写真1●競技中のHardening One Remix会場風景
写真1●競技中のHardening One Remix会場風景
[画像のクリックで拡大表示]
写真2●レゴブロックで可視化された各チームのサイトの様子
写真2●レゴブロックで可視化された各チームのサイトの様子
[画像のクリックで拡大表示]

 2013年7月6日、ECサイトの運用力を競うセキュリティ競技会「Hardening One Remix」が都内で開催された(写真1)。参加者は仮想的なECサイトの運営会社の社員になり、未知のハッカーからのさまざまな攻撃からサイトを守りつつ運営し続け、8時間後の売り上げの多寡で勝敗を決める。

 攻撃は主催者のセキュリティ専門家が行い、参加チームは、攻撃への防御に徹しつつ、ECサイトの運営や顧客サポートを継続し続ける総合的な運用力を問われる点が、CTFなど、攻防戦方式のセキュリティ競技会とは異なるユニークな点だ。

 主催はWebアプリケーションのセキュリティ情報の共有を目的に活動する非営利団体Web Application Security Forum(WASForum)。昨年開催された「Hardening Zero」「Hardening One」に続く3回目で、実行委員長の門林雄基准教授(奈良先端科学技術大学院大学)によれば、前2回の反省を踏まえ、より実践的な競技内容に進化したという。

 競技はネットワーク技術の研究用クラウド「StarBED」内に構築された、仮想のeコマース環境で行われた。各チームは広報用Webサーバー、ショップ用サーバー、データベースサーバー、メールサーバーといったサーバー群の運用を任される。

 各サーバーには主催者側が事前にいくつか脆弱性を仕込んである。各チームはこのシステムの脆弱性を探して修正し、攻撃から守るだけでなく、メールでの顧客対応などもこなさなければならない。ECサイトで売り上げが立つと得点となるが、上司からの指示に従ったり、インシデントレポートを上げたりすることも求められる。運用基準や指示などに違反するとペナルティを課される。

 競技自体は6日の「Hardening Day」で終了したが、各チームの運用状況を詳細に調べて勝敗を判定をするため、最終結果は7月13日に予定される「Softening Day」に発表される。Softening Dayでは最終結果や主催者からの講評のほか、各チームが今回の競技を振り返って反省点などをプレゼンする時間が設けられており、運用力に関する知見を参加チームで共有する狙いもある。

 参加したのは次の8チームで、総勢約70名。チームの母体となった企業名や個人の名前は伏せられている。

  • 福島県会津若松市の若きITエンジニア集団「Team EJ」
  • 某企業のホワイト・ハッカーチームとアプリケーション開発技術者との混成チーム「Whity」
  • 会社のセキュリティ技術などの社内勉強会メンバーからなる「333(とりぷるすりー)」
  • 全員同じ部署に所属しているセキュリティ業務の運用メンバーからなる「Warp9」
  • 某社のセキュリティサービス部門に所属し脆弱性診断や保守サポートを担当するメンバーからなる「bitter one(びたわん)」
  • WindowsとLinuxのハイブリッド環境でソーシャルゲームを提供する企業のエンジニアが集まった「ぐるーす」
  • 某社の入社2年目の社員チーム「コルセッツ」
  • システム構築とサービス運営担当のメンバーで構成される「TEAM GTGT(ぎとぎと)」(大阪から参戦)

 さらに各チームには、前回のHardening Zeroの参加者から選ばれたすご腕の技術者が「ピン枠」として一人ずつ参加する。ピン枠参加者は競技に参加するだけでなく、各チームの状況などを記録する役も担う。

 競技開始は10時。開始と終了はドラを叩いて知らされる。各チームはまず誰が自チームのピン枠かを当てなければならない。この時点でつまずくチームが出たほか、さらに各Webサーバーの起動にひと苦労する。2チームが数分で起動に成功したあとは、しばらくは追随するチームが出ない。2チームには初期設定のトラブルがあったらしく、主催者側はいったん競技を中断して設定を修正し、再開した。

 得点は30秒に一度グラフで表示されるほか、Webサイト、ショップサイトの稼働状況も表示される。会場にはレゴブロックで作った8チームのショップの模型が置いてあり、そこに付けられたLEDでもサーバーの様子が表示される。これらを見ていると各サイトの状況が目まぐるしく変わっていることがよく分かった。攻撃の詳細は非公開だが、ときどき主催者側から「SQLインジェクションは1つではありません」「サイトのページが改ざんされたままになっているチームがあります」「DNSがオープンリゾルバになってると得点が下がりますよ」といったアナウンスがある。参加者が慌てて修正に走る様子も見えた。

 競技会場は和やかな雰囲気であるものの人数の割に静かそのもの。同じ会場内ではスポンサー企業を中心に、Hardeningのための方策や関連製品の紹介などのセッションが行われたが、どのチームもほとんど見向きもしない。競技中には復興支援プロジェクト「復興デパートメント・石巻爆速復興弁当」から弁当が配られたが、それを黙々と食べながら、どの参加者も画面からひとときも目を離さない姿が見られた。

 最後に主催者側から世界的なセキュリティ関連イベント「OWASP Global AppSec APAC 2014」の東京招致の試みとその成功(2014年3月17日から3月20日に開催)が発表されたあと、18時のドラで競技は終了。この時点では、ぐるーす、TEAM GTGT、bitter oneの上位3チームの得点が僅差で並んでいた。13日の振り返り(各チームが発表する)と結果発表が楽しみだ。

■変更履歴
当初、最終段落で「Global AppSec APAC 2014」としていましたが、正しくは、「OWASP Global AppSec APAC 2014」です。お詫びして訂正します。本文は修正済みです。 [2013/07/09 15:40]