セキュリティ演習を紹介する本特集の第1回は、都内某所で開催された「Hardening One Remix」というセキュリティ競技会を紹介する。セキュリティ強化と稼働率の向上という、時に相反する条件を満たしながら商用Webサイトを運用する技術を競う競技会だ。集まったのは業務でセキュリティ技術やWebサイト運営に関わるプロの技術者で結成された8チーム。競技会は2013年7月6日に開催されたものだが、各チームが実践した堅牢化手法は今でも十分参考になる。
「トップページが改ざんされたままのWebサイトがあります。直してください」──。突如、会場にアナウンスが響く。それまで余裕の表情を浮かべていた各チームのメンバーが、血相を変えてバタバタと動き出した…。
「Hardening One Remix(ハードニングワンリミックス)」はWebサイトの堅牢化技術を競う新しいセキュリティ競技会である。各チームはWeb通販を営む架空企業のシステム運用担当になり、通販サイトや企業の公式Webなど同社のすべての情報システムの運営を「突然任された」役回りとなる。競技時間中に主催者が仕掛ける様々なサイバー攻撃を防ぎつつ、通販サイトなど業務用のWebサイトを安定稼働させ、売り上げを増やさなくてはならない(図1)。
競技時間は8時間。主催者のハッカーチーム「kuromame6(クロマメシックス)」は今回の競技中、通販サイトへのSQLインジェクション攻撃による侵入や、Webページの改ざん、標的型メール攻撃など、最近頻発している手法のサイバー攻撃を次々と仕掛ける。各チームにはこれらに対応し、システムを速やかに修復・復旧させるセキュリティや運用の技術が求められる。
それだけではない。時には顧客からのクレームも舞い込む。システム担当として、顧客への対応や社内調整が求められる。顧客対応や運用報告書の出来なども採点対象で、社内規定や法令の順守も求められる。システムを安定稼働させて得られる総売り上げだけで勝負は決まらない。最終的な順位は売り上げに、違反行為や優れた対応も加味して算出する「見込み販売力」で決まる。総合的な運用力が問われる仕組みになっている。
主催はWebアプリケーションのセキュリティ情報の共有を目的に活動する非営利団体Web Application Security Forum(WASForum(ワスフォーラム))。大会実行委員長である奈良先端科学技術大学院大学の門林(かどばやし) 雄基(ゆうき)准教授は、「現実に近い状況で、各チームにリアルな対応力を競ってもらい、堅牢化に必要なスキルセットを磨いてもらう」と競技の趣旨を説明する。
