Hardening Project – 「衛る技術」の価値を最大化することを目指す、10年続くセキュリティ・プロジェクト

Hardening Project(ハードニングプロジェクト)とは、セキュリティ堅牢化競技会である「ハードニング競技会」をデザインし、実現するボランティア・プロジェクトです。2012年を皮切りに、毎年継続して開催してきました。

このプロジェクトは、サイバー攻撃により不安に満ちたインターネット社会において、最高の「衛る」ための施策、すなわち技術面と適用の施策を見極める目を持つスペシャリストを発掘・顕彰してきました。サイバーセキュリティの実践力を強力に向上することが目的です。

ハードニング競技会 – 未知の課題を解決する個々の力を引き出し、かつ全体の学びを最大化するためのデザイン

ハードニング競技会は、脆弱性の潜むビジネスシステム(ECサイトなど)へのハードニング(堅牢化)力の強さを総合的に競うコンペティションの形をとります。

ハードニング競技会には、技術者であるかどうかにかかわらず、誰でも応募できます。一般公募と、それに応じた方々の審査によって選出された参加者たちは、たいてい1ヶ月から2ヶ月ほどの準備段階を経て、本番であるHardening Dayに出場し、8時間にわたる攻撃に対応するために全力を傾けます。

競技内容は、セキュリティインシデントが発生すると関係者が直面する現実的な問題を反映しています。それらを、限られた時間でどのように効果的に扱うかに焦点があてられます。

競技は、個人対抗ではなく、チーム対抗です。参加者は、チームでの参加あるいは実行委員会が取り決めたメンバーでチームを構成します。さまざまなテクニカルスキル、ビジネススキルの持ち主によってチームが成り立つようにアレンジされています。

競技は、バーチャル環境 – 仮想のネットワーク環境を用います。競技環境では、各チームは実際にサイバー攻撃を受けますので、あえて仮想環境で構築しているのです。これには、NICTが運営するStarBEDと商用のクラウドサービスを組み合わせて実現しています。

競技のルールはシンプルです。8時間たったあとの「売上(ゲーム内では見込み販売力と呼んでいます)」で決まります。通常の稼働をすれば、ECサイトでは売り上げが上がります。しかし、どんなシステムにも弱点はあるものです。また、どんな人も、オペレーション上のミスをおかします。そこで、セキュリティ問題が起きて止まってしまったり、あるいは人為的な問題が起きてしまったりすると、ビジネスは立ち行かず、売上が上がりません。

8時間というタイムプレッシャーの中、チーム、すなわちビジネス運用の推進・管理体制により、問題のもととなる脆弱性を探し、必要な修正を施し、また、不意に発生する障害 – ”インシデント”に対応しながら、ビジネスをなんとしてでも成果のあがるように死力を尽くす、というわけです。

この競技へのアプローチは、普段から知っている人と組む場合でもそうでない場合でも、「チーム」の判断力や独創性への試練となります。評価の基準は、防御技術力のみならず、サイトの運営を維持する総合力、つまり攻撃に対する堅牢化、それと同時に売り上げの確保、ダウンタイムの最小化、そのためのコミュニケーションスキルのすべてを加味します。

ハードニング競技会を成す、もうひとつの重要な部分は、まさに全チームと運営にかかわる全メンバーによる振り返りです。これが、Softening Dayです。競技の”勝者”も”敗者”も、すべてのチームがどのように対応し、どんな成果を得たか、あるいは得なかったかについて、振り返りが交換されます。

その発表会では、”攻撃者たち”からのフィードバックや、また競技環境の構築についても明かされることで、さらに参加者を含めた全員が体験と知識の両面により、新たな知見を全体で共有することができます。そして、表彰を執り行います。

パンデミックでも、閉塞を突破し続けた。さあ、新たな幕を開こう

コロナ禍の間、どうしていたかを振り返りましょう。

2020年1月24, 25日、沖縄県名護市にて、Hardening 2020 Business Objectivesと銘打ったこの”サミット”を無事に開催しました。来る新しい時代の幕開けとしてセキュリティの意義を印象付けるものとなり、これまでの価値観とこれからの価値訴求の思いをこめ、「HARDENING宣言」を採択いたしました。ぜひ、ご賛同表明のほどお願いいたします。

しかし、これがまさにパンデミックが起きる直前のことであり、そこから先に何が待っているかについて私たちには知る由もありませんでした。同年予定されていたオリンピックは延期されました。また、サイバー攻撃は増加の一途をたどり、国内外での被害も爆発的に増加し、深刻さを増していきました。

そこで、2020年9月、リモートワークによって山積するセキュリティ課題の共有と解消のためオンラインカンファレンスを開催。また11月にはフル・オンラインでのハードニング競技会Hardening 2020 H3DXを実現しました。

2021年に、継続する閉塞感を突破すべく、5月には100名の論客をオンライン上でアンカンファレンスを開催、8つのアジェンダを徹底的に討議しました。それを受けて構成されたオンラインカンファレンスを8月に開催しました。

そうして、11月にはハードニング競技会Hardening 2021 Active Faultをまたもやオンラインで敢行しました。ただし、Softening Dayにあたっては、ハイブリッドでの開催、すなわち、ゆうに2年ぶりに、いくらかでも参加者チームにじかに会うことのできる発表会を楽しみました。

Hardening Projectの参画者たち

Hardening Projectは、学術、民間、行政から志を持つボランティアで構成されています。また、ハードニング競技会で、実際に起きている問題に挑戦するため、セキュリティ技術を開発・推進・活用するさまざまな企業の参画があります。ここに、さまざまな背景をもつ全国の競技参加者が集まってきました。

「競争」と「協調」がデザインされたこのハードニング競技会により、衛る技術の価値は最大化していきます。

2022年、また新たな挑戦の扉を開けましょう。2022年5月27日に、2022年度の計画を発表したところです。

ぜひ、ご参画ください。

企画/実行: WASForum Hardening Project 実行委員会ならびにサポート

  • 門林 雄基 Youki Kadobayashi (奈良先端科学技術大学院大学)
  • 岡田 良太郎 Riotaro Okada (株式会社アスタリスク・リサーチ/OWASP Japan)
  • 中野渡 敬教 Takanori Nakanowatari (OWASP Japan)
  • 淵上真一 Shinichi Fuchigami(日本電気株式会社/OWASP OKINAWA)
  • 根岸 征史 Masafumi Negishi (株式会社インターネットイニシアティブ)
  • 上野 宣 Sen Ueno(株式会社トライコーダ/OWASP Japan)
  • 川口 洋 Hiroshi Kawaguchi(株式会社川口設計)
  • 中西 克彦 Katsuhiko Nakanishi (株式会社FFRIセキュリティ)
  • 中津留 勇 You Nakatsuru (セキュアワークス株式会社)
  • 柳澤 伸幸 Nobuyuki Yanagisawa(株式会社ラック)
  • 宮地 利幸 Toshiyuki Miyachi(国立研究開発法人情報通信研究機構)
  • 安田 真悟 Shingo Yasuda(国立研究開発法人情報通信研究機構)
  • 山城 重成 Shigenaru Yamashiro(株式会社ラック)
  • 三輪 信介 Shinsuke Miwa(国立研究開発法人情報通信研究機構)
  • 鈴木智晴 Tomoharu Suzuki(総務省)

  • 松下めぐみ Megumi Matsushita (株式会社インフォセック)

  • 山崎圭吾 Keigo Yamasaki(株式会社ラック)
  • 北原 憲 Kei Kitahara(株式会社ラック)
  • 青羽 真利 Mari Aoba(株式会社ラック)
  • NICT StarBED 運用サポートの皆様
  • PMO: Web Application Security Forum

Supported By:

Diamond

セキュアワークス株式会社   日本電気株式会社

Platinum

バラクーダネットワークス神戸デジタル・ラボラックイエラエセキュリティシスコシステムズ合同会社グローバルセキュリティエキスパート株式会社

Gold

NTTコミュニケーションズ株式会社ヤフーIIJインフォセックサイボウズオージス総研

Partners

国立大学法人 奈良先端科学技術大学院大学アスタリスク・リサーチ川口設計OWASP Japan

主催

Web Application Security Forum Hardening Project実行委員会

共催

特別協賛

後援

 

Special Thanks to

Naoto Takeno, Kumi Mitani, Satoru Shimoji, Madoka Takechi, Mitsuaki Shiraishi, Shintaro Kato, Keigo Yamazaki, Ken Kitahara, Katsumi Ikeda, Zenki Oshiro with Hardening Club members in KBC, Hiroshi Kobayashi, Mari Takahashi, Yuko Ito, Yoichi Shinoda, Etsuko Ichihara, Yoh Nosaka, Yoshitake Hatada, Norio Suzuki, Hanami Wakabayashi, Yoshiko Kanou, Koichiro Eto, our family and a number of mentors.

特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)
Hardening Project
logo_naikakufu_B
NICT
jpcert_s
ISC2_s
logo_OWASP
NAIST
logo_TRICODER
logo_ARC.inc
川口設計
SecureWorks
NEC
シスコシステムズ合同会社
バラクーダネットワークス
神戸デジタル・ラボ
LAC
ieraesecurity
グローバルセキュリティエキスパート株式会社
NTTcom
ヤフー株式会社
logo_IIJ
infosec_s
DMM.com
cybozu_s
オージス総研