デジタルソリューション研究開発部の山崎です。
大和総研では、近年のセキュリティリスクの高まりを受け、2022年度より研究開発センター内にセキュリティ専門のチームを設置しました。セキュリティ関連の製品や技術の検証を行う他、法制度の動向やセキュリティ関連ニュースをまとめ、レポートとして発信するなどの活動を行っています。
2024年10月、同じセキュリティ専門のチームでCSIRTの業務を担当している同僚の土田とともに、Hardening Projectが主催し、国立研究開発法人情報通信研究機構(NICT)や複数の企業が協賛するサイバーセキュリティの実践的なスキルと知識を競うイベントHardening 2024 Convolutionsに参加しました。
この記事は、Hardening 2024 Convolutionsの紹介と競技会前日(Preparation Day)までの準備について振り返ります。競技会当日の様子は次のブログで紹介しています。
Hardeningとは?
Hardening(ハードニング)とは、セキュリティ用語でシステムの"要塞化"や"堅牢化"を意味します。
システムが抱える脆弱性を排除することでシステムのセキュリティを向上させる取り組みになります。
Hardeningの具体的な例としては下記があげられます。
- 脆弱なパスワードを利用しているシステムについて、パスワードを複雑なものにする。(例:最低文字数、記号の使用を必須にする等)
- アクセス権限が不適切なシステムについて、アクセス権を適切に設定する。
- システムの動作に必要のないユーザーやソフトウェアを削除する。
Hardening 2024 Convolutionsとは?
Hardening 2024 Convolutionsは、日本国内のセキュリティに関する有志が集い結成されたボランティア・プロジェクトであるHardening Project主催のセキュリティとビジネスを組み合わせたHardeningの競技イベントです。2012年から開催されており、2022年には取り組みが評価され、グッドデザイン賞を受賞するなどセキュリティの関係者の間で有名な競技会です。
Hardening Project公式ページ : https://wasforum.jp/hardening-project/
競技者は所属や経験の異なる複数人のチームを組み、準備期間にチームビルディングを行います。Hardening競技当日はチームが運営するECサイト等の売上高を競います。
単にセキュリティ対応だけを行うイベントではなく、実際の企業のようにビジネス面(外部サービスの調達、在庫管理、顧客との連絡等…)の対応についても求められるため、幅広い方が参加できる競技イベントになっています。
また、実行委員会やスポンサーの方のご支援によって、競技会の参加は無料となっています。
(実行委員会やスポンサーの皆さま、ありがとうございます!)
今年のHardening競技会はHardening 2024 Convolutionsと題して、沖縄県の豊見城市にある沖縄空手会館で行われました。
開催概要/募集要項 – Hardening 2024 Convolutions : https://wasforum.jp/hardening-project/hardening-2024-convolutions/
イベントは次のようなスケジュールで行われました。
| 日程 | 内容 | 場所 |
|---|---|---|
| 8月10日(土) | 募集締切 | - |
| 8月16日(金) | 選考結果通知 | - |
| 8月27日(火) | 全体ミーティング | オンライン |
| ~10月15日(火) | チーム準備期間 | オンライン |
| 10月15日(火) | Preparation Day(競技環境の詳細資料公開) | 沖縄県内のレンタルスペース(各チーム別) |
| 10月16日(水) | Hardening Day(競技当日) | 沖縄空手会館 |
| 10月17日(木) | Analysis Day(振り返りと資料作成、ネットワーキング) | 沖縄空手会館、豊崎美らSUNビーチ |
| 10月18日(金) | Softening Day(チーム発表と表彰) | 沖縄空手会館 |
出所:イベントページを基に大和総研作成
申し込み
申し込みはGoogleフォームから行いました。
運営の方のコメントで年々応募者が増えており、選考で落選する方も一定数いるとのことでした。自己紹介や志望動機等、アピールポイントを明確にして挑みましょう。
準備
チームビルディング
8月16日(金)に運営からチーム分けと最初の宿題(リーダー・チーム名・自己紹介動画作成)が発表されました。
今回は過去最多の15チームが編成され、各チーム6~7人のメンバーで構成されました。
メンバーの居住地や業務経験はさまざまで、オンラインで自己紹介を行う所から始めました。
私が参加するチーム15では私(山崎)が昨年のHardeningに参加した経験者であったため、チームリーダーを担当することになりました。
チーム名は今回の会場の沖縄空手会館の要素を入れ、琉球空手の三大流派の一つである剛柔流の「剛」と「柔」を入れ替え、チーム番号の「十五(じゅうご)」と「柔剛」を掛けた「柔剛流(じゅうごうりゅう)」としました。
自己紹介動画は、メンバー内に動画作成の経験者がおらず、家族が動画編集ソフトを使っていたことから一緒に参加した当社の土田が作成しました。
Hardening Day当日に向けた準備
準備期間は本番に向けてチームをテクニカル担当・マネジメント担当・ビジネス担当の3つに分け、私の昨年のHardeningの経験や、Hardeningで有名なのみぞうさんの同人誌を参考に、準備を進めていきました。
昨年の経験から、Hardening競技会は、セキュリティだけを高めれば勝てる競技ではないことをメンバーに伝え、準備の方針、MPサービス(※)の購入の方針等をチーム内に共有してディスカッションを続けました。
(※)MPサービス : マーケットプレイスサービス。スポンサーの方が競技者をさまざまな形で支援をするサービスを提供してくれるサービスのこと。競技会内のお金を使って購入することができる。
主に各チームで下記のような準備を行いました。
| チーム | 準備内容 |
|---|---|
| テクニカル | 各ECサイトの準備、テクニカルチートシートやスクリプトの作成、購入するMPサービスの選定等 |
| マネジメント | システム重要度分類、インシデントトリアージ方針、会社の各種規定の整備等 |
| ビジネス | 各ECサイトの操作手順の整備、過年度のミッション対応が行えるように準備等 |
出所:大和総研作成
準備期間は50日程ありましたが、リモートオンリーのやり取りとなることで、うまくタスクのコントロールが行えない等、あっという間に時間が過ぎてしまいました。
そんな中で今競技会は競技前週の金曜日に競技資料の一部が公開され、さらにJoint Ventureルール(合同チーム)の追加発表があるなどサプライズもありました。
競技前日(Preparation Day)は、沖縄入りした後に、レンタルスペースでチームメンバー全員が集まる顔合わせと競技資料配布後の最終準備を行いました。
最終準備では各自が当日行うタスクについて最後の詰めを行い、他のチームメンバーとの交流会を行いました。
次回予告
次回は競技当日(Hardening Day)の様子と競技の振り返りを紹介します。
