技術情報

Hardening 競技会に参加しました(H2022D)

※この記事は、あくまで私見であり、業務内容と直接関わりがありません。

2022年11月15日(火)、16日(水)、19日(土)に開催された、Hardening Project (ハードニングプロジェクト)実行委員会主催によるセキュリティ堅牢化の競技会 Hardening 2022 DECADE(略称:H2022D)に Team#01「team1 be ambitious」のメンバーとして参加しました。本記事は、この競技会の参加レポートです。

Hardening 2022 DECADE参加者募集開始のお知らせ | Web Application Security Forum

参加された皆さんの記事

他の参加者の皆さんが書かれた、素晴らしい記事がありますので、まずはそちらをご覧ください。

グッドデザイン賞を受賞した、ハードニング競技会

「8時間」で衛りを変えるハードニング競技会は、今年、2022年度グッドデザイン賞を受賞しました。

PRESS RELEASE:「ハードニング競技会」が2022年度グッドデザイン賞を受賞

上記プレスリリースに掲載されている動画・説明文では、ハードニング競技会を、次のように説明しています。

「ハードニング競技会」とは、技術者と非技術者がチームを組み、熾烈なサイバー攻撃から「衛る」チカラを、全国から集まる他のチームと競うイベントです。技術知識やテクニックのみならず、経営判断なども加味して「ビジネス」を衛り、他チームよりも成果を収めるミッションがあるため、効果的かつスピーディに対応するにあたり、衛りの優劣が可視化されることがユニークな点です。

Web Application Security Forum |「PRESS RELEASE:「ハードニング競技会」が2022年度グッドデザイン賞を受賞」より引用

ハードニング競技会で競うのは、8時間にわたる熾烈なサイバー攻撃から、上記の「衛る」チカラをECサイトの見込み販売力の大きさとして評価しています。セキュリティによってビジネスを継続させていく・より大きくすることに、焦点が置かれています。

「技術者と非技術者がチームを組み」と書かれているのも大きなポイントで、どのチームもこの辺りがバランスよく編成されているように感じます(エンジニアの方だけでなく、多くの皆さんのご参加を、心よりお待ちしております)。

参加の理由

2020年の Hardening 2022 H3DX 以降、この先の人生をかけて長く取り組みたいことがハードニング競技会で見つかったためです。この辺りのことは、「やわらかセキュリティ」ののみぞうさんが執筆されている書籍「ハードニングファン!!」に寄稿しています。

競技会参加を通じて、以下の 4つができたらなあと考えていました。

  1. チームで最後まで闘い抜くこと
  2. 過去の自分自身と対峙し超えること
  3. 競技会をより多くの方に知ってもらえるきっかけづくりをすること
  4. 新しく参加した人に競技会を楽しく気持ちよく過ごしてもらうこと

今回は、ハイブリッド開催(オンサイト:沖縄県名護市「万国津梁館(ばんこく・しんりょうかん)」※2000年沖縄サミット会場 / オンライン)でした。「現地開催が行われたら必ず行こう」とかねてから思っていたのですが、事情によりオンライン参加で申込みました。

競技日程

競技会は、9~10人/1チームに分けられたチーム戦です。チームでの顔合わせを含め、以下のようなスケジュールで進みました。

  1. チーム編成決定 (9/21)
  2. チームメンバー顔合わせ/チーム名、リーダーの決定 (9/29)
  3. 競技会準備 (~競技会当日まで続く)
  4. 競技会当日 Hardening Day (11/15)
  5. チーム内の振り返り Analysis Day (11/16)
  6. 全チーム振り返り会 Softening Day (11/19)

以降は、印象に残っていることを書きます。

印象に残っていること

チームについて

Team#01 の構成は、学生が 1 名・社会人が 8 名の全 9 名。ハードニング競技会経験者は 2 名で、かねてからハードニング仲間の K さんが同じチームになり、心強く感じていました。チーム顔合わせでの自己紹介をうかがうと、皆さんそれぞれ業務を通じて身につけたスキルが発揮できそうな感じがあり、なお一層心強く感じたのを、よく憶えています。

リーダーは、北海道から参加する学生の S さん。北海道の技術系地域コミュニティの支援などをしている一般社団法人 LOCAL株式会社川口設計 が合同で、今回 H2022D に参加する学生の交通宿泊費を支援するという取り組みがあり、それに応募されたとリーダーからうかがいました。

チーム名はリーダーのいる北海道にちなんで be ambitious のフレーズを含む、「team1 be ambitious」となりました。O さんが制作したチームロゴ、とても素敵。

チームロゴ

競技会準備

役割と担当

競技会での役割に応じて、チーム内を「マネジメント(3)」「テクニカル(4)」「ビジネス(2)」と分けて () 内の人数を割り当てて、準備を進めました。役割を決める際に、チーム内で配慮していたのは以下 2 点です。

  • 自分が学びたいことをやる
  • やりたくないことは無理強いしない

週に 1回集まって 1時間程度のミーティングをしてきたチームでしたが、役割が決まって以降はそれぞれの役割での打ち合わせがメインになりました。最も参加経験のある K さんは、マネジメントを主軸に、全ての役割に横断的に関わる動きをされていました。全てのミーティングに出席してくださっていたので、安心感が大きかったです。

私は、同じくオンライン参加の M さんとともに「ビジネス」の役割を担うことになりました。Windows 端末から ECサイト更新・お問い合わせメール対応などを行うことを前提に、準備をしていました。

チーム内のコミュニケーション

チーム内コミュニケーションツールは、以下の 2つを使っていました。

  • Discord :テキストコミュニケーション、ボイスチャット
  • Trello :対応ログ(当日までの todo / 初動対応 / インシデント対応)

競技会の Discord サーバ内のチーム領域に プライベートチャンネルを複数作り、そこでやり取りをしていました。このいろんなチャンネルは運営側からも見えていたので、Hardening Day ではインシデント対応の様子が見て取れたようで、面白かったみたいです。

準備を進める時には、出来るだけ「Team01専用ラウンジ」ボイスチャンネルにたたずんでいました。Trello で事前準備のカードを起票したり、Google ドライブ上のスプレッドシートに資料索引を作ったりして、出来ることから準備を進めていました。

TEAM01内チャンネル
整理していた資料索引

インシデント対応訓練

テクニカルのメンバー・A さんが中心となって企画されたのが、「インシデント対応訓練」です。

シナリオは 「商品の価格改ざんが起こる」「個人情報の流出が起こる」の二つ。実際に起きたら、どういうフローで誰が何をするのか確認し、その通りに訓練を実施しました。

この対応訓練を前に、「個人情報漏えい時の対応チャート」を、マネジメントのメンバーの H さんを中心にまとめていました。また、この対応訓練は、A さん・I さん・N さんの事前準備が無ければ実現できなかったことを考えると、彼らメンバーのすごさを、身に染みて感じました。

訓練の流れ

連合制での闘い

奇数チームと偶数チームに分かれての「チーム連合制」での闘いになることが分かった、前々日。チームを代表して、このチーム連合・製作委員会会合に出席する CISO(Chief Information Security Officer:最高情報セキュリティ責任者)の役割を、マネジメントの H さんが務めてくださることとなりました。

過去にこうしたチーム連合があったことは聞いていましたが、大きく全体を二分する連合になると思っていなかったので、大変驚きました。

前日準備

前日夕刻、現地参加組は howlive 名護宮里店 に集まり、そこでチームミーティングを開きました。現地の写真を拝見しましたが、とても素敵なコワーキングスペースでした。

名護宮里店 (名護市)| 沖縄 レンタルオフィス・コワーキングスペースのhowlive

前日の夕刻公開の「参加者配布資料」が 117 ページで(昨年は 90ページ前後だった気がする)、気が遠くなるような思いで内容を必死に読んでから、準備に臨みました。この準備で、同じビジネス担当の M さんにめちゃくちゃ助けられました(ありがとうございました)。来年参加される皆さん、どれだけ準備が大変でも前日はちゃんと眠ってください。

Hardening Day(競技会当日)

現地は 9:00 集合から始まった一日。オンラインの私は 8:00 に開いた Zoom 会場に、バッジを首から提げて参加していました。

現地組 7名・オンライン 2名での闘いでしたから、当日のコミュニケーションが当初から懸念されていました。競技開始前の準備で確認したところ、現地側で用意したスピーカマイクが程よい感じで、Discord ボイスチャンネルにつなぐオンライン側とのコミュニケーションができることがわかりました。

Hardening 2022 DECADE – Hardening Day [YouTube Live]

※現地の詳しい状況を知りたい方は、YouTube Live をご覧ください。競技背景を示す寸劇や、瓦割りの様子がご覧いただけます。

9:41:19 から競技が開始。

8時間のあいだにさまざまなインシデントが起きましたが、予め行なっていた対応訓練が本当に活きていて、チームが素晴らしく機能していたのを、オンラインで離れていても感じられました。訓練した通りのインシデントが実際に起きたのですが、これに対応するマネジメント・テクニカルの皆さんの呼吸が合っているというか、慌てることなくスムーズに動いている感じが、会場側から聴こえてくる声のトーンや Discord でのやり取りから、伝わってきたのです。

チームが入札して購入した MP(マーケットプレイス)サービスは、以下の 3つです。MP サービスとは、現実に企業が導入するセキュリティ対策と同様に、ベンダーの製品やサービスを有料(競技環境における売上を通じて)で利用できる制度です(※『ハードニングファン!!』より一部引用)。

フォーティネットさまとはテクニカルの N さんが、イエラエさまとはマネジメントの K さんが主としてやり取りにあたっていました。MP サービス各社の皆さまは、細かく指摘・示唆をくださったり、こちらからのお願い・要望に応えてくださったりと、それぞれの良さで競技会中の team1 be ambitious を助けてくださいました。心より御礼申し上げます。

ビジネス担当の私は、思っていたように動けておらず、かなり焦りを感じていました(実はちょっと指が震えていました)。同じビジネス担当の M さんが、商品購入・補充などミッションを次々こなしてくださったので、めちゃくちゃ助かりました。

また、私がヘルプの声を挙げた際に、その向こう側で現地の K さん・ H さん・ O さんがまず受けてくださる安心感があったのは、とてもありがたかったです。

17:41:19 競技終了。

Analysis Day(チーム内振り返り)

現地参加組は coconova(ココノバ) 名護 に集まって、週末 の Softening Day での発表資料作成を通じて、チームでの競技会振り返りをしました。Google スライドに各自書き込めることをどんどん書き込んで、後から整えながらポイントとなる内容を振り返る形式をとったことが、チームに合っているように感じました。

発表資料のドラフトができたところで、発表者の名乗りを挙げていたリーダーの S さんに二度ほど、通しで発表をしてもらい、資料を提出して終えました。感覚的には、半日で終了した感じです。競技を終えた後なので、お互いに緊張感が解けて、笑って話している様子が見えて「何かいいなあ、素敵だなあ」と思いました。

チームとしての打ち合わせが終了後、メインルームで委譲されたホストのままでいたところ、チーム 4の振り返りを拝見しました。こちらも素敵な振り返りの様子でした。

Softening Day 前日の夜に

発表の仕上げを前日夜に行いました。

この前日夜までの間、発表する S さんは、緊張していたし発表資料の仕上げにも難儀していたと思うのです。そんな S さんに、数日前から I さんは本当に仔細に至るまで的確なアドバイスと気遣いをされていましたし、A さんも「最初から綺麗なもの求めてないので大丈夫ですよ!」とメッセージを送っていました。

発表練習を受けて、O さんはじめ他のメンバーからも励ましを送りつつ、要点を整えるさまが聞き取れました。そういうところが、このチームの良さだなあと思っていました。

私は、夕刻からの自身と家族の体調不良により、Softening Day をオンライン参加に切り替えることにしました。

Softening Day

Hardening 2022 DECADE – Softening Day [YouTube Live]

各チーム発表、各セッション

ハイブリッド開催(オンサイト/オンライン)の Softening Day。チームは、オンサイト 6名・オンライン 3名での参加でした。team1 be ambitious の発表は真っ先に行われましたが、リーダーの S さんが練習以上の様子で発表されているのを観て、とても嬉しく感じました。ふとチームのメンバーが映し出された時に、「ああ、皆がそこにいる」と当たり前のことに、妙に感慨深くなりました。

各チームの発表は、参考になることが非常に多かったです。事前準備、本番の臨み方など、やり方に違いはあれど、それぞれの 8時間の闘い方があったのだと感じたのです。

Kuromame6 セッション(川口さん)・NICT セッション(安田さん)は、何度も YouTube Live 動画を見直しているところです。もう少ししっかり見てから、何か書きたいと思います。

スコア発表からエンドロールへ

team1 be ambitious は、見込み販売力 全体 3位(顧客点 2位、協調点 2位)でした。また、スポンサー賞として、KDL(神戸デジタル・ラボ)賞・フォーティネット賞を頂戴しました。

スポンサー賞選定理由のなかで、神戸デジタル・ラボさまからは「(KDL WAY[企業理念]の Spilit [大切にすべき精神])『共創』がステキ、リーダーを中心に『共創』が体現されていた素晴らしいチーム」、フォーティネットさまからは「(フォーティネット)製品の詳細を知らなくても、情報を聴きながら能動的に設定をこなしていた」とのコメントを頂戴しました。リーダーの S さん、フォーティネットさまとのやり取りに関わった N さんの頑張りが輝いていました。

共催の内閣府沖縄総合事務局・大城さまの講評にあった「名護のひんぷんガジュマル」の話・すべてが「まもる」に通じるものだった話を聴き、名護に行きたかった想いがより強くなりました。

最後のエンドロール。Zoom で自身の顔が出ているのも憚らず、涙を流して観ました。

競技会の全てを終えて

自身の取り組みを振り返って

競技会当初に掲げていた 4つのことのうち、1, 2 はできました。3, 4 は働きかけがほとんどできていなかったので、次までに継続していきます。何より、体調の不良が影響して、現地に全く行けなかったことが良くなかったです。しばらくは、心身を整えることに集中します。

バッジとステッカー
お取り寄せした紅芋タルト

チームの皆さん、ありがとう

約 2 ヶ月の間、楽しく過ごすことができました。チームの皆さんのおかげです。本当にありがとうございました。

競技会をチームで最後まで闘い抜けて、最高でした。チーム参加証明書は、額に入れて部屋に飾ってあります。こうして参加証明書を見れば、皆さんとの日々が思い出されて、また明日からの励みになります。戦績も賞も嬉しいのですが、皆さんと名を連ねているこの参加証明書は本当にうれしいです。

最後まで皆さんと直接お会いできなかったのが、唯一の心残りですが、またどこかで、お会いできたらうれしいです(会いましょう)。

H2022D に関わる全ての皆さまへ、心からの感謝を

素敵な競技会に参加させていただいたこと、心より感謝いたします。現地で皆様に直接御礼申し上げたかったのですが、それが叶わず残念な思いです。感謝の思いは、「競技会をより多くの方に知ってもらえるきっかけづくりをすること」を継続することで、具体化していければと考えております。

家族のみんなへ

2ヶ月間、ありがとう。動画見て、昨年に引き続き「チャーシュー!」って言って楽しくやってて何よりです。フォーティパーカーを着て「やったぜ!」と言って小躍りした姿を見れて、父はとてもうれしかったです。家族みなで風邪を引いちゃったのはとても切ないので、皆で体調を整えましょう。

次に向かって

淵上先生が最後に言っていた言葉を励みに、次の一年を取り組みます。Hardening に限らず、仕事のことも全てに通じることだと思います。

「『知ってる』というのと『出来る』というのは違う。『知ってる』から『出来る』になった人は多いと思うが、次は『やっている』というのが必要。ここが皆さんの Hardening の始まり。来年また、皆さんのどんな『やっている』ができたかを、語り合う場として Hardening で再会できれば。」

ここはまだ通過点。Hardening は自分ごと、旅は続くよどこまでも。