6月23日、沖縄梅雨明け宣言の翌日、晴れ渡る空の下、「衛る技術」の価値を最大化することを目指すセキュリティ・プロジェクト『Hardening 1010 Cash Flow』が、沖縄県宜野湾市の沖縄コンベンションセンターで開催された。2012年4月の開催から10回目を迎えるHardening Project、今回は過去最大のチーム数である15チームの競技参加者、その他登壇者、スポンサー、スタッフなど、全部で約200名ものセキュリティ・パーソンが沖縄に集った。23日から2日間に渡る本プロジェクトの概要を、2回に渡ってレポートする。

「衛る技術」に焦点を当てた、世界に類を見ないセキュリティ・プロジェクト

このHardeningというセキュリティ競技は、CTF（Capture The Flag）で見られるような技術力競争とは全く異なっている。インターネットサイトを持つ企業もが実務上直面している自社ウェブサイトを「衛る」「運営する」業務にフォーカスを当てたもので、世界的にも特殊な競技内容だ。一般に、「何も起こらなくて当たり前」「売上げには直結しないコスト部門」とされがちなシステム運用管理、ユーザー対応、セキュリティ対応といった業務にスポットをあて、詳細な基準をもって評価する。そして最終的な順位付けを行い、その堅牢化力と関連する業務対応力を競う。

競技参加者が「衛る」のは、クローズドな仮想ネットワーク環境に構築された脆弱性のあるECサイトだ。この膨大なサーバ環境は、北陸StarBED技術センター（NICT）のStarBED環境に構築され、仮想環境で提供される。参加者は沖縄からVPNでこの仮想環境へと繋ぎ、競技を行う。1チームに与えられた競技環境はWebサーバ、データベースサーバ、ファイルサーバ、DNSサーバなど多岐にわたる。今回は販売商品の違うECサイト3つ、そしてECサイトへの流入を目的とした情報サイト1つを運営しなければならない設定だ。

競技参加者は、ECサイトを運営する株式会社の技術事業部＆メディア事業部という位置づけとなる。運営するサイトやECサイトのサーバなどを狙ってハッカー集団“kuromame6”が攻撃してくる。これに対抗し、通常8時間、今回は特別に10時間の競技時間中めいっぱいをかけて、売上を伸ばすことに尽力する。ショップの売上は、買い物客をシミュレートしたクローラによって自動的に購入されることで達成される。この売上げ数を伸ばすには、在庫切れを起こさないように商品を補充すること、そして「広告」を購入することで人気を上げることが決め手になる。

その他、お客様からの問い合わせメール対応や、社内報告、インシデント発生時には報告記者会見などを随時行わなければならない。ショップでの「売上」にこれらの対応を総合し、「技術点」「対応点」「顧客点」「経済点」「協調点」を評価して最終的な順位付けが行われることになる。

「キャッシュフロー」の概念を実現する為の新ルール「いけぎん」

これまで10回の競技が開催されてきたが、その都度「いまどきの」ウィルス、そして「話題になった」インシデントと、それらの被害発生時の状況を参考にし、競技者が実体験出来るようシナリオに取り入れていくのがHardening Projectの特徴だ。競技者の実施内容についても、「ECサイトをHardening（堅牢化し）、売上げを競う」という根本の目的は初回から変わらないものの、リアル社会でサイト運営に付随してくる様々な業務や環境を、新たなルールとして取り入れていくことに余念が無い。

2015年6月開催の『Hardening 10 MarketPlace』から大きな変化があった。スポンサーベンダーの競技参画を実現する「マーケットプレイス」ルールが導入されたのだ。インシデント発生時の実際の現場では、自社エンジニアでの対応だけでなく「プロの手を借りる」「製品の力を使う」ということはよくあることだ。この状況を模擬するため、各チームが他のリソースを調達できるルールが導入された。ベンダーのセキュリティ製品やサービスを購入することで、過去の優勝経験者や、名だたるベンダーの猛者たちが「製品・サービス担当者」として攻撃検知、攻撃元ブロック、ログ取得などの業務代行、もしくはセキュリティエンジニアとしてチームに参画してくれる。またJPCERT/CCも現実での役割そのままに「JPCERT/CC」として登場。他社との情報交換や注意喚起情報配信など、無料（要申込）で提供する。

今回『Hardening 1010 Cash Flow』では、新たな概念として「キャッシュフロー」を取り入れた。ここでは信用経済を模擬しており、お金を借りて返し、資金繰りをするという、リアル社会では当然のことを行わなければならない。「池田銀行（いけぎん）」がルールに組み込まれ、これで初めて参加者は「融資」を受けられるようになった。100万円から1,000万円までを無担保で借りることができ、広告やセキュリティ商品を購入、また仕入れに充てることができる。金利は融資額の10％（一定時間ごと）と、10時間制限の競技に合わせてアレンジされている。売上の上位数チームは仕入れ価格が下がるという設定もあり、融資を受けることで一時的に資産を増やし、在庫を安価に増やすという選択肢も可能となった。競技終了時点で未返済金は強制的に返済処理が行われる為、順位確定は純資産で計上される。マイナススコアもありえるというわけだ。

▲Hardening競技中に表示されていたスコアボード。全チームの商品の人気度と３つのサーバの稼働、グラフは総資産を示す。表示されているのは競技開始後約5時間経過時のスコア。

第1日目：Hardening Day -10時間の耐久セキュリティ・プログラム-

日本全国からの競技参加者約90名にはHardening Project開催約1ヶ月前に所属チームが個々に知らされており、各自は事前準備の為にお互いにコンタクトを取り、準備や勉強会などを開催している例が多い。参加者の職種はエンジニアに限らず、ECサイトの運営や広報など非エンジニア職種も増加傾向にある。10時間という限られた時間の中で、雨のように降り注ぐインシデントとエラーに対応する為どのような布陣を敷くのか、各人のスキルセットなどを確認し準備を行う。

Hardening Projectが実質的に開催されるのは2日間という限られた日数だが、この2日間は言わば最終戦の場というわけだ。競技参加者の多くは前日から沖縄入りし、夜18時に実行委員会から送られてきた膨大な資料を読み合わせる。そこには競技背景からシステム構成図、環境リスト、アカウントリストなど、ショップ運営に欠かせない情報だけでなく、評価方式や売上カウント方式、そして今回初めて導入された融資ルール「いけぎん」の説明などが網羅されている。競技日を待たずに戦いは始まっているのだ。

Hardening Project開催1日目、Hardening Day。はじめに、共催である内閣府沖縄総合事務局から、地域経済課長 玉城秀一氏が開催にともない歓迎の挨拶を行うと共に「本日の参加者は県外の方が半分以上ということで、馴染みが無いかもしれませんが、6月23日というのは地上戦の終結した日で『慰霊の日』としてお休みの日です。作業中とは思いますが、12時に黙祷を意識して頂ければ」と、沖縄という場所での開催であることを改めて思い起こさせるスピーチとなった。

続いてWASForum Hardening Project実行委員会、実行委員長である門林雄基氏（奈良先端科学技術大学院大学）が登壇。「サイバーセキュリティには正解はありません。その中でどうやって行動していくのか考えなければならない。そのための行動指針としてあるもののひとつがHardening Projectです。それぞれのチーム、色々なやり方で戦って頂き、その結果を明日教えてください。そこから共に学びましょう。当然失敗はあります。失敗から学び、本当のインシデントが起こった際にビジネスを守れるように、皆で力を合わせていこうじゃありませんか。では10時間頑張ってください」と述べ、9時46分に開会宣言を行った。

緊張感の漂う空気の中、10時間の長丁場を乗り切る為のスタートラインが切られた。稼働させなければならないサーバ群のチェックやアカウント変更など、競技者達はそれぞれのチーム方針に従い、また準備したツールなどを用い、黙々と作業を進める。基本的には全員がPCに向かって作業をしているので、外からは何が起こっているのかほぼわからない。どんな作業が進んでいるのか、攻撃されているのか、自らのミスでサーバをダウンさせてしまったのか等、これらの状況はSoftening Dayで報告されることになる。筆者が当日気づいたイベントを時系列順に紹介しよう。

11:15 触っているうちに環境が壊れ、初期化依頼するチーム発生。
12:00 『慰霊の日』の為、全員でしばし黙祷。
12:05 マーケットプレイスの購入が出来るようになる。
13:15 高額商品を買ったチームに事業監査が入る。
13:44 多くのチームのサーバがダウンしているアナウンスあり。
14:08 多くのチームのメールサーバがダウンしているアナウンスあり。
14:29 売上げTOPチームが情報漏洩し、犯人から脅迫メールを受け取る。記者会見を30分後に行うようアナウンスあり。
14:33 kuromame6からパスワード漏れのチームアナウンスあり。犯人からBitCoinでの支払いを要求される。
15:00 記者会見実施。取材に訪れていたメディア記者も、「記者」として鋭い質問を繰り出し、チームたじたじとなる。
16:08 競技参加者が運営している情報提供メディアが「“ScanNetSecurity”のパクリサイトだ」と指摘される。
16:31 サイバーセキュリティ専門ポータルサイト“ScanNetSecurity”編集長、上野宣氏が登場。「“ScanNetSecurity”では記事を販売しています。購入して頂ければ訴えません。購入しなければ訴えます」のアナウンス。
17:00 売上げ上位チームが情報漏洩。30分後に記者会見をするようアナウンス有り。
17:30 2回目の情報漏洩の記者会見。1度目の情報漏洩事件を踏まえての厳しい質問責めにチームうなだれる。
18:55 “ScanNetSecurity”から訴訟準備が整ったとのアナウンス。

▲1回目の記者会見の様子。チーム「術中Hack」の担当者が、情報漏洩に対し深々と頭を下げて謝罪している。

この競技途中経過を見て、門林氏は「エンジニアリングセンスに偏った競技参加者達に、キャッシュフローの概念を知らせずに実施してどうなるかわからなかったが、見事に多くのチームが2,000万、3,000万を借りて返すということをしてのけている。前回までのルールには無かった概念なので、教えなくても出来るんだなと感心している」「マーケットプレイスは今回、15社もの参加がある。実は、”公正取引委員会”を準備しており、不公正取引が無いかどうか監視・評価している」「出来るだけ現実に近いビジネスの縮図を作って、皆に創意工夫してもらい、その中から本当のビジネスに使える解を見いだせればいいな、ということでやっています」と語った。

現段階で注目しているチームは？という問いには「今トップのチームは高専生4名と社会人2名からなるチーム。学生が多いにもかかわらず好成績なのは何故なのか、明日その理由が明らかになると思うと楽しみ」と、Hardening Projectが2日に渡って開催される意義を示唆した。またオーガナイザーをつとめる岡田良太郎氏（株式会社アスタリスク・リサーチ/OWASP Japan）は「最下位のチームがどういう思考パターンでこうなったのか。これも明日の発表に注目してほしい。売上にはチームごと大きく差が出ているが、知識レベルや調達能力はあまり変わらないことがほとんど。単に不運だったという以上の『こういった思考が優位・ジリ貧を分ける』というパターンが浮き彫りになる」と語った。

終了前のカウントダウンのアナウンスが流れ、10時間の競技を終えても、参加者達の戦いはまだ終わらない。翌日のSoftening Day発表に向けて、発表資料作成が待っているのだ。次回はSoftening Dayの様子をレポートしていきたい。

Hardening 1010 Cash Flow 開催概要

Hardening Day: 2017年6月23日 9:00-20:00
Softening Day: 2017年6月24日 9:00-20:00

場所：宜野湾市 沖縄コンベンションセンター A棟
主催：WASForum Hardening Project
共催：内閣府 沖縄総合事務局

公式サイト：https://wasforum.jp/hardening-project/