Hardening Project – 「衛る技術」の価値を最大化することを目指す、10年続くセキュリティ・プロジェクト

Hardening Project(ハードニングプロジェクト)とは、セキュリティ堅牢化競技会である「ハードニング競技会」をデザインし、実現するボランティア・プロジェクトです。2012年を皮切りに、毎年継続して開催してきました。

このプロジェクトは、サイバー攻撃により不安に満ちたインターネット社会において、最高の「衛る」ための施策、すなわち技術面と適用の施策を見極める目を持つスペシャリストを発掘・顕彰してきました。サイバーセキュリティの実践力を強力に向上することが目的です。

ハードニング競技会 – 未知の課題を解決する個々の力を引き出し、かつ全体の学びを最大化するためのデザイン

ハードニング競技会は、脆弱性の潜むビジネスシステム(ECサイトなど)へのハードニング(堅牢化)力の強さを総合的に競うコンペティションの形をとります。

ハードニング競技会には、技術者であるかどうかにかかわらず、誰でも応募できます。一般公募と、それに応じた方々の審査によって選出された参加者たちは、たいてい1ヶ月から2ヶ月ほどの準備段階を経て、本番であるHardening Dayに出場し、8時間にわたる攻撃に対応するために全力を傾けます。

競技内容は、セキュリティインシデントが発生すると関係者が直面する現実的な問題を反映しています。それらを、限られた時間でどのように効果的に扱うかに焦点があてられます。

競技は、個人対抗ではなく、チーム対抗です。参加者は、チームでの参加あるいは実行委員会が取り決めたメンバーでチームを構成します。さまざまなテクニカルスキル、ビジネススキルの持ち主によってチームが成り立つようにアレンジされています。

競技は、バーチャル環境 – 仮想のネットワーク環境を用います。競技環境では、各チームは実際にサイバー攻撃を受けますので、あえて仮想環境で構築しているのです。これには、NICTが運営するStarBEDと商用のクラウドサービスを組み合わせて実現しています。

競技のルールはシンプルです。8時間たったあとの「売上(ゲーム内では見込み販売力と呼んでいます)」で決まります。通常の稼働をすれば、ECサイトでは売り上げが上がります。しかし、どんなシステムにも弱点はあるものです。また、どんな人も、オペレーション上のミスをおかします。そこで、セキュリティ問題が起きて止まってしまったり、あるいは人為的な問題が起きてしまったりすると、ビジネスは立ち行かず、売上が上がりません。

8時間というタイムプレッシャーの中、チーム、すなわちビジネス運用の推進・管理体制により、問題のもととなる脆弱性を探し、必要な修正を施し、また、不意に発生する障害 – ”インシデント”に対応しながら、ビジネスをなんとしてでも成果のあがるように死力を尽くす、というわけです。

この競技へのアプローチは、普段から知っている人と組む場合でもそうでない場合でも、「チーム」の判断力や独創性への試練となります。評価の基準は、防御技術力のみならず、サイトの運営を維持する総合力、つまり攻撃に対する堅牢化、それと同時に売り上げの確保、ダウンタイムの最小化、そのためのコミュニケーションスキルのすべてを加味します。

ハードニング競技会を成す、もうひとつの重要な部分は、まさに全チームと運営にかかわる全メンバーによる振り返りです。これが、Softening Dayです。競技の”勝者”も”敗者”も、すべてのチームがどのように対応し、どんな成果を得たか、あるいは得なかったかについて、振り返りが交換されます。

その発表会では、”攻撃者たち”からのフィードバックや、また競技環境の構築についても明かされることで、さらに参加者を含めた全員が体験と知識の両面により、新たな知見を全体で共有することができます。そして、表彰を執り行います。

パンデミックでも、閉塞を突破し続けた。さあ、新たな幕を開こう

コロナ禍の間、どうしていたかを振り返りましょう。

2020年1月24, 25日、沖縄県名護市にて、Hardening 2020 Business Objectivesと銘打ったこの”サミット”を無事に開催しました。来る新しい時代の幕開けとしてセキュリティの意義を印象付けるものとなり、これまでの価値観とこれからの価値訴求の思いをこめ、「HARDENING宣言」を採択いたしました。

2020年1月25日発表 HARDENING宣言

  1. 私たちの挑戦は、現場で本当に起きている脅威と向き合うことである。
  2. それは、強固な計画よりも柔軟な変化を必要とする。
  3. それは、役割分担よりも連携と協働を必要とする。
  4. それは、隠蔽しようとする誘惑、単純化しようとする誘惑、そして転嫁しようとする誘惑に抵抗することである。
  5. それは、現状よりも目的を、知識よりも経験を、コンテンツよりもコンテキストを、そしてアイテムよりもストーリーを重視することである。
  6. これによってはじめて、異なる視点、異なる意欲、異なる役割、異なる手段をもつ仲間を獲得し、困難に立ち向かうことができる。
  7. 私たちの挑戦は、この志と企てを共有し、前進することである。

よろしければ、ご賛同表明していただくことができます。

2020年1月25日 沖縄県名護市万国津梁館にて
HARDENING PROJECT

ハッシュタグ:#HARDENING宣言

しかし、これがまさにパンデミックが起きる直前のことであり、そこから先に何が待っているかについて私たちには知る由もありませんでした。同年予定されていたオリンピックは延期されました。また、サイバー攻撃は増加の一途をたどり、国内外での被害も爆発的に増加し、深刻さを増していきました。

そこで、2020年9月、リモートワークによって山積するセキュリティ課題の共有と解消のためオンラインカンファレンスを開催。また11月にはフル・オンラインでのハードニング競技会Hardening 2020 H3DXを実現しました。

2021年に、継続する閉塞感を突破すべく、5月には100名の論客をオンライン上でアンカンファレンスを開催、8つのアジェンダを徹底的に討議しました。それを受けて構成されたオンラインカンファレンスを8月に開催しました。

そうして、11月にはハードニング競技会Hardening 2021 Active Faultをまたもやオンラインで敢行しました。ただし、Softening Dayにあたっては、ハイブリッドでの開催、すなわち、ゆうに2年ぶりに、いくらかでも参加者チームにじかに会うことのできる発表会を楽しみました。

Hardening Projectの参画者たち

Hardening Projectは、学術、民間、行政から志を持つボランティアで構成されています。また、ハードニング競技会で、実際に起きている問題に挑戦するため、セキュリティ技術を開発・推進・活用するさまざまな企業の参画があります。ここに、さまざまな背景をもつ全国の競技参加者が集まってきました。

「競争」と「協調」がデザインされたこのハードニング競技会により、衛る技術の価値は最大化していきます。

2022年、また新たな挑戦の扉を開けましょう。2022年5月27日に、2022年度の計画を発表したところです。

ぜひ、ご参画ください。

企画/実行: WASForum Hardening Project 実行委員会

  • 門林雄基 Youki Kadobayashi (奈良先端科学技術大学院大学)
  • 岡田良太郎 Riotaro Okada (株式会社アスタリスク・リサーチ/OWASP Japan)
  • 中野渡敬教 Takanori Nakanowatari (OWASP Japan)
  • 淵上真一 Shinichi Fuchigami (日本電気株式会社/OWASP OKINAWA)
  • 根岸征史 Masafumi Negishi (株式会社インターネットイニシアティブ)
  • 上野宣 Sen Ueno (株式会社トライコーダ/OWASP Japan)
  • 川口洋 Hiroshi Kawaguchi (株式会社川口設計)
  • 中西克彦 Katsuhiko Nakanishi (株式会社FFRIセキュリティ)
  • 中津留勇 You Nakatsuru (セキュアワークス株式会社)
  • 柳澤伸幸 Nobuyuki Yanagisawa (株式会社ラック)
  • 宮地利幸 Toshiyuki Miyachi (国立研究開発法人情報通信研究機構)
  • 安田真悟 Shingo Yasuda (国立研究開発法人情報通信研究機構)
  • 山城重成 Shigenaru Yamashiro (株式会社ラック)
  • 三輪信介 Shinsuke Miwa (国立研究開発法人情報通信研究機構)
  • 鈴木智晴 Tomoharu Suzuki (総務省)
  • 松下めぐみ Megumi Matsushita (株式会社インフォセック)

Kuromame6 技術サポート

  • 山崎圭吾 Keigo Yamasaki(株式会社ラック)
  • 北原憲 Ken Kitahara(株式会社ラック)
  • 松井祐輔 Yusuke Matsui (日本電気株式会社)[new]
  • マシス・ザッカリー Zachary Mathis (株式会社神戸デジタル・ラボ)[new]

競技環境 技術サポート

  • NICT StarBED 運用サポートの皆様

2022 Supported By:

Diamond

Platinum

Gold

Silver

Partners

主催

Web Application Security Forum Hardening Project実行委員会

共催

特別協賛

後援

 

Special Thanks to

「HARDENING宣言」(2020年1月採択)にご賛同くださった皆様、
これまでさまざまなご助力をしてくださった皆様:
Mari Aoba, Naoto Takeno, Kumi Mitani, Satoru Shimoji, Madoka Takechi, Mitsuaki Shiraishi, Shintaro Kato, Keigo Yamazaki, Ken Kitahara, Katsumi Ikeda, Zenki Oshiro with Hardening Club members in KBC, Hiroshi Kobayashi, Mari Takahashi, Yuko Ito, Yoichi Shinoda, Etsuko Ichihara, Yoh Nosaka, Yoshitake Hatada, Norio Suzuki, Hanami Wakabayashi, Yoshiko Kanou, Koichiro Eto, our family and a number of mentors.