MicroHardening（仮）をセキュリティ・キャンプ全国大会でお披露目

8月14日（月）から8月18日（金）までクロスウェーブ府中にて「セキュリティ・キャンプ全国大会2017」が開催されています。セキュリティ・キャンプは2004年から毎年開催されており、年々参加人数が増えています。私も2010年から講師として関わっており、今年は講義とグループワークの担当としてセキュリティ・キャンプに参加しています。

Availability Challenge -サービスの可用性を確保せよ

私の講義は「Availability Challenge ～サービスの可用性を確保せよ～ 」 というタイトルで、あるシステムにおける「サービスの可用性の確保」をゲーム形式で取り組んでもらいました。今回のこのゲーム形式のシステムをMicroHardening(仮)と名付ています。名前からわかるようにあのHardeningイベントをベースにして作っています。これまでLAC WATCHに何度も書いていますが、私はHardening Projectのメンバーであり、年に2回イベントを開催しています。

ハードなHardening Projectをもっとライトに体験しようということでMINI Hardening というプロジェクトも立ち上がっています。MINI Hardeningのコンセプトは「カジュアルにサーバ堅牢化を体験する」「マイルドな修羅場」となっており、非常に参加しやすいイベントになっています。

今回のセキュリティ・キャンプの講義も体験型にし、少しでもサイバー攻撃対応のエッセンスを味わっていただきたいと考えていました。4時間の講義時間の制限の中でライトな体験型コンテンツが作れないかと思って作ったのが今回のMicroHardening(仮) です。コンセプトは以下の通りです。

• 小さな環境で全体を把握しやすくする
• 1時間以内の演習を複数回繰り返す
• 構築と運用をできる限り自動化する

今回の4時間の講義時間の中で体験できるサイズに収める必要があり、1点目のコンセプトを決めました。環境を小さくすることで用意する仮想空間で使用するリソースも小さくなり、費用も抑えることができます。セキュリティ・キャンプは個人的な活動でもあるので費用がお安く済むことは大変重要でした。

次に同じシナリオを複数回繰り返すことができることを目指しました。Hardening Projectでもシナリオで種明かしをした後で、もう一度同じシナリオを体験したいという要望が多くあります。セキュリティ・キャンプ受講者の学びを深めるためにも複数回繰り返す必要があると考えました。今回の演習では1セットを45分として、同じシナリオを3回繰り返す構成にし、3回とも
同じ構成で同じタイミングで攻撃が発生します。1回ごとに新たに気づいた問題を次の回で対応することで毎回ポイントが上がっていきます。シューティングゲームで敵キャラの動きや出現パターンを覚えることでゲームのスコアが良くなるのと同じように、サイバー攻撃の対応でもパスワード変更やアクセス制御等の基本的な操作を繰り返し体験することで身に着けてもらうのが狙いです。

最後の自動化も重要なコンセプトです。手動で一つずつ構築して、攻撃シナリオを手動で実行するのは大きな負担になるため、「競技用サーバ」「スコア集計サーバ」「攻撃用サーバ」「踏み台サーバ」等の構築をコード化して、自動構築＆自動運用を目指しました。ほぼ全てをコード化したおかげで競技用サーバの設定変更やソフトウェアの追加も柔軟かつ迅速に対応することができました。また攻撃およびスコア集計を自動化することで演習中に参加者のケアをする余裕も生まれました。

6月のHardeningが終わったと思ったら、次は8月のセキュリティ・キャンプということで何とか講義に間に合ってほっとしたところです。このMicroHardening(仮) はまだまだ機能拡張をしていく予定ですので、どこかでまたお披露目する機会があると思いますので、その時には参加していただけると幸いです。

みんなでワイワイ、グループワーク

私は講義とは別に全日程を通して実施するグループワークの担当もしています。せっかく多種多様な背景と興味を持つ学生82人が一堂に集まっているタイミングで講義以外のことも体験してもらうことが目的です。毎年、ラックにいるセキュリティ・キャンプ＆セキュリティ・ミニキャンプ卒業生からグループワークで取り上げた方が良いアイデアを募り、それをもとにして今回は以下の4つのテーマを用意しました。

• 学生が作るソフトウェアの品質を担保するために自分たちは何をするか？
• 学生がサイバー犯罪に手を染めないために自分たちは何をするか？
• 2020年の東京オリンピックでセキュリティキャンプ卒業生が活躍するために自分たちは何をするか？
• 今後、セキュリティキャンプの効果を最大化するために自分たちは何をするか？

セキュリティ・キャンプ全国大会2017に参加した学生は8人～9人の1グループになり、いずれかのテーマを選択して、検討した内容を最終日に発表します。今回のテーマに共通する内容は「自分たちは何をするか？」です。世の中にある多くの問題に対して「自分たちは何をするか？」という視点で取り組んでもらうことを期待しています。セキュリティ・キャンプの応募選考から選ばれた学生たちの熱い想いがどのような発表になるか毎年楽しみです。

グループワークの実施にあたり各グループには「会場にいる関係者(講師、チューター、スポンサー、事務局等)に最低10人はヒアリングすること」という条件を設定しています。参加者は関係者との交流を通して、自分たちのアイデアを固めていきます。最終日のプレゼンテーションがとても楽しみです。

毎年行われているセキュリティ・キャンプは参加者にとっても楽しみだと思いますが、講師としても毎年楽しみにしています。そして必ず毎年やりとりされる質問で締めたいと思います。

周りの人「川口さん、お盆休みとか夏休みとか取られるんですか？」
川口「あー、はい。来週は夏休みとって若い子と(セキュリティ)キャンプしています。」
周りの人「おー、キャンプですか。いいですね～。」
川口「いいんですよ～。」