策に必要なのは“ビジネスとの両立”という視点

このプロジェクトを立ち上げる発端となったのは、奈良先端科学技術大学院大学・門林雄基教授の「これだけセキュリティ関連製品が充実しているのに、なぜインシデントが後を絶たないのか？」という問題提起でした。それをきっかけに、セキュリティ関連の仕事をしているメンバーのなかで「現状のサイバー攻撃対策には製品やサービス以外に何か足りないものがあるのではないか」という議論が広がったんです。

そこで浮上したのが、“ビジネスとセキュリティ”というキーワード。企業におけるセキュリティ対策は事業との両立が大前提ですから、インシデント対応にもさまざまな制約があります。それを競技形式で実際に体験し、インシデント発生時の対応に生かしてほしいとの思いから、2011年に「Hardening Project」を創設。

当時すでに競技形式のサイバー攻撃演習は行われていましたが、ビジネスの成功を前提としたものはありませんでした。そこで、「ビジネスを最大化させる衛り」に焦点を当てた「Hardening競技会」を2012年に初めて開催しました。

売り上げを指標に最善の選択肢を探す8時間

「Hardening競技会」の基本的な流れはとてもシンプルで、仮想空間に構築された自チームのECサイトをサイバー攻撃から衛り、最終的な売り上げを競います。インシデント対応の演習なのに「売り上げ」を指標としているのは、ITエンジニアとしての技術力向上に加えて、ビジネスの最大化も重視しているからです。参加者だけでなく見ている人にもわかりやすい競技にするため、システムの稼働状況が売り上げに直結するECサイトを舞台にしました。

また、本来インシデント発生時にはシステム運用以外にもさまざまな対応が必要です。従って、競技会でもリアルを追求し、顧客から届く問い合わせメールへの対応や、情報漏洩が発生した際の記者会見など、多様な業務に取り組んでもらいます。限られた人員をどう配分するかも、チームで考えるべき重要な戦略です。

さらに、競技会は「テスト」ではないというのもポイントの一つ。ビジネスには明確な答えがないケースも多く、その都度、最も正解に近い選択肢を探すことが重要です。よって、インシデント対応でもテストのように100点を目指すのではなく、より適した手段や行動を探す姿勢が大切だと考えています。

競技会で得た経験値が自社の事業を支える

普段のシステム運用では「事故が起こらないように」と細心の注意を払っていると思います。そのため、大規模なトラブルは起こりにくく、事故が起きたときに何をすべきか実地的に学ぶ機会は多くありません。

だからこそ「Hardening競技会」では、仮想空間に構築されたシステムを使ってインシデント対応を体験し、経験値を積んでもらうことを重視しています。演習を通して身につく知識や経験はそれぞれの事業を衛ることにもつながると思うので、ぜひ多くの方に参加してもらいたいです。

川口氏とＳｋｙ株式会社 情報システム部のＭに、運営と参加者の両視点から「Hardening競技会」の意義や魅力について語ってもらいました。

広報や営業、学生まで幅広い参加者との交流も魅力

川口氏：Ｍさんは何度か競技会やイベントにご参加いただいていますが、初参加はいつ、どんなきっかけだったんですか？

Sky情シスM：2021年に初めて参加しました。上司に「何か強みや興味のある分野を1つ持っておいた方がいい」と言われていたので、まずは競技会でいろいろな経験をしてみようと思ったのがきっかけです。

川口氏：上司や同僚と一緒に参加されるパターンは確かに多いですね。自社のシステム運用を担っているベンダーさんと情シスの方がセットで参加されるケースもあります。中には「記者会見を体験してみたい」という理由で参加されるマーケティング担当の方も。最近では学生さんの参加も増えています。

Sky情シスM：5月に開催されたオンラインイベント「Hardening Designers Conference 2023」では、「Micro Hardening」という体験型演習プログラムに参加し、学生さん2人と同じチームになりました。幅広い世代や立場の方が参加されていますね。

演習で高い成績を残すカギは事前準備とチームワーク

川口氏：コロナ禍によりオンラインのみでの開催となった年もありましたが、2022年からは現地とオンラインのハイブリッド開催になりました。どちらも経験されているＭさんから見て、参加形式による違いはありましたか？

Sky情シスM：やはり、現地で顔を合わせて活動する方がコミュニケーションを取りやすいですね。オンラインは移動がないため気軽に参加できますが、誰かが話しているとほかの人たちは話せないので、複数の対応を手分けして同時に進めるのは難しいです。現地参加のときは、前日に集まって食事会をするなど、親交を深めることもできました。

川口氏：昨年の参加者を見ても、約9割の方が現地参加を選択しています。競技会では主催者側が職種などのバランスを見てチームを組むため、いつもと違うメンバーでインシデント対応をしなければなりません。だからこそ、チームワークを高めてしっかり準備しておくことが、結果に大きく影響するんです。
特にワークフローや手順書などを作成して事前に体制を整えておいたチームは、当日の立ち回りがスムーズですね。

Sky情シスM：「Hardening競技会」は仮想環境に接続してセキュリティ対策や復旧作業を行うので、想定していたワークフローや手順書に過不足がないかを実際に確認できるところが効果的ですよね。インシデント対応の“腕試し”ができる環境が整えられていると感じます。

知識やスキルだけでなく自信や成長につながる

川口氏：実際に競技会に参加されてみて、学んだことや得たものはありますか？

Sky情シスM：セキュリティに関する知識やスキルはもちろん、8時間の演習を通して自信がついたように思います。競技会では次々と対応すべきことが発生するため体力的にもハードですが、それを乗り切ったことで「普段の業務や資格の勉強ももっと頑張ってみよう」という気持ちになれました。

川口氏：参加者のなかには「演習に参加していた時間は忙しすぎて記憶が曖昧だ」と話す方もいらっしゃるほど、充実した時間になっているようです。いざというときに自社の事業を衛るため、そうした大規模なインシデント対応の経験を、普段の業務にも生かしていってもらえればと思います。

Sky情シスM：これまで複数回参加したことで、「前回は防げなかった攻撃に今回は対応できた！」と自身の成長を感じられた場面もありました。現在は、社内のほかのメンバーにも参加してもらうため、社内ＳＮＳなどを通じて演習の様子を紹介し、興味を持ってくれた人には声かけをするようにしています。
今後、「SKYSEA Client View」ユーザーの皆さんとも、競技会の会場でお会いできたらうれしいです。