ハードニング(Hardening)リアルなセキュリティ演習の全貌

 マカフィー株式会社セールスエンジニアの久保俊平です。
 昨年の2017年11⽉23⽇から25⽇にかけて淡路島夢舞台 にて開催された、⾮常にロックンロールなセキュリティ演習、「Hardening Project 2017 fes(ハードニングプロジェクトにせんじゅうななフェス)」に参加してきました。
 セキュリティの実践演習であるHardening(ハードニング)を体験することで、セキュリティ対策に対する意識が大きく変わります。3日間の演習で何が行われ、どんな体験ができたのか、そこにどのような気づきが起きるのか、セキュリティに関わる皆様に、実体験に沿ってお伝えします。


1.まずは結論から

 セキュリティに関わる全ての⼈に、Hardening(ハードニング)への参加を是⾮お勧めします︕
セキュリティを考え、実践し、向上させる為に、Hardeningはとても有効だからです。詳しくは、大会の内容と共にお伝えしていきます。


2.Hardening(ハードニング)概要

<開催概要>
・開催時期:2017年11月23日~2017年11月25日
 近年では、年2回のペースで、2日から3日にかけて開催されます。(3日間の開催は今回が初となります。)
・開催場所:兵庫県淡路市 淡路夢舞台国際会議場
 近年は沖縄県での開催が主でしたが、今回は淡路島での開催となりました。次回開催場所は未定です。
・参加資格:実務経験者やこれに関連する役割を志す方
 具体的には、ビジネスパーソン、技術者、チームマネジメント、脆弱性対応、ソフトウェア開発、品質管理、コミュニケーション対応、調達管理、システム運用、セキュリティインシデント対応、ウェブ構築、顧客対応など。技術者でない職種の方の参加も年々増加しており、歓迎しているとのことです。
・参加費用:無料(ただし競技大会中の飲食クーポン(合計10,000円)負担有り)
・主催者:WASForum Hardening Project

Hardeningの説明を、⼤会のサイトから抜粋します。
『Hardening競技は、基本的にチーム対抗で、託された問題のある脆弱なウェブサイト(例えばEコマースサイト)を、決められた⽐較的短い時間であらゆる⼿だてを尽くして堅牢化し、同時にビジネスとして売り上げなど成果が最⼤化するよう調整する⼒を競うものです。』
つまりチームで連携しつつ、IT環境を、ビジネスを、信頼を、そして社会を衛(まも)る⼒を競い、そして学ぶ⼤会と⾔えるでしょう。


3.Hardeningへの参加をお勧めする理由

3-1 実地を通した訓練である点

 この競技は、ビジネスを継続させながらセキュリティインシデントへも対応するという非常に実践的な形式で行われます。
 その準備や当日作業、インシデント対応はとても困難な事ですが、⼀度でもこういった経験を積んでおけば、結果がどうあれ、実際に対応に当たる際には強い拠り所となるでしょう。
(全チームの経験内容の一部を以下にまとめました。)

準備事項 当日対応事項
技術系 マネジメント系 インシデント
役割分担 ID管理 決断 誤発注
メンバーのスキル把握 死活監視 早起き 朝寝坊
実機による環境テスト 作業記録徹底 引継ぎ 情報漏洩
機器は正副2系統を準備 構成/変更管理 人事異動 通信誤検知
プライバシーポリシーの策定 ツールの自動化 在庫管理 高権限ID窃取
セキュリティ保護に必要な機器・サービスの選定 OS アップデート 報告書作成 経営幹部への説明
チームビルディングに必要なグループウェアの選定と設定 パスワードの変更 売り上げ予測 ランサムウェア感染
ミドルウェア設定 外部への情報発信 商品価格改ざん
バックアップの取得 チーム内での情報共有 不正割引クーポン発覚
ネットワーク通信分析 インシデントの優先付け SNMPバックドア
バックドア無効化 プライバシーポリシーの作成 通信過検知
サーバ通信の暗号(SSL/TLS)化 サイトのデザイン刷新 退職者のアカウント削除漏れ
価格調整 DNSサーバダウン

 インターネットに国境はありません。そこはメッセージを交換しあうコミュニケーションの場であると同時に、砲弾飛び交う戦場なのです。そのような環境下でITを駆使しビジネスを強くする方法を、上記のような対応を通して非常に実践的に、様々な形で学べます。
 また、この大会において、何かを試そうとしてどれだけ大きな失敗したとしても、それはゲームの中の話ですので、現実社会では一切影響がない上に、現実社会での対応の強い手がかりとなります。

3-2 ⾊々な職種の⽅が参加し、能⼒を試せる点

 もう⼀つの参加をお勧めする理由は、セキュリティインシデントへの対応を、様々な関わり⽅で体験できるからです。
 インシデント発生中に各種サーバ、システムやID管理、ネットワークなどの技術的な⾯だけでなく、広報、受発注、親会社への報告、警察等公共機関との連携、といったビジネスや社会との連携を実践しなければならない為、チームとして非常に広範なスキルが求められますが、エンジニアだけでは対応していく事はとても難しい為、エンジニア以外の方の参加は歓迎されます。
 なお、私は今回はCS/広報担当として参加しました。競技中では顧客メール対応を主にしましたが、平常業務であるメールによる技術サポート・提案・報告の経験が役に立ちました。

3-3 そんなにお金がかからない点

 参加費無料。飲食クーポンとして1万円。それ以外の移動・宿泊等は実費ですが、それだけです。
 通常、これだけの規模の演習を受けるとなると、少なくとも数十万円程度かかるものですが、それがこのコストで済むというのは破格と言えます。

3-4 仲間が増える点

 この大会を通して、競技者同士で、マーケットプレース提供者と、あるいは運営者との関係が築けます。その関係は、今後のビジネスのみならず、様々な面での助けとなるでしょう。
 ITやセキュリティと無縁でいられない現代社会において、これほど実践的で、いろんな力の試しどころがあり、かつコストパフォーマンスが高い大会はありません。
 是非、参加のご検討をお勧めいたします。

※競技会場の様子(あなたのチームを見守りタイ 様ご提供)


4.Hardening参加までの流れ

 さて、以降は、このHardeningへの参加についての⼀連の流れを書いていきます。

4-1 応募から参加までの流れについて

 チーム対抗の競技会ですが、応募に関しては個⼈で出しても⼤丈夫です。(私も個⼈で応募しました。)
会社単位の場合では、1チーム3⼈までの枠で、応募が可能でした。
 今回は応募の倍率が約2倍だったのですが、抽選に当たれば、メンバー通知のメールが⾃分を含むメンバー宛に来ます。なおそのメンバーは運営側によりランダムに振り分けられます。そのメンバー間でチームビルディングを⾏い競技に臨みます。今⼤会は、108名、16チームが参加しました。
 なお、私の参加チームは、Team#4「JST.onion」という名前ですが、⽇本の標準⼦午線(JST)に近く、⽟ねぎ(onion)の名産地である淡路島にちなんだものです。

4-2 チームビルディング

 各チームにおいて、最初はメールでのやりとりをしますが、そのうちSlackやGoogleDocs、Skype等のグループウェアで情報共有を図るのが⼀般的なようです。
 私のチームも含めて、「初めまして」から始まるチームがほとんどでしたが、オンライン・オフライン含めた情報共有や会合でチームの親睦、結束を⾼めていきます。

4-3 競技前⽇

 競技前⽇の18時過ぎに、⼤会の説明資料(※)が公表されますので、各チームでその読み合わせ等を⾏い、当⽇の作戦を練って夜が更けていきます。
 ※システム構成やID/パスワードやシナリオが記載されたもの。顧客からのメールには「顧客ファースト」で対応せよ、との記載がありました。


5.競技当日

 それではいよいよ競技当日の内容をご紹介していきます。

5-1 競技環境

 競技環境は、全て国⽴研究開発法⼈である情報通信研究機構(NICT︓エヌアイシーティー) の北陸研究所にある、StarBEDと呼ばれるテスト環境上に構築されています。ここに準備された各種サーバやPCに脆弱性が組み込まれているため、各チームはそこを堅牢化しつつビジネスを継続させていきます。

5-2 売り上げ

 WEBサーバ毎に商品(あなご、⽜⾁、しらす、そうめん、ねぎ、海苔、レタス等の淡路島特産品)が⽤意されており、そこに対して定期的に自動巡回プログラム(クローラ)が巡回してきます。
 クローラがアクセスすると売り上げが⽴つ、という仕組みになっていますが、サーバがダウンしていれば売れない、という事になります。売り上げを伸ばす為にも、サーバをダウンさせてはならず、またはダウンしたら素早く回復させる必要があり、その施策を実施しなくてはなりません。

※チーム毎の売り上げ状況を表⽰するパネル(なかもつ 様ご提供)

5-3 競技初⽇

 9時から18時までの9時間、競技が開催されます。
 9時前に会場に着き、準備されたチームのテーブルに⾏くと、電源ケーブルが⼀本、LANケーブルが⼀本⽤意されています。電源タップやハブ等は⾃分たちで準備せねばなりません。
 競技開始が宣⾔されると、各⾃が割り当てられた環境にある仮想のPCにアクセスし、そこから各サーバへアクセスします。最初の2時間程度で環境の把握やパスワード変更等の初期設定を⾏います。また、ファイアウォールの設定、脆弱性の確認と潰し込み等を進め、環境を徐々に堅牢化していきます。

5-4 MarketPlace

 競技開始後2時間経つと、MarketPlaceの利⽤が可能となります。
 MarketPlaceとは、スポンサーとして参加しているセキュリティ関連のベンダー各社が、競技チーム宛に⾃社製品・サービスを提供できる仕組みです。
 いまどきセキュリティ製品を何も導⼊せずに対応することは難しい事もあり導⼊された制度で、私のチームは、ホストIPSやPCへのセキュリティ製品、脆弱性対応サービス等を導⼊しました。
 なお、McAfeeもMaketPlaceとして参加しており、IPS製品を提供していました。

5-5 インシデント対応

 そういった対応をしていても、いろいろとインシデントは発⽣します。我がチームでは、以下のようなインシデント、および対応が発⽣しました。

・WEBサーバがランサムウェアに感染する
 ⇒バックアップを取りきる前に感染してしまった為、回復不能となったが、犯人からの身代金要求には応じず、MarketPlaceのサービス(500万円)を利⽤して回復しました。
・パスワードを窃取され、大画面に表示され読み上げられる。
 ⇒パスワードを⼿動で(震える⼿で)変更しました。

・親会社幹部からの呼び出しと状況説明
 ⇒個人情報が漏洩している旨がJPCERTから連絡され、経営幹部から呼び出しを喰らってその説明に追われます。(このイベントは、ある時点(複数回)で売り上げが1位のチームに対してなされたようで、我がチームは中盤まで売り上げが伸びなかった為、呼び出しイベントは有りませんでした。)

※盗まれたパスワードは、このように表⽰され読み上げられます。(N haru 様 ご提供)

こうした胃がきゅっとなるような、⼿が震えるような対応を経ることで、鍛えられていくのだなあと実感しました。

5-6 チームの売り上げ

 さて、我がチームは、中盤頃まで売り上げが伸び悩んでいたのですが、競技時間の中盤に完了したWEBサーバの通信暗号(SSL/TLS)化(※)と、後半に社運を賭けて発注した⾼額商品の「あなご」が当たり、終盤近くで売り上げをごぼう抜きに伸ばして⾏けました。
 あなごの発注は、当初から徹底した在庫管理・売り上げ予測を立てていたメンバーによる知見と、社長の決断によるものでした。
※クローラの設定として、競技後半にはSSL/TLS化したサーバに集中してアクセスするようになっていたようです。
 ところが、終盤10分で売上表⽰パネルは停⽌され、競技終了時点では各チームの売り上げや順位は伏せられた状態でした。
 そして、明⽇も競技が継続されます、という驚きのアナウンスがあり、もやもやした気持ちを抱えたまま、その⽇の競技は終了しました。

5-7 競技⼆⽇⽬

5-7-1 延長戦

 今⼤会で初の試みとしての延⻑戦が発表され、以下のアナウンスがなされました。
「社⻑を残して全員、隣のチームへ異動です。15分で引継ぎ資料を作ってください。さあ開始︕」

(Nharu様ご提供)
というわけで⼆⽇⽬は、隣のテーブルに移動して、隣の社⻑の⽅の配下で働く事になりました。私としては、前⽇にやっていたメール対応を、引き続き実施していました。延長戦は午前中の2時間で終了しました。

5-7-2 アンカンファレンス

昼食やドローンによる記念撮影の後、午後はアンカンファレンスが開催されました。これは、話したい内容を各⾃で付箋に書いて、運営側である程度グループ分けをし、そのグループごとにテーマについて話し合い、最後に発表する、というものです。
以下のようなテーマに分かれました。
・セキュリティ⼈材の育成について
・脆弱性対応(事前)⇒私が発表しました。
・脆弱性対応(事後)
・俺たちのハードニング構想
・MINI Hardening 全国制覇構想

(Nharu様ご提供)

 奈良先端科学技術大学院大学の⾨林雄基先⽣よりMINI Hardening全国制覇構想に対して、「同じ環境を毎回使いまわすのはロックじゃない。ロックは自由・信念・コミットメントだ」とのご指摘があり、なんとロックな精神を持つイベントなのだと実感した次第であります。
 そしてこの⽇の⼣刻が三⽇⽬の発表資料の送付期限であり、各チームは遅くまで資料作成を実施しました。

5-8 競技三⽇⽬

 競技三⽇⽬は、各チームごとの発表と、結果発表となります。なおその内容は、youtubeでもご覧になれます。

5-8-1 結果

今回、私の参加したチーム「JST.onion」は、売り上げ⼀位のグランプリ受賞、そして経済点⼀位、顧客点⼀位、という⼤変良い結果に終わることができました。
(経済点はマーケットプレイスを活用してゲーム環境の中の経済を活性化した点が評価されます。また顧客点は顧客からの問合せ等への対応が評価されます。)

また個別にファインプレーという以下の項目が評価されました。
 ①ランサムウェアを自力で解読&復旧
 ②問合せしまくるクローラ(顧客メール)にマメに対応
 ③他チームからの攻撃を検知
 ④勤怠報告を行った
 ⑤社歌を作ってきた

上記のうち、②、③、⑤は我がチームの評価で、うち②と⑤は私の対応内容でしたので、個人的にも良い結果で終われました。

5-8-2 講評と感想

 OWASP Japan chapter leader の岡田良太郎様からコンセプトアートの説明がありました。中でも印象深かった点は、海の波をイメージした、玉ねぎのような9層のレイヤが描かれていますが、これはネットワークのOSI7層と、それ以外にも様々なコミュニケーションの層があり、ビジネスを強くする為には技術だけではない事を意味するという事でした。だからこそ、エンジニア以外の職種の方もこの大会への参加が歓迎されるのだな、と思いました。

 今回の⼤会の講評において、KBC学園国際電子ビジネス専門学校副校長の淵上真一先⽣から、以下のようなお話がありました。
「今大会募集サイトの「実⾏委員⻑から」という箇所において、まもる、という⾔葉に(衛る)という字をあてていました。それは、この漢字が「チームで城をまもる」という成り立ち、意味を持つからです。」

この衛る、という言葉に込められた精神は、McAfeeがいうところの「Together is Power.」と同じ精神であると実感しました。
今後も皆様と力を併せ、サーバやクライアントやクラウドを、社会を、日本を、そして世界を衛っていく所存であります。


6.まとめ

 セキュリティを向上させる為には実地の演習・訓練・鍛錬は非常に有効です。演習の環境準備や費用など、実施には様々なハードルがありますが、Hardeningなどの有志によるセキュリティ演習に参加することで、非常に高い効果を得られます。何か良いセキュリティ演習はないか、とお悩みの方には、Hardeningをお勧め致します。


7.MarketPlaceで活躍したMcAfeeのIPS製品

 さて、では弊社が提供したIPS製品である、virtual Network Security Platform (v-NSP ) はどのような活躍を見せたかを、ご紹介しましょう。
 NSPは一般的にアプライアンスで提供されますが、今回はNICTの仮想環境に容易に導入ができるよう、仮想アプライアンスであるvNSPを準備しました。
 昨今、仮想化やクラウドの浸透が著しく、その保護に苦心されているかと思いますが、vNSPは今回のような複雑な仮想環境においても容易が導入で強力な防御力を発揮することが証明されました。

・購入
 MarketPlace開店直後、2グループから引き合いがあり、先着の1グループに対して販売いたしました。 運用サービスもセットでご提供し、購入グループと一緒に挑むというスタイルでサービス提供致しました。

・実装

 v-NSPのネットワーク上での実装方法は様々ありますが、今回はネットワーク上にインライン(ネットワークとネットワークをつなぐ土管のようなイメージ)で配置し、IPS(Intrusion Prevension System:不正侵入防御システム。不正通信を遮断できる装置)として動作するように設定しました。

・IPS機能
 IPS機能については、ネットワーク上の様々な挙動を細かく設定して監視・対応できますが、複数のテンプレートをご準備し、購入グループと相談しながら臨機応変に適用していくようにしました。

・効果
 それらを設定した結果として、「SNMPバックドア」「WordPress脆弱性」「Struts脆弱性」等を防ぐことができ、サーバに適用するパッチのネットワーク版(バーチャルパッチ)として、ビジネスにインパクトを与えることなく、非常に有効に機能し、ご購入チームを衛ることができました。

・評価
 また、ご購入いただいたチーム様からは、
「ネットワークのことを気にしなくてよかった」
「他のチームのサーバがばたばたと倒れていく中、うちのチームが無事だったのは全てMcAfeeさんのおかげです。」
と、非常に高い評価を頂きました。


8.関連リンク

・Hardening Project のWEBサイト
・ツイッターのハッシュタグは「 #h2017fes 」です。
・ツイッターの関連まとめサイトはこちらです。  
 ・WASNight 2017 Kick-Off = WASForum x OWASP Night のまとめ – Togetter   
 ・Hardening 2017 fes 競技者顔合わせ会@大阪のまとめ – Togetter   
 ・ハードニング(#h2017fes)意気込み会@東京-201711 – Togetter   
 ・Hardening 2017fesの1日目。 – Togetter 
 ・Hardening 2017fesの2日目。 – Togetter   
 ・Hardening 2017fesの3日目。 – Togetter   
 ・ハードニング(#h2017fes)振り返り会@東京-201712 – Togetter 
・3日目「Softening Day」の動画Hardening 2017 Fes – Softening Day(44分頃からJST.onionのプレゼン開始) – YouTube 
McAfee Virtual Network Security Platform
社歌解説
WASNight 2018 Kick-Off = OWASP x WASForum Night(2:00:00から優勝報告)
・Professional Service による各種トレーニング(マカフィーもセキュリティのトレーニング、実施しています!)
 セキュリティ トレーニング | Foundstone | マカフィー

最後に、Hardeningという素晴らしい大会を経験させていただいた主催・運営に携わられた皆様、競技者の皆様、MarketPlaceの皆様に厚く熱く御礼申し上げます。

著者:マカフィー株式会社 セールスエンジニア 久保 俊平

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速