ハードニングプロジェクト – Hardening Project
Hardening Project – 「衛る技術」の価値を最大化することを目指す、10年続くセキュリティ・プロジェクト
Hardening Project(ハードニングプロジェクト)とは、セキュリティ堅牢化競技会である「ハードニング競技会」をデザインし、実現するボランティア・プロジェクトです。2012年を皮切りに、毎年継続して開催してきました。
このプロジェクトは、サイバー攻撃により不安に満ちたインターネット社会において、最高の「衛る」ための施策、すなわち技術面と適用の施策を見極める目を持つスペシャリストを発掘・顕彰してきました。サイバーセキュリティの実践力を強力に向上することが目的です。
ハードニング競技会 – 未知の課題を解決する個々の力を引き出し、かつ全体の学びを最大化するためのデザイン
ハードニング競技会は、脆弱性の潜むビジネスシステム(ECサイトなど)へのハードニング(堅牢化)力の強さを総合的に競うコンペティションの形をとります。
ハードニング競技会には、技術者であるかどうかにかかわらず、誰でも応募できます。一般公募と、それに応じた方々の審査によって選出された参加者たちは、たいてい1ヶ月から2ヶ月ほどの準備段階を経て、本番であるHardening Dayに出場し、8時間にわたる攻撃に対応するために全力を傾けます。
競技内容は、セキュリティインシデントが発生すると関係者が直面する現実的な問題を反映しています。それらを、限られた時間でどのように効果的に扱うかに焦点があてられます。
競技は、個人対抗ではなく、チーム対抗です。参加者は、チームでの参加あるいは実行委員会が取り決めたメンバーでチームを構成します。さまざまなテクニカルスキル、ビジネススキルの持ち主によってチームが成り立つようにアレンジされています。
競技は、バーチャル環境 – 仮想のネットワーク環境を用います。競技環境では、各チームは実際にサイバー攻撃を受けますので、あえて仮想環境で構築しているのです。これには、NICTが運営するStarBEDと商用のクラウドサービスを組み合わせて実現しています。
競技のルールはシンプルです。8時間たったあとの「売上(ゲーム内では見込み販売力と呼んでいます)」で決まります。通常の稼働をすれば、ECサイトでは売り上げが上がります。しかし、どんなシステムにも弱点はあるものです。また、どんな人も、オペレーション上のミスをおかします。そこで、セキュリティ問題が起きて止まってしまったり、あるいは人為的な問題が起きてしまったりすると、ビジネスは立ち行かず、売上が上がりません。
8時間というタイムプレッシャーの中、チーム、すなわちビジネス運用の推進・管理体制により、問題のもととなる脆弱性を探し、必要な修正を施し、また、不意に発生する障害 – ”インシデント”に対応しながら、ビジネスをなんとしてでも成果のあがるように死力を尽くす、というわけです。
この競技へのアプローチは、普段から知っている人と組む場合でもそうでない場合でも、「チーム」の判断力や独創性への試練となります。評価の基準は、防御技術力のみならず、サイトの運営を維持する総合力、つまり攻撃に対する堅牢化、それと同時に売り上げの確保、ダウンタイムの最小化、そのためのコミュニケーションスキルのすべてを加味します。
ハードニング競技会を成す、もうひとつの重要な部分は、まさに全チームと運営にかかわる全メンバーによる振り返りです。これが、Softening Dayです。競技の”勝者”も”敗者”も、すべてのチームがどのように対応し、どんな成果を得たか、あるいは得なかったかについて、振り返りが交換されます。
その発表会では、”攻撃者たち”からのフィードバックや、また競技環境の構築についても明かされることで、さらに参加者を含めた全員が体験と知識の両面により、新たな知見を全体で共有することができます。そして、表彰を執り行います。
パンデミックでも、閉塞を突破し続けた。さあ、新たな幕を開こう
コロナ禍の間、どうしていたかを振り返りましょう。
2020年1月24, 25日、沖縄県名護市にて、Hardening 2020 Business Objectivesと銘打ったこの”サミット”を無事に開催しました。来る新しい時代の幕開けとしてセキュリティの意義を印象付けるものとなり、これまでの価値観とこれからの価値訴求の思いをこめ、「HARDENING宣言」を採択いたしました。
2020年1月25日発表 HARDENING宣言
- 私たちの挑戦は、現場で本当に起きている脅威と向き合うことである。
- それは、強固な計画よりも柔軟な変化を必要とする。
- それは、役割分担よりも連携と協働を必要とする。
- それは、隠蔽しようとする誘惑、単純化しようとする誘惑、そして転嫁しようとする誘惑に抵抗することである。
- それは、現状よりも目的を、知識よりも経験を、コンテンツよりもコンテキストを、そしてアイテムよりもストーリーを重視することである。
- これによってはじめて、異なる視点、異なる意欲、異なる役割、異なる手段をもつ仲間を獲得し、困難に立ち向かうことができる。
- 私たちの挑戦は、この志と企てを共有し、前進することである。
2020年1月25日 沖縄県名護市万国津梁館にて
HARDENING PROJECTハッシュタグ:#HARDENING宣言
このページにてご賛同者を掲載しています。現在も受け付けています。
しかし、これがまさにパンデミックが起きる直前のことであり、そこから先に何が待っているかについて私たちには知る由もありませんでした。同年予定されていたオリンピックは延期されました。また、サイバー攻撃は増加の一途をたどり、国内外での被害も爆発的に増加し、深刻さを増していきました。
そのような中、ハードニングは止まりませんでした。
2020年は、リモートワークによって山積するセキュリティ課題の共有と解消のためオンラインカンファレンスを開催。11月にハードニング競技会Hardening 2020 H3DXを初のフルオンライン形式での実現となりました。2021年には、継続する閉塞感を突破すべく、5月には100名の論客をオンライン上でアンカンファレンスを、またオンラインカンファレンスを8月に開催、それを受けて 11月にはハードニング競技会Hardening 2021 Active Faultをオンライン、プラス、ソフトニングデイをハイブリッドで開催しました。
長いトンネルを抜け、2022年、ついにアフターコロナを象徴する競技会 – Hardening 2022 DECADE – を、万国津梁館(沖縄県名護市)で堂々開催することができました。
この活動は、グッドデザイン賞2022を受賞。さらにセキュリティ業界団体JNSAから、2022年度JNSA特別賞として表彰していただきました。
Hardening Projectの参画者たち
Hardening Projectは、学術、民間、行政から志を持つボランティアで構成されています。また、ハードニング競技会で、実際に起きている問題に挑戦するため、セキュリティ技術を開発・推進・活用するさまざまな企業の参画があります。ここに、さまざまな背景をもつ全国の競技参加者が集まってきました。
「競争」と「協調」がデザインされたこのハードニング競技会により、衛る技術の価値は最大化していきます。
ぜひ、ご参画ください。
主催/企画/実行: Hardening Project実行委員会
- 門林雄基 Youki Kadobayashi (奈良先端科学技術大学院大学)
- 岡田良太郎 Riotaro Okada (株式会社アスタリスク・リサーチ/OWASP Japan)
- 中野渡敬教 Takanori Nakanowatari (OWASP Japan)
- 淵上真一 Shinichi Fuchigami (日本電気株式会社/OWASP OKINAWA)
- 根岸征史 Masafumi Negishi (株式会社インターネットイニシアティブ)
- 上野宣 Sen Ueno (株式会社トライコーダ/OWASP Japan)
- 川口洋 Hiroshi Kawaguchi (株式会社川口設計)
- 中西克彦 Katsuhiko Nakanishi (株式会社FFRIセキュリティ)
- 中津留勇 You Nakatsuru (セキュアワークス株式会社)
- 柳澤伸幸 Nobuyuki Yanagisawa (株式会社ラック)
- 宮地利幸 Toshiyuki Miyachi (国立研究開発法人情報通信研究機構)
- 安田真悟 Shingo Yasuda (国立研究開発法人情報通信研究機構)
- 山城重成 Shigenaru Yamashiro (株式会社ラック)
- 三輪信介 Shinsuke Miwa (国立研究開発法人情報通信研究機構)
- 鈴木智晴 Tomoharu Suzuki (デジタル庁)
- 松下めぐみ Megumi Matsushita (ソフトバンク株式会社)
Kuromame6 技術サポート
- 山崎圭吾 Keigo Yamasaki(株式会社ラック)
- 北原憲 Ken Kitahara(株式会社ラック)
- 松井祐輔 Yusuke Matsui (日本電気株式会社)[new]
- マシス・ザッカリー Zachary Mathis (株式会社神戸デジタル・ラボ)
競技環境 技術サポート
- NICT StarBED 運用サポートの皆様
2024 Supporters
Diamond
Platinum
Gold
Silver
Partners
特別協賛
後援
- OWASP JAPAN
- JPCERT コーディネーションセンター
- JNSA NPO日本ネットワークセキュリティ協会
- ISOG-J 日本セキュリティオペレーション事業者協議会
- (ISC)2 Japan
- ScanNetSecurity
- 日本コンピュータセキュリティインシデント対応チーム協議会
- 沖縄サイバーセキュリティネットワーク
(手続き中のものを含みます)
沖縄開催の力強いご支援に感謝します:
- 内閣府沖縄総合事務局(共催)
- 沖縄サイバーせキュリティネットワーク(後援)
- 沖縄県警察(後援)
- 豊見城市(後援)
Special Thanks to
「HARDENING宣言」(2020年1月採択)にご賛同くださった皆様、
これまで後援してくださった地域の皆様:
宮古島市、兵庫県警察本部、北海道地域情報セキュリティ連絡会(通称「HAISL」)、北海道大学 サイバーセキュリティセンター、沖縄県警察本部、北海道警察本部、名護市、留寿都村の皆様、
これまでさまざまなご助力をしてくださった皆様:
Hirofumi Ohshiro, Mari Aoba, Naoto Takeno, Kumi Mitani, Satoru Shimoji, Madoka Takechi, Mitsuaki Shiraishi, Shintaro Kato, Keigo Yamazaki, Ken Kitahara, Katsumi Ikeda, Zenki Oshiro with Hardening Club members in KBC, Hiroshi Kobayashi, Mari Takahashi, Yuko Ito, Yoichi Shinoda, Etsuko Ichihara, Yoh Nosaka, Yoshitake Hatada, Norio Suzuki, Hanami Wakabayashi, Yoshiko Kanou, Koichiro Eto, our family and a number of mentors.