技術情報

Hardening 競技会に参加します(H2021AF)

2021年11月17-20日、27日の会期で、Hardening Project (ハードニングプロジェクト)によるセキュリティ堅牢化の競技会 Hardening(ハードニング) 2021 Active Fault に参加します。昨年参加した、Hardening 2020 H3DX に引き続き、2年連続の参加です。

Hardening 2021 Active Fault開催のお知らせ | Web Application Security Forum

「脅威」と「脆弱性」がそろったとき、サイバー攻撃は成立する

Hardening 競技会の話をする前に、少しだけ、サイバー攻撃について。

日常を支えているさまざまなサービスやインターネットショッピングサイトは、同時に多くの情報セキュリティ上の「脅威」に日常的にさらされています。脅威の種類はさまざまありますが、皆さんにもっとも分かりやすい言葉でいえば、「何らかのハッキングを受けている」と思ってみてください。

情報セキュリティ10大脅威 2021:IPA 独立行政法人 情報処理推進機構

それでも、サービスを使えたりお買い物できたりするのは、その背後でこれらの「脅威」を防ぐ仕組みがあるからです。

けれども、防ぐ仕組みは完璧ではありません。何らかの穴や抜け・誤った設定などの「脆弱性」があります。意図せずに気が付かないうちに穴があるケースもあれば、実は自分たちの設定ミスによるケースもあります。

「脅威」と「脆弱性」がそろった時に、サイバー攻撃が成立してしまいます。それによって、Webサイトが書きかえられて商品の値段が変わってしまったり、利用しているお客様の情報が抜き取られたり、といった何らかの事故(インシデント)が発生します。

このイベントでやること、イベントの意義

Hardening 競技会の当日 (Hardening Day) 、各チームは、与えられた仮想環境下で、8時間を通して、行われる膨大な量のサイバー攻撃やシステム不具合に対応し、稼働している Webサービスを何とか止めずに維持し続けます。

起こるのは、技術的な問題だけではありません。サービスに関するお客様からのお問い合わせへの対応、インシデント発生時の関係各所への報告など、実際に発生しうる内容も行われます。

実際にサイバー攻撃を起こすわけにはいきませんが、仮想環境でそれらを実体験することで、「本当にサイバー攻撃を受けてしまった時にどう対処するか」を学べる場になっています。

公式のWebサイトでは、このイベントのことを、このように説明しています。

WASForumは、2011年に発足したHardening Projectにより、2012年よりセキュリティ堅牢化の競技会を開催しています。このイベントは、最高の「衛る」技術を持つトップエンジニアを発掘・顕彰するものであり、技術競技(コンペティション)と、全チームの展開したセキュリティ施策の発表会の形式としています。

Hardening Project 2021 | Web Application Security Forum

昨年参加された方の、詳しい説明がございますので、是非読んでみてください。

Hardening 2020 H3DXで優勝しました|やわらかセキュリティ

何故出るのか

Hardening 2020 H3DX 参加時の写真(右上が私)

昨年悔しい思いをしていた自分自身と対峙し、それを超えたいからです。そして、単純に楽しかったから。もう一度チームで苦しい思いをしながらも、一緒に戦いたいのです。

「戦う相手は、過去の自分」という言葉は、この Hardening の中で良く聴く言葉です。一年間、少しずつ学んできた中で、ゆっくりですが実力を身につけてこれたのではないかと思っています。

この一年間は、こんな過ごし方をしていました。

もちろん、セキュリティのトップエンジニアと肩を並べられるような実力はありません。それでも、チーム・組織の中で自分がやれること・出来ることを見つけ、その役割をやりきることはできると思っています。

2021年9月に申込が開始された時に、直ぐに申し込みをして、その意気込みを書きました。すると、早期登録制度(Early Birds) 対象者 14名のうちの 1名となり、参加が認められました。

この記事を書いているのは、チーム編成が決まって一週間少しが経ったところです。チームの皆で、この競技会を戦い抜きたいですし、何より楽しくやれればと考えています。

この競技会は、有観客試合です。ご興味のある方は、ぜひご覧ください。