2021年11月17-20日、27日の会期で、Hardening Project (ハードニングプロジェクト)によるセキュリティ堅牢化の競技会 Hardening(ハードニング) 2021 Active Fault に参加します。昨年参加した、Hardening 2020 H3DX に引き続き、2年連続の参加です。
Hardening 2021 Active Fault開催のお知らせ | Web Application Security Forum(2021/12/16 追記)
コンテンツ
「脅威」と「脆弱性」がそろったとき、サイバー攻撃は成立する
Hardening 競技会の話をする前に、少しだけ、サイバー攻撃について。
日常を支えているさまざまなサービスやインターネットショッピングサイトは、同時に多くの情報セキュリティ上の「脅威」に日常的にさらされています。脅威の種類はさまざまありますが、皆さんにもっとも分かりやすい言葉でいえば、「何らかのハッキングを受けている」と思ってみてください。
情報セキュリティ10大脅威 2021:IPA 独立行政法人 情報処理推進機構それでも、サービスを使えたりお買い物できたりするのは、その背後でこれらの「脅威」を防ぐ仕組みがあるからです。
けれども、防ぐ仕組みは完璧ではありません。何らかの穴や抜け・誤った設定などの「脆弱性」があります。意図せずに気が付かないうちに穴があるケースもあれば、実は自分たちの設定ミスによるケースもあります。
「脅威」と「脆弱性」がそろった時に、サイバー攻撃が成立してしまいます。それによって、Webサイトが書きかえられて商品の値段が変わってしまったり、利用しているお客様の情報が抜き取られたり、といった何らかの事故(インシデント)が発生します。
このイベントでやること、イベントの意義
Hardening 競技会の当日 (Hardening Day) 、各チームは、与えられた仮想環境下で、8時間を通して、行われる膨大な量のサイバー攻撃やシステム不具合に対応し、稼働している Webサービスを何とか止めずに維持し続けます。
起こるのは、技術的な問題だけではありません。サービスに関するお客様からのお問い合わせへの対応、インシデント発生時の関係各所への報告など、実際に発生しうる内容も行われます。
実際にセキュリティ事故を起こすわけにはいきませんが、仮想環境でそれらを実体験することで、「本当にサイバー攻撃を受けてしまった時にどう対処するか」を学べる場になっています。
公式のWebサイトでは、このイベントのことを、このように説明しています。
WASForumは、2011年に発足したHardening Projectにより、2012年よりセキュリティ堅牢化の競技会を開催しています。このイベントは、最高の「衛る」技術を持つトップエンジニアを発掘・顕彰するものであり、技術競技(コンペティション)と、全チームの展開したセキュリティ施策の発表会の形式としています。
Hardening Project 2021 | Web Application Security Forum
昨年参加された方の、詳しい説明がございますので、是非読んでみてください。
Hardening 2020 H3DXで優勝しました|やわらかセキュリティ何故出るのか
昨年悔しい思いをしていた自分自身と対峙し、それを超えたいからです。そして、単純に楽しかったから。もう一度チームで苦しい思いをしながらも、一緒に戦いたいのです。
「戦う相手は、過去の自分」という言葉は、この Hardening の中で良く聴く言葉です。一年間、少しずつ学んできた中で、ゆっくりですが実力を身につけてこれたのではないかと思っています。
この一年間は、こんな過ごし方をしていました。
- Hardening 競技会に参加しました
Hardening 2020 H3DX に参加した話。かなり悔しい思いをしたことが、その後の方向性が定まりました。 - 実践的サイバー防御演習「CYDER」(サイダー)を受講して
H3DX 振り返り会で紹介された、NICT(情報通信研究機構)が実施している公的訓練を受講した話。 - Micro Hardening v2@オンラインに参加しました
2020/12/31(木)~2021/1/1(金・祝)に、Micro Hardening v2 に参加した話。以降、2021/5/4(火・祝)、2021/8/13(金)[ /dev/hardening – Hardening Drivers Conference 2021 内での開催]にも参加しました。 - WASNight 2021 Kick-Off = OWASP x WASForum Night
2021/1/15(金)。Hardening Session の 最後にプレゼンテーションの機会を頂戴しました。お話ししたのは、H3DX 後に何を思って、どんなことをしてきたのか、という内容。 - WASNight(s)2021 Spring
2021/5/14(金) 夜~5/15(土) 昼。アンカンファレンスに参加し、2日目のサマリーブリーフィングを行いました(3人一組で)。 - Ultimate Cyber Security Quiz
2021/7/10(土) アルティメットサイバーセキュリティクイズ。予選落ちでしたが、雰囲気を含め楽しい大会でした。 - その他
書籍を読んで実際に試してみたり、リーグオブ情シスに人に誘われてチームで出場したり、TryHackMe に取り組んだり、情報処理技術者試験を受験したりしていました。
もちろん、セキュリティのトップエンジニアと肩を並べられるような実力はありません。それでも、チーム・組織の中で自分がやれること・出来ることを見つけ、その役割をやりきることはできると思っています。
2021年9月に申込が開始された時に、直ぐに申し込みをして、その意気込みを書きました。すると、早期登録制度(Early Birds) 対象者 14名のうちの 1名となり、参加が認められました。
Hardening 2021 Active Fault競技に、企業・行政機関・学生からも続々とアツいお申し込みをいただいています。
— Hardening Project (@WASForum) September 8, 2021
今週選定した14名様に、Early Bird承認をお送りしました!おめでとうございます!さらに多くの参加者をお連れいただく施策を展開してくださいね!#H2021AFhttps://t.co/m3JeT5Kmip
この記事を書いているのは、チーム編成が決まって一週間少しが経ったところです。チームの皆で、この競技会を戦い抜きたいですし、何より楽しくやれればと考えています。
この競技会は、有観客試合です。ご興味のある方は、ぜひご覧ください。
Hardening 2021 Active Fault競技参加募集は10月3日予定通りの期限をもちまして終了いたしました。多数のご応募ありがとうございます。Hardeningは「有観客試合」です。引き続きご注目ください。#H2021AF
— Hardening Project (@WASForum) October 4, 2021
募集要項 – Hardening 2021 Active Fault https://t.co/l0p1RWvdE5