株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら
閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

自分で調べる

LAC WATCH
2017年10月26日 | ラックピープル

「Yahoo! JAPAN」実践型セキュリティ総合演習に技術協力しました

ヤフーさんが開催した実践型セキュリティ総合演習「Yahoo! JAPAN Hardening 2017」(10月12日、13日)に協力しました。昨年、ラックがお手伝いした様子*1をLAC WATCHでお伝えしましたが、今年はさらにパワーアップした演習となりました。

環境が日々変化するなかでシステムや情報が「消える」「止まる」「漏れる」リスクがあり、どんなに準備をしていても、サイバー攻撃が発生してしまうことがあります。多くのユーザへさまざまなサービスを提供しているヤフーさんだからこそ、社内の各部門やグループ会社を巻き込み、自社サービスに降りかかるサイバー攻撃を想定した演習を実施しています。

今回の演習は、ヤフーグループの各カンパニーや横断部門、コーポレート部門のメンバーが8人~10人でチームを組み、運営スタッフが用意した仮想ショッピングサイトやコーポレートサイトの運営を行いました。ラックはヤフーさんとの協議のもと、7時間の競技時間の間にウェブサイトの改ざんやSQLインジェクション攻撃などのオーソドックスな攻撃から、現場で対応した最新の事件・事故を踏まえた20を超える攻撃までを用意しました。

このように次々と発生するサイバー攻撃にエンジニアが中心となって対応する一方、裏側では情報漏えいの被害者であるユーザのクレームやメディアからの取材依頼が次々と舞い込み、CS(カスタマーサポート)担当や広報担当が対応に追われました。

演習中の様子
演習中の様子

「情報漏えいの被害が発生している原因を調査してほしいんだけど、エンジニアメンバーはシステムの復旧で大変そうだから話しかけづらい。いつ話しかけたらいいんだろう。」と頭を抱えるCS担当者もいました。普段から顔を合わせている間柄でないと、忙しそうにキーボードを叩いているエンジニアに話しかけるタイミングも難しいようです。

演習中の様子
演習中の様子

一方、エンジニアは目の前のシステム対応に精一杯なところに、情報漏えいの原因調査を持ちかけられます。情報漏えいの原因を調べている間にも攻撃は行われるため、どの問題の優先順位を上げて対応するべきか考える必要があります。参加者は限られた時間と情報の中で「決断する」という体験ができました。

昨年からパワーアップしたポイントをご紹介します。

「Yahoo! JAPAN Hardening 2017」パワーアップした3つのポイント

参加者をグループ企業にまで拡大

今回は参加者をグループ企業に拡大し、より多くの人に演習にチャレンジしていただきました。「Yahoo! JAPAN」が提供するさまざまなサービスに関係するカンパニーや横断部門、コーポレート部門のメンバーが「企業責任」を果たすべく、7時間の競技のために集まりました。同じサービスを担当していても普段は顔を合わせることのないメンバーと力を合わせ、競技環境のなかで売上高の拡大や顧客満足の向上などビジネス価値の最大化に取り組みました。

シナリオの強化

演習のシナリオも強化しました。1つは「ビジネスロジックの対応」です。ショッピングサイトの商品価格やポイント設定が売上に反応するようにクローラ(検索エンジンがWEB上のファイルを収集するためのプログラム)の作りこみを行いました。2つ目は「最新のセキュリティインシデントの追加」です。本年2月に発見されたばかりの脆弱性を悪用した攻撃を組み込んでおり、参加者はその対応を競いました。3つ目は「対外発信&顧客対応シナリオの強化」です。各チームで対外対応をするメンバーに対し、電話やメール、SNSで「攻撃(口撃ともいう)」する担当者を増強し、多数の問い合わせが集中するようにしました。

インフラをクラウドに移行

前回は演習環境を全て物理サーバ上に構築していましたが、今回からシステムの大部分をIDCフロンティアさんのクラウド上に構築しました。演習中は通信帯域の圧迫やネットワーク機器の不調というトラブルもありましたが、大きな問題もなく無事に演習を実施することができてホッとしています。

強化された「対外発信&顧客対応シナリオメンバー(通称:RED Team Outside)
強化された「対外発信&顧客対応シナリオメンバー(通称:RED Team Outside)

このような演習に全社を挙げて取り組んでいる企業はまだ多くありません。ヤフーさんでは、多くの部署のメンバーを巻き込んだからこそ実践的な演習を実施することができました。その結果、今回のサイバー防御演習に参加した全ての方々に「決断」「インシデントレスポンス」「チームコラボレーション」という貴重な3つの体験をしていただきました。これらの3つの体験がそれぞれのサービス運営での新たな気づきにつながることを期待しています。

そして私自身、参加した関係者の方々の熱意からたくさんのパワーと刺激をいただきました。今後も「事業」「サービス」「ユーザ」の3つの保護に真剣に取り組む方々へ、面白い体験型コンテンツの提供をしていきたいと考えています。

Yahoo! JAPAN Hardening 2017 の先導者 ヤフーさん太田様とのツーショット
Yahoo! JAPAN Hardening 2017 の先導者 ヤフー 太田様とのツーショット

本家Hardening Projectの活動も

ほっと一息をつく暇もなく、次は本家Hardening Projectのイベント開催が迫ってきています。Hardening Projectは11月23日から25日に予定している「Hardening 2017 Fes」です。今回のイベントは11回目です。過去10回の開催場所は沖縄県宜野湾市でしたが、今回は日本標準時子午線の通る島、兵庫県淡路島の予定です。

過去10回は、競技を行う「Hardening Day」と競技の振り返りを行う「Softening Day」の2日間で構成されていました。これに加え、今回の「Hardening 2017 Fes」では第20回までの方向性を議論する「Firming Day」を設置し、3日間の構成となっています。この開催期間を通じ、「守る技術の価値を最大化」するためには何が必要なのかを、全ての参加者で作り上げることを期待しています。

実はこのような取り組みは初めてではありません。2014年に開催された第5回目のHardeningイベント「Hardening 10 Evolutions」においても同様の取り組みを行いました。沖縄県の地域ISAC(Information Sharing and Analysis Center)として活動している「沖縄サイバーセキュリティネットワーク*2」やHardening Projectのサブプロジェクトであり、「カジュアルにサーバ堅牢化を体験してもらうことを目的」としたMINI Hardening*3はこの第5回目の「Hardening 10 Evolutions」がきっかけで始まりました。今回の「Hardening 2017 Fes」でもまた何かの新しい取り組みが産声を上げることを楽しみにしています。

この記事は役に立ちましたか?

はい いいえ

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
配信しています
詳しくはこちら

page top