Hardeningエピソード

セキュリティ脆弱性が放置されたECサイトを、8時間という限られた時間の中で堅牢化し、売上などを競うHardening Dayと、競技中での学びを共有する Softening Dayのセットで開催される、“衛る” セキュリティ競技Hardening Project(以下、Hardening)。2018年の第一回目は7月に沖縄県宮古島市JTAドームにて開催され、競技参加者たちと運営スタッフやスポンサーなど150名以上、さらに地元見学者も50名以上が集った。

※Hardening Projectの競技環境の全ては、情報通信研究機構(NICT)のテストベッド「北陸StarBED技術センター」にて構築されている。

 本競技会でのスポンサーたちは、ただの“スポンサー”だけではない。多数のベンダが、一般競技参加者と同じか、それ以上の熱意をもって“競技参加”しているのだ。今回の記事では、この競技会にスポンサーベンダが参加するための仕組み「マーケットプレイス」について、競技環境の構築全てを一手に担う、Hardening実行委員の安田真悟氏へ話を聞いた。スポンサーベンダがどのような商品やサービスを引っさげて参加しているのか、ということにフォーカスして、お伝えしていく。また、最も競技チームへの貢献が高いベンダを表彰する「MVV賞」を受賞したばかりの、シスコシステムズ合同会社(以下、Cisco)の坂本祐一氏のミニ・インタビューを織り混ぜてお送りする。

 Hardening競技会は、冒頭に述べたとおり「脆弱性満載のECサイトを、8時間という限られた時間の中で堅牢化し、売上などを競う」ものではある。しかし、チーム戦であること、グランプリの評価基準は売り上げというステータスだけではなく、現実社会に即した多くのシチュエーションを再現するためのルールや制限などの中で評価され、さらにファインプレーは加算されるなど、複雑なものだ。そこで、概要や競技当日の様子などについては、ScanNetSecurity誌に掲載済みのレポート記事を読んで欲しい。

スポンサーベンダが本気で競技参加する – “マーケットプレイス”

※Hardening Projectの競技環境の構築を一手に担う、NICTの安田 真悟氏。HardeningProject実行委員でもある。

――スポンサー・ベンダの競技参加はいつから始まったのでしょうか。

安田:2012年のHardening開始段階、私は環境構築担当ではなかったのですが、当時は競技参加者が運営するECサイトと、攻撃チームの競技環境だけをStarBEDに構築していたそうです。3年目の2015年「Hardening 10 MarketPlace」から、スポンサーベンダが参加するための「マーケットプレイス」(以下、MP)という仕組みが初めて導入されることになり、ベンダ用の競技環境も新たに加えて構築するようになりました。

――初期の環境構築は手探りだったと思うんですが、どのようなサービスや商品が多かったのでしょうか。またどのような変遷が見えますか?

安田:初期はMPの規模もそんなに大きくなくて、内容はプロダクトよりもサービス、いわゆる人出しが多かったですね。実行委員会の方でHardening経験者を集めて、その人たちの時間売りからスタートしていました。そのあとじわじわとプロダクトやアプライアンスが増えてきました。それでアンチウィルスソフトやDDoS防御の製品、WAFが買えるようになったんです。それがさらに突き抜けて、自社サービスに直結してないMP独自の助っ人サービスをつくって参加したりする企業も出てきました。

 初期はMP用のシステムというのもほとんど用意していなくて、競技参加者チームが「MPであのサービス/商品を買います」とMP受付担当スタッフに申し込んで買う、という段取りでした。MP用のメールアドレスも用意していなかったです。今は申し込みもオンライン処理できるようになっていますし、全チームにメールアドレスも発行するし、そのためのサーバも設置しています。数も徐々に増えて、去年2017年に淡路島で開催した「Fes」では、全部で16ベンダという数が参加しています。ですから、MPの競技環境規模はじわじわと大きくなっていますね。

ベンダの競技環境構築は、メール送受信端末のみから持ち込み機材まで、各社それぞれ

※StarBEDのラックに実際に設置されているHardeningサーバの様子。

――ベンダのサービス内容に応じて競技環境を提供していると思います。事前にどのような打ち合わせがあるのでしょうか。

安田:サービスを出して貰うときに「どういう条件でやりますか? VMが必要ですか? ESXiじゃなきゃダメですか? KVMでもいいですか? OSのバージョンは何がいいですか」などいくつか技術的な構築条件をききます。こちらでOSだけ立ててアカウントを渡したらなんとかなるのであれば、こちらでOSを立てます。幸い、ほとんどのベンダさんはそれで足りています。

――ミニマムな環境例としてはどのような内容になりますか?

安田:サービス提供の場合、準備環境は大きくないですね。例えば、オージス総研さんは、メールさえできればいいよということで、メールができるようにWindowsサーバとLinuxサーバを1台ずつ出して、メールアカウント発行するだけ。アカウントはadmin権限のアカウントを出しているので、そのうえで何して頂いてもいいですよとお渡ししています。MPメールサーバはインフラのメールサーバに相乗りしているので、追加でやっている作業は純粋にアカウント発行だけです。

 一方で、ここ最近、環境構築の規模が大きいところはNECさんです。NECさんは、CentOSを用意してあげるとNECさんがその中にインストールして、アプライアンスを作り上げるという感じです。前回の「Hardening II Collective」では、CentOS9台とWindowsサーバ1台を出しています。NECさんの商品はWAFなのですが、全チーム分あらかじめサーバに設定を入れたものを用意して待ち構えていて、売れたら該当するチームのDNSエントリを書き換えてもらうというアプローチになっています。「Fes」の時はチーム数が多かったので、NECさんだけで十何台もサーバを用意しました。競技当日、現地にMPスタッフがいない場合にはなかなか売れ行きが伸びない、なんてこともあったと思いますが、前回は当日のMPスタッフ参加がありましたので、雰囲気を掴まれたようで、今後の販売展開が楽しみです。

 このような、インストールすれば済むような商品の場合はOSをリクエストしていただければそれを用意しますし、そうでない場合は実際の機材をStarBEDまで送って貰えればその通り接続します。今ですと、Ciscoさん、バラクーダさんは物理アプライアンスのつなぎ込みをしています。StarBEDに競技環境のサーバが並んでいるラックがありまして、その隣に持ち込み機材用の空きスペースが作ってあるので、そこにバラクーダさんの機材とCiscoさんの機材を入れています。

繋ぎ込み機材に応じて、競技環境のトポロジも柔軟に対応

※バラクーダから送られてきた機材はStarBED側でつなぎ込みを行う。

――繋ぎこんでいるサーバの中は、ベンダさんが販売しているサービスのシステムがインストールされているということでしょうか。

安田:バラクーダさんだと、ぱっと見はただのSupermicroのサーバなんですが、中にESXi、VMWareのハイパーバイザーが入っていて、その上にアプライアンスのサーバが入っています。配線はものすごく簡単で、ケーブル2本ずつピピって刺したら終わりです。つまりStarBED側がVMをたてるのではなくて、商品としてのVMがインストールされているサーバ機を送ってくるということですね。

 ですから、バラクーダさんが繋ぎこんだアプライアンス使ってその先何やってるのかは、こちらも実は関知してないんです。「責任分解点はここでお願いします。あとは自由に使ってくださいね」っていうやり方です。基本的にラフ・コンセンサスで進めているので「この条件で自由にやってください」「何かあったら言ってください」というやりかたをしています。

 そのほかに、バラクーダさんにはCentOS1台、Windows1台をVMとして提供しています。「この10.2.34.0/24の下は、自由にアドレスを使ってください、ただし、241以降は運営側でリザーブしますのでこれより若い番号で自由にアプライアンスにアドレスふって使ってください」というように、お伝えすることになります。

※トポロジ図1

 Ciscoさんは専用機なので、またちょっと違っていて、いわゆるサーバ機では無くて、スイッチみたいなハードウェアを接続します。チームのGateway上流トラフィックの経路上に直接入れてくれというリクエストなので、購入したチームの上流ルータに繋がるラインのケーブルを、Ciscoさんのハードウェアにつながるケーブルに差し替えるという、オペレーションをはしらせています。これを実現するために、1本だけケーブルを抜いて大丈夫なように、トポロジを作るときにハイパーバイザーのアサインを調整しています。以前、トレンドマイクロさんも同じやり方をしたとこがあります(※トポロジ図1:上流インラインにアプライアンスを挟み込んだ場合の結線図。手作業でJJで繋ぎこむ。この手作業を論理的に実現(自動化)する事も出来るが、都度ワンオフで環境構築するので、自動化のコストと機材の関係で手作業としている)。

※トポロジ図2

 “トポロジ図2”は、前回「Hardening II Collective」で構築された、1チーム分の競技環境です。各チームに競技環境の物理的なサーバは3台(HV1,HV2,HV3)あって、その上にいろいろなものが乗っかっています。上流とつながる部分にファイアーウォールがそれぞれあります。DMZのセグメントや、クライアント側のセグメントがあって、ファイアーウォールとの間に渡りが入っているという構成です。ひとつの物理サーバからの出口は、それぞれ2ヶ所あります。クライアント側はリモートデスクトップからくるラインが必要なので、外から入ってくるラインがもうひとつあります。

 こういう構成の場合、1つの10Gbpsに複数のラインをのせてしまえば設計上はラクなんですけれど、グローバルルータの上流に延びるラインというのを、サーバにある10Gbpsの光ファイバーのインターフェイスを使わずに、1Gbpsのイーサネットに直接出して繋ぎ込むという物理レベルの設計を、意識的にしています(※トポロジ図3:グローバルルータへ繋がるインターフェイスと、サーバ間のラインは、負荷分散などバランスを見て選択している)。

※トポロジ図3

 ひとつの理由としては、先ほど紹介したCiscoさんの機材が1Gbpsのインターフェイスなので、こういう設計にしておけば、購入したチームのケーブルを抜いてCiscoさんのケーブルを挟み込むと、つながるからです。ここを1Gbpsにする理由はもうひとつあります。各チームにかかるトラフィックを1Gbpsでわざと頭打ちにするようにしてあるんですね。各チームに均等に負荷がかかるように、ここの帯域がやたらと太いようには、わざとしないようにしてます。10Gbpsのインターフェイスも1本空きがあるんですけど、使っていない状態です。物理レベルのバインドを見ながら、チーム環境、全体の環境のバランスを取っています。(※トポロジ図4:Ciscoの機材は1Gbpsのインターフェイス。この構成であれば、購入したチームのケーブルを抜きCiscoの機材につながっているケーブルを挟み込むと、トラフィックが流れるようになる)

※トポロジ図4

――Ciscoさんはスタッフさん自らStarBEDまで来られて、ご自身でつなぎ込みをされるそうですね。

安田:はい、Ciscoさんは自分で担いで来られます(笑)。

 先ほどのバラクーダさんの商品は、リーチャビリティだけある状態にしておけば、購入したチーム側がDNSのエントリを変えれば競技環境との間に挟まるように動かすことが出来ます。でもCiscoさんの場合は、物理的にインラインに入れるっていうやりかたになるので、繋ぎ込みがちょっと難しい(※トポロジ図4)。方針など、打ち合わせを少し密にしないと使えないんです。それもありまして、CiscoさんもStarBEDまで来てくれるってことなので「じゃあ、お願いします」ということで、来てもらっています。

※CiscoのMPスタッフが物理アプライアンス繋ぎ込み時の一コマ。

 Ciscoさんは全チーム分ではなく、各チームに対して1台という割り当てで4チーム分だけ物理アプライアンスを用意しています。機器の設計上は1つの筐体で2チームくらいは収容できるんですが、1筐体1チームの方が管理しやすいという運用ポリシーなんだと思います。「この機材から上がってくるデータはこのチームのもの」というのが一意に決まりますから。

 こういう類の「もっとスマートにやったらできる」ということは結構あるんですけど、イベント前のぎゅっとした1〜2週間の時間の中で、少ないコミュニケーションコストで環境を作り上げるために、多少、無駄に見えることが出てしまうというのは、どうしてもありますね。

――2017年6月の回から、MVV(Most Variable Vendor)賞として、最もチームに貢献したとされるベンダの表彰を行うようになりましたね。その中で、環境構築の経費=コストも評価対象になっていますよね。例えばNECさんの9台のサーバは、全てコストとして換算されていると思うのですが、持ち込みで用意した機材はどのような扱いになっていますか?

安田:「機器持ち込み費用」として計算しています。接続料みたいな位置づけですね。ですから、持ち込めばコストはゼロ、というわけではなく、多少割安にはします。コストとして効いてくるのは、例えば提供するVMのOSによって値段が変わってきます。CentOSだとライセンス料がいらないので、Windowsより安い。AWSでもWindowsの方が高いんです。ですから、「Windowsたくさん」と「CentOSたくさん」だと値段が違ってきます。あとはCPUとメモリ、要求されるディスク量などのリソース確保量で値段が変わるようにしてあります。

※Ciscoのサーバをつなぎ込みした様子。

 先ほどの例でいうと、あらかじめ固定で全チーム分用意しておくっていうのは、無駄を許容した手抜きとも言えます。事前の設定コストは上がりますが当日が楽。本当は売り上げ予測に基づいた数だけ用意しておき、売れた瞬間にそのチーム用に用意したサーバをそのチーム用に設定することは出来ます。ただし、ベンダーさんの当日のオペレーションはその分手間がかかります。なので、一応、評価上「利用料」という形でちょっとした抑制をかけています。というのは、我々スタッフは必要であればどれだけでもサポートしますけど、「サーバをあらかじめ立てておく」ということが、“Hardening”という競技中のビジネスレベルでは、「ベンダ側がコストをかけている」というのを、ある程度可視化したかったというのはあります。

 でも、実際はものすごい安い金額なんで、たいして抑制効果につながってはいないんですけどね(笑)。例えばCiscoさんなんかは、2000~3000万円(※注:この記事の金額表記はすべて競技内通貨です。実際の価格ではありません)の売上のうち、テストベッド利用料はたった10〜20万程度なんです。Ciscoさんも、初参加の時は少し売れ残ったんですけど、最近は売り切っています。特に、前回はオークション形式での売り上げだったので、1番値段が高いチームだと600~700万払っていますから、ものすごく利益率が良かったですね。ただまぁ、導入準備コストとしてばらつきがあるということで、ベンダさんが「とりあえず全部」というような発想でリクエストを投げてくるのではなくて、リアルなビジネスと同じように「低コストにサービスをする」ということに気を配ってもらうために、意図的に価格を提示するようにしています。

 2018年に開催された「Hardening II Collective」でMVV(Most Variable Vendor)賞を受賞したシスコシステムズ合同会社の坂本祐一氏にお話を伺った。

――MVV賞おめでとうございます! まずはHardening II Collectiveにマーケットプレイスとして出品した商品について教えてください。

坂本:今回は、ネットワークセキュリティ製品 「Cisco Firepower」とエンドポイントセキュリティ製品「Cisco Advanced Malware Protection(通称AMP)」を出品しました。「Cisco Firepower」は主に次世代型Firewall・IPSと呼ばれるカテゴリーの製品として、競技環境内で参加者チームへ降り注ぐ脅威を検知し、防御したり、競技参加者の利用端末が悪意あるサーバに対して通信することを止める役割を果たしていました。「Cisco AMP」は主にEDR(Endpoint Detection and Response)と呼ばれるカテゴリーの製品として、利用端末内部の可視化とマルウェアなどの脅威が侵入することを止める役割を果たしました。

――Hardeningへの参加までにどのようなスケジュールで、何を用意されたか教えてください。

坂本:競技開始2週間程前に、国立研究開発法人情報通信研究機構(NICT)北陸StarBED技術センターへ機材を運び込むところから、マーケットプレイスへの参加準備が始まります。機材を設置後は、遠隔より疑似環境を使った検証や、設定のチューニングなどを実施しています。特に、前回のイベントで観測された脅威や、“旬”な攻撃手法については、当日利用されることを想定してあらかじめ弊社側で防御策を行います。競技参加者の皆様も我々マーケットプレイス側も、当日慌てることのないように準備を進めています。

――初回から4回目の参加まで、御社はマーケットプレイスへの出品商品を変化させています。どのような経緯で変化していったのでしょうか。

坂本:参加当初はネットワークセキュリティ製品である「Cisco Firepower」のみ提供していましたが、より広範囲で脅威を捕捉したいという思いからエンドポイントセキュリティ製品である「Cisco AMP」の提供を行うことになりました。また競技者から見た製品の使い勝手も向上させたいという思いもあり、競技者の皆様がご利用いただける 「Cisco Firepower」設定ウェブポータルを開発して提供しています。日々、現実での“脅威”がどんどん巧妙化しているのと同じように、Hardeningにおける攻撃も進化していると感じています。弊社は、そのような攻撃に対して、最適な防御策や製品をどう提供していくかが課題であると感じています。

――「Hardening II Collective」Hardening Dayでの手応えや、受賞の理由について教えてください。

坂本:今回、競技参加者の利用端末に忍び寄っていた脅威を「Cisco AMP」で発見し、ただちに「Cisco Firepower」による通信制限を行いましたので、迅速に脅威を封じ込めることに成功することができました。こうした有益な情報を、他のマーケットプレイスの皆様にもいくつかフィードバック出来ていたことが、受賞に繋がったのではないかと考えております。

――反省点や、今後のチャレンジについて、予定されていることがありましたら教えてください。

坂本:そうですね、今回は、脅威を見つけること・止めることに重きをおきすぎた結果、競技参加者の皆様へ導入効果の提示が行えなかった、という反省点があります。より高度な脅威を捕捉できるようになることはもちろん、今後のチャレンジとしては「どういった脅威を見つけて止めているか」を競技者の皆様へフィードバックすることを考えながら、引き続き、新製品や新機能の提供を行っていきたいと思っています。

競技参加者としての経験値が、マーケットプレイスでの商品価値をアップする

――Hardeningマーケットプレイスに参加してみたいけれど一歩踏み出せないベンダの方に向けて、環境構築からヒトコトお願いします。

安田: Hardening競技環境というのはなるべくリアルに、ビジネスに実践的な環境作りというのを目指しています。けど、まだ、リアルと比べて違いもありますから、実際の現場では有用でも、Hardening競技会に対しては多少の向き・不向きというのは、やはり、あると思います。

 特に、「8時間」という限られた競技時間の中で有効なサービス、ということを考える際には、競技に参加したときの時間感覚の経験値が必要になってくると思うんです。ですから、いま行われている競技に対してどういうサービスが商品価値があるのかというのは、やはり一度、まずベンダーさんからも競技者として参加して、リアルに「ウチの、この商品があればよかった」「この位の時間でサービスが上がってきてくれると嬉しい」というような感覚を掴んでから、マーケットプレイスで商品を出す、というのが一番良い道かなと思います。

 例えば前回、シノプシスさんは脆弱性検査を出品していて、競技時間中にパッチをつくるところまで行ったのですが、チームへの導入までには至らなかったことがありました。コードの静的解析のサービスというのは、どのくらい早い提供時間で出せるかというのが重要でした。シノプシスさんはSoftening Dayでの振り返りで「次回から我々のサービスのお買い上げは早めにお願いします」とアナウンスされていました。

あと、傾向としては、初めて出品されたサービスというのは、“Hardening”のコミュニティの中での露出が少ないので、1回目はうまく売れないことが多い気がします。初回参加で売れなくても、1つ、2つ売れたという実績を積み上げたり、必要であればコミュニティイベントなんかにも出てみてほしいですね。そこでの参加者のフィードバックなどを取り入れて回数を重ねていくと、振り返り会やいろんなコミュニティの中で「あの商品は良かった」というような口コミが伝わって売れていくという流れがすでにあります。このあたりは、実際のビジネスシーンでも一緒ですよね。

 トレンドマイクロさんは、ずっとスポンサー参加されていますけど、サービスや提供商品は移り変わっているんですよね。最初はアンチウィルスを売りに来ていましたけど、今はもうほとんど売ってないはずです。どういう製品やサービスが参加者に求められているか考えて、投入する商品を変えているようです。

 1〜2回だとかみ合わせやタイミングが合わないこともありますので、「継続は力なり」というところで参画していただけるといいかな(笑)。是非、少し、お互い経験値が溜まるくらいは何度か継続して商品を出して頂けると、みんなにとって優れた経験が積めるのではないかと思います。

 Hardening Projectという、リアルなビジネスシーンにフォーカスしたセキュリティ競技会の運営側、という視点で言うと「いろんなベンダさん、いろんな商品に、是非、参画して頂きたい!」ですね!その環境を作るという立場では「出来る限りの協力をしますので、何でも持ってきてください!」という心意気です。でも、とはいっても、僕一人でVMを立てているので「資源は効率的に使いましょう!」とも、お伝えしたいですね(笑)。

次回Hardening Projectは、2018年11月21・22日『Hardening II SecurEach(セキュア・イーチ)』

 リアル社会での脅威は日々変化し、またその追撃はとどまることを知らない。このHardening Projectというセキュリティイベントが、毎回リアル社会を反映し、競技参加者にもベンダにも変化を求めるイベントであること。決してただの“ゲーム”ではなく、競技実習での知見を共有するカンファレンスまでを含む二日間で構成されていること。これらを、いかにポジティブに捉え血肉とできるか。それが競技参加者のみならずベンダにも問われる過酷さと面白さがあることが、Hardening Project実行委員の安田真悟氏、参加ベンダであるシスコシステムズ合同会社の坂本祐一氏の両者からうかがえた。

 13回目のHardening Projectは、2018年11月21・22日の2日間、春と同じJTAドーム宮古島にて開催される。両日のイベントの模様は、例年通りOWASP JAPANのYouTube Liveで放送される予定。『Hardening II SecurEach(セキュア・イーチ)』と題された今回のHardeningも、それぞれのセキュリティの取り組みにフォーカスがあたるよう、最新の脅威がふんだんに盛り込まれた内容となることだろう。

(Hardening Projectスタッフ かのうよしこ)