株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら
閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

LAC WATCH
2016年11月08日 | ラックピープル

サイバーセキュリティ演習を実施しました

このブログでも何度も書いているように私は2012年からHardening Projectのメンバーとして活動しています。Hardening Projectで開催する競技は、基本的にチーム対抗で、脆弱性のあるECサイトへのハードニング(堅牢化)力の強さを総合的に競うコンペティションの形を取っています。そこで求められる要素は「情報システムの技術的な要素」だけではなく「ビジネスにおける意思決定」や「社内外の関係者とのコミュニケーション」も含まれており、参加者はサイバー空間におけるサバイバル能力が求められます。

Hardening Project活動で得られた知見を社内のエンジニア育成のために作成したものが「ラックサバイバルチャレンジ」です。このサバイバルチャレンジはHardening Projectと同様、仮想空間に構築されたショッピングサイトに対する多数の攻撃に対応する演習です。
悪意からシステムを守れ!サイバー攻撃パニックシミュレーション「ラック サバイバル チャレンジ」

今回、このサバイバルチャレンジをベースとしてヤフーさんにサイバーセキュリティ演習の運営と技術支援の立場で協力しました。Hardening Projectと同様に競技を行う「Hardening Day」と振り返りを行う「Softening Day」の2日間で開催しました。
7つのカンパニーから参加者を募り、技術者だけではなく、企画部門、CS(カスタマーサポート)部門、広報部門の8人~9人の混成チームで対応を競いました。
ヤフーがサイバー防御演習「Hardening」、顧客・マスコミ対応力も競う

ヤフーさんのブログにも開催模様が公開されました。
Yahoo! JAPAN Corporate Blog
サイバー攻撃における顧客・マスコミ対応力などを養う「Hardening(ハードニング)」をヤフーで開催しました

参加者は約7時間の競技の間、さまざまなサイバー攻撃に見舞われます。SQLインジェクションや脆弱なパスワードのアカウントに対する不正アクセス、マルウェア感染など世界中で問題となっているサイバー攻撃が行われます。

「どうも初めまして」
「普段、何を担当されているんですか」
「役割分担どうしましょうかね」
「課題の整理をしますか」
「まずはパスワードのチェックしましょうよ」

競技開始直後は初めて顔を合わせるメンバーもいたこともあり、ぎこちないコミュニケーションだった様子ですが、30分もすると目の前のビジネスを守るため次第に連携が深まっていきました。

「あれ?サイト止まってる!」
「データ消えた」
「CPUの値が跳ね上がった」
「なんか変なプロセスがある」
「エンジニアさんが忙しそうだけど話しかけていいかな」
「調べてもらいたいことがあるんですけど・・・」
「それ、やっとくから任せて」

今回のサイバーセキュリティ演習にはヤフーさんのメンバーも運営側に入っていただき、一緒に競技進行を行いました。特にCS部門や広報部門のリーダーやマネージャークラスの方にも参加いただいたことで、当初ラック側が想定したよりも苛烈な"攻撃"も行われました。発生させたセキュリティインシデントに合わせ、ユーザやメディアとして参加者のショッピングサイトに電話やメールで問い合わせを行い、その対応を評価しました。正直このCS部門と広報部門の"攻撃"に関しては、長らくHardening Projectをやってきた私が想像するよりも苛烈なものでした。当初は「CS担当者や広報担当者の方は手持ちぶさたにならないかな」と心配していたのですが、次々にかかってくる電話やメールの対応に追われていたようです。

またヤフーさんの各カンパニーのCISOやリスク管理の担当者の方も運営側に入っていただき、仮想会社の社長やCSIRTメンバーとして振る舞っていただきました。参加者チームの経営層に対するエスカレーションを担当していただいた感想として

「トップは孤独だね。こんなに情報がトップに集まらないとは。みんなが一生懸命やってるとはいえ、
この少ない情報で経営者として意思決定をするのだと思うとなかなか大変だな。」

と重みのある言葉をいただきました。実際に世間で起きているインシデントの多くは経営層に情報がなかなか上がらずもどかしい思いをしている人も多いのでしょう。

二日目のSoftening Dayでは参加者チームそれぞれの気付きや取組についての発表がありました。事前準備を入念にやっていたチームや設定変更ミスで一時的に売上が止まってしまったチームなど様々でしたが、皆さん楽しそうに発表されていたのも印象的でした。

「他の部門が何を考えて仕事をしているかわかった」
「いざ、本当にこういう攻撃が起きるとパニックになりそう」
「本番環境ではこんな体験はしたくない」
「人的リソースの配分はマネージャとして勉強になった」
「社内で使われているシステムも組み込んでやりたい」
「これはぜひ若手にも受けさせたい」

などたくさんの意見をいただきました。技術者以外の方にも楽しんでいただけたことが大変うれしく思いました。

NISCや金融庁、警視庁など様々な組織がサイバーセキュリティ演習を実施しているというニュースが報道されています。ビジネス環境や技術環境は常に変化しており、その変化に柔軟に対応する能力やビジネスの意思決定能力を磨く手段としてサイバーセキュリティ演習は今後ますます重要になるでしょう。

気が付けば開催から2週間が経過し、11月1日、2日に沖縄県宜野湾市で「Hardening 100 Weakest Link」が開催されました。またその様子をレポートしますのでお楽しみに。

20161108_enshu2.jpg

左側から順番に私、この企画の発起人であるヤフーの石切山様、太田様、石橋様との記念写真

  • cyber_banner_2017jpn.jpg

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top