「衛(まも)る」チカラの鍛え方 -Hardening 2017 Fesにみるサイバーレジリエンス技能向上の最前線-

サイバー脅威の拡大に対処する必要性の認識は年々高まっている。セキュリティ人材不足への懸念が示されるなか、人材育成の取組みにかかる期待は大きい。今回は、先日開催された「Hardening 2017 Fes」の参加レポートを交えつつ、昨今注目を集める「サイバーレジリエンス(回復力)」の視点から実践型トレーニングの最前線を追う。

実はあなたもセキュリティ人材になることが期待されている?

セキュリティ対策に求められる能力は多様である。経営層による戦略策定、インシデント発生時の統率、セキュリティ診断や解析等の専門技術、セキュアなシステムの構築、法務・監査の専門知識など多様な役割における関与が要求される(詳細な人材像については、巻末のリンクを参照)。

大手ITベンダーを筆頭にセキュリティ人材育成計画が相次いで発表されているが、共通して見られる傾向は「限られた数の高度な技能を持つセキュリティ専門家の育成」と「ビジネスの現場で活躍する大多数の従業員のセキュリティ技能の底上げ」の両軸で構成されている点だ。専門家の支援のもと、各員がそれぞれの持ち場でセキュリティ対策を意識した取組みを行う体制でセキュリティリスクの軽減を狙っている。

注目を集める「総合的実践型」トレーニング

セキュリティ関連知識・能力の向上に取組むプログラムとしては、まだ座学研修のイメージが強い方も多いと思われるが、実践型プログラムも年々増えてきている。実践型プログラムとしては、標的型メール訓練やゲーム要素を取り入れた解析技術コンテスト等、様々な取組みが行われているが、ビジネス環境においてセキュリティリスクと戦うためには、様々な能力をさらに結集した総合力が求められる。こうした総合的な「衛る」チカラの向上を推進するプロジェクトとして注目を集めているのが、「Hardening Project」である。

総力戦競技「Hardening 2017 Fes」に参加してみた

「Hardening」は、WASForum(Web Application Security Forum)が主催する競技形式のイベントである(以下、Hardening競技と呼称)。2017年には、11月22日~24日に淡路島を舞台に第10回大会「Hardening 2017 Fes」が開催された。

Hardeningとは「強くする、堅くする」という意味をもった英単語で、ITサービスにおいてはシステムの脆弱性を減らし堅牢化するという意味で用いられる用語である。Hardening競技においてはもう少し広い意味で用いられ、あらゆる面でビジネスを堅牢化し、継続性を高めるという意図が込められている。

Hardening 2017 Fesでは、各チームが脆弱性を含むECサイトを運営する事業会社に扮して競技に望み、怒涛のサイバー攻撃の嵐におよそ11時間(2日間合計)立ち向かいスコアを競い合った。筆者は今回、個人としてエントリーして競技者の1人として参加させてもらったが、最終応募倍率はなんと5倍近くになっていたとのことである。営業日を含む複数日、都市圏から距離のある場所での開催という条件でありながら、これほどまでの人気を集める理由について、参加者目線で感じたことをヒントに幾つか考察してみたい。

1. 秀逸なゲーミフィケーション
Hardening競技におけるスコア基準は「見込み販売力」という金銭単位である。事業継続というキーワードのもと、セキュリティインシデントに対する予防/対処能力の低さが経営指標に直結するという事実が明確かつ定量的な形でゲームとしてのルールに反映されており、当事者意識を持って臨む経験が出来る。発生するイベントも技術的なものだけではなく、親会社役員からの召集要請から広報対応・外部機関連携、新商品追加対応まで多岐にわたり総合力が試される。今大会では新要素としてチーム異動を伴う二日間競技制が導入され、引継ぎの重要性の理解や、初日の課題を改善し成長を実感する仕掛けとして有効に機能していたと感じた。
2. 実践的なシステム環境
競技環境は、情報通信研究機構(NICT)の運営するテストベッド「StarBED」上の多数の仮想サーバで構築されていた。各チーム専用の仮想サーバがそれぞれ数十台規模で構築され、OSやミドルウェア等も現場でもよく見かけるものが使用される。実務に適用できる堅牢化技術を試すことが出来る環境であり、対策の甘い部分は容赦なく攻撃に晒されるため、トライ&エラーの場として至極実践的である。攻撃対象となる要素もサーバ、ネットワーク、アプリケーション、オープンソースの脆弱性と多岐に亘るため、幅広い領域の学びが得られる。
3. 豊富な助っ人要素とそれが可能とする参加者プロフィールの多様性
総力戦の名のとおり、刻々と発生する膨大な量のインシデントに対して、参加者のみの力で対処しきるのは難しい部分もある。Hardening競技では特徴的な仕組みとして「助っ人を購入」することが出来るMarket Placeが用意されている。この要素のおかげで、自分に足りない能力があったとしても参加を躊躇する必要がない。実際に、筆者を含めエンジニア以外の参加者比率もかなり高かった。また、インシデント対応の現場では様々な分野で対処すべき事項があふれており、誰でも自分の特性を活かした貢献が可能である。
4. 得られた経験はその場で振り返る
Hardening競技における競技時間は、実は全体のプログラムの半分程度である。振り返りの機会が重視されており、参加チーム全てに10分間の発表機会もあたえられる。自分達の学びをアウトプットし定着させる機会として、また、他チームの工夫を参考に出来る場としても、振り返りはイベント内で重要な位置を占めていた。

実践型トレーニングの今後を占う

Hardening競技は総合力としての「衛る」チカラに焦点をあてたイベントであり、膨大な対処を圧倒的なスピードで行うため、個々の要素をじっくりと学ぶには不向きな面もある。ただし、ひとつの取組みで全てをカバーするというのは土台無理な話であり、事実、Hardening Project実行委員会も派生系イベントの開催を積極的に推奨している。2日目に開催されたアンカンファレンスにおいても、「俺達のHardening」というテーマで特定のテーマにスポットライトをあてた派生系イベントの案が熱量をもって議論された。

筆者も、株価をスコアとして争う「経営Hardening」や、契約書面の堅牢性やサイバー保険などを武器に戦う「総務Hardening」等を実施したら面白いのではないかと感じる。いずれにせよ、こうした取組みはシナリオと主催者チームのこだわりが鍵であり、今回貴重な体験を提供してくださったHardening Project実行委員会には改めて敬意と感謝の気持ちを示させていただくと共に、自身としても面白い取組みをしていきたいという思いを新たにする機会となった。

注記:文中の誤記を一部訂正いたしました。(2017/12/12 18:00)