ビジネスとセキュリティの両側面から争う競技会「Hardening One Remix」 - 次回は海外チームを招待予定

競うのは「技術点」だけでない。総合点で勝負

得点獲得に寄与するのは、なにもセキュリティ対策だけではない。ウェブサーバのチューニングによるパフォーマンスの改善、第三者が把握できるよう対応した記録を残すことも加点対象となる。

運営側が意図的に用意した課題ではないが、特定商取引法の記載に不備があることを参加者側が発見。修正することで得点を獲得する珍事もあった。

最終的にこれら「技術点」「顧客点」「対応点」の総合点で勝敗が決することになる。

すべての項目でトップを獲得することは、かなり難しい。チームのリソースをどのように活用し、効率よく対応していくか総合力を求められる。

参加チームにおけるメトリックごとのランク

今回の優勝チーム「Team EJ」を見ると、「対応点」でトップを獲得しつつ、「顧客点」が2位、「技術点」が3位と、それぞれの項目で上位をキープすることにより優勝を勝ち取った。

善戦したチーム「ぐるーす」は、「技術点」「顧客点」にていずれも1位を獲得するも、「対応点」が4位となり、残念ながら総合点で1歩及ばなかった。

奈良先端科学技術大学院大学の准教授で実行委員長である門林雄基氏は、同コンテストについて、サッカーや野球のように攻防により獲得する点数ではなく、さまざまな要素で得点を競う「スケート競技」と似ていると説明する。

「現実の運用では、『技術を取って顧客満足度を捨てる』『サービスを止めれば売上が落ちる』など、つねにトレードオフがある。そういったジレンマをモデル化し、メトリックとして取り入れた（同氏）」

また今回から導入された「ピン枠」制度も興味深い。同コンテストはチーム戦だが、4〜5名で構成された大会未経験の応募チームに、まったく面識のない参加経験者1〜2名を追加する。

実際のインシデント対応では、外部専門家を活用することも少なくない。そうした状況を意図的に作りだす効果を狙っている。普段から意思疎通をしているメンバーではない第三者が加わった環境で、いかに情報を共有し、協力できるかも重要な要素だ。

競技時間中、問題へうまく対処できず、競技終了後に悔しさをにじませる参加者も少なくないが、参加者の満足度は高い。

戦いを振り返る「Softening Day」では、参加チームの多くから「セキュリティ対策のおもしろさや、むずかしさを実感できた」「自分の弱点がわかった」といった感想が聞かれた。

「攻撃を肌身で体験できた」「知識があることと、実際に対応できることの違いを実感できた」との声も目立つ。限られた時間のなかで、実際にトラブルへ解決する難しさや、事前準備の大切さなども実感したという。

次回も参加し、リベンジを果たしたいとする参加者も多い。門林氏によれば、次回の日程は未定だが、すでに海外チームを招待することが決定しているという。

同氏は、「ハードニングという考え方は、世界のCTFを見ても類はなく、日本発のイベント」と語り、「競技を通じて実際のビジネスとセキュリティの両立について世界に発信していきたい」と今後の目標を語っている。

今回の取材を通じて、印象に残ったのは、座学と実際のインシデント対応は別物であるとの参加者の言葉。

今回の競技で最善の対応できなかったとしても、貴重な体験をしたことはまちがいない。所属する組織で大いに「Hardening」の経験を活かしていくのではないだろうか。

またシステム管理者やセキュリティ管理者に競技が浸透していくことを期待するのはもちろん、事前対策やインシデント対応の重要性、難しさを理解してもらうため、組織の経営層にも、ぜひ注目してもらいたいと感じた。

なお、今回の大会の模様はUSTREAMで生中継された。初日に行われたカンファレンスの一部はアーカイブとして現在も公開されており、楽しむことが可能だ。

（武山知裕/Security NEXT - 2013/07/25 ）ツイート