「衛る技術」の価値を最大化するプロジェクトである Hardening Project に、シスコは 2016 年よりスポンサーとして参画しています。2024 年 10 月中旬にこのプロジェクトの競技会である Hardening 2024 Convolutions が、沖縄県豊見城市の沖縄空手会館で開催され、シスコはこの競技会にマーケットプレイスという役割にて参加しました。過去のシスコからの参加レポートは Hardening というタグをつけてシスコ公式ブログにて公開しております。
会場となった沖縄空手会館の道場
Hardening 2024 Convolutions とは
公式サイトによると、
=======
Hardening 2024 Convolutions は、サイバーセキュリティとビジネススキルを活かすイベントで、参加者を募集中です。技術者だけでなく、ビジネススキルを持つ方も参加可能です。参加者はチームを組み、ビジネスウェブサイトの運用と改善を行い、様々な攻撃に対するセキュリティ対応を実施します。このプロセスを通じて、素晴らしい体験を得て新たな仲間を見つけ、体験に基づく知見を得ることができます。
=======
と説明されております。
Hardening Project は、インターネット社会におけるセキュリティの強化を目的として設けられた、技術者のスキルと知識、即ち「衛る技術」が問われるイベントです。 ハードニング競技会では、実際に存在するような EC サイト等のサイバー攻撃に対する堅牢性を競います。
参加資格はセキュリティの技術者だけではありません。競技は個人ではなくチームで行われるため、様々なスキルや役割を持つメンバーが一丸となって課題に取り組みます。セキュリティの技術に長けたエンジニアだけでなく、広報や法務系等の業務に携わる方々がそれぞれの得意分野を活かして活躍しています。
競技参加者はランダムに 6-7 名のチームに配属され、本番の競技会に向けて組織を形成し、技術面やビジネス面の準備等を実施していきます。
今回はこのようなチームが 15 チームも構成され、競技会に臨んでいました。
競技会当日は、参加者は 8 時間という限られた時間の中で、NICT が運営する StarBED と商用のクラウドサービスを組み合わせて構築された仮想環境内でのサイバー攻撃に対応しながらビジネスを維持し、チーム毎に割り当てられたビジネス EC サイトの売上を上げなければなりません。各チームは顧客対応や在庫管理等のビジネス運用を行いつつ、システムの堅牢化やサイバー攻撃対応に力を注ぎ、万が一情報漏洩等のインシデントが発生した際には記者会見を開き報告書を提出、さらには攻撃情報や脆弱性について JPCERT/CC などに情報提供を行う等、実際に起こりうる状況をできるだけ再現するような内容となっています。
競技終了後は、制限時間内に得られた売上に基づき順位が決定されますが、その過程で発生する可能性のあるセキュリティインシデントや運用上のミスに対処する能力も重要視され、採点対象となります。このようなプレッシャーのもとで、チームはビジネスを維持するための技術的な対策とビジネス戦略的な判断を迫られます。
今年は、競技から 2 日後に Softening Day があり、この日はすべてのチームが経験を共有し、それぞれどのように問題に対処したか、またどんな成果を上げたか、もしくは上げられなかったかについて振り返ることで知見の共有が行われました。攻撃者側からのフィードバックや、競技環境の構築についての情報共有も行われ、最終的には優れた成績を収めたチームが表彰されました。
競技会の様子 (Hardening Project提供)
マーケットプレイスの役割
この競技会には、各チームの EC サイトの運営への手助けとなる、マーケットプレイスという仕組みがあります。スポンサーである会社が自社のサービスや製品を提供することで、各チームの EC サイトの堅牢化に対する技術支援やインシデント時の人的な対応支援などを行うことができます。
ここ数年、シスコはこのマーケットプレイスにて、以下の 2 つの製品を競技会の環境に持ち込み、マネージドサービスを提供しています。
- Firewall & IPS: Cisco Secure Firewall Threat Defense (FTD)
- Endpoint Detection and Response (EDR): Cisco Secure Endpoint
今年もこの 2 つの製品を使ってマネージドサービスとスレットハンティングサービスを競技者の皆様に提供しました。また、内部的には Splunk Enterprise や Webex を連携させ、迅速にアラートやインシデントを見つけるようにしました。
準備から現場まで対応したシスコのエンジニアは、小林達哉 (セキュリティプリセールス)、瓜倉格 (セキュリティプロフェッショナルサービス)、吉川優紀 (セキュリティプロフェッショナルサービス)、松本昌均 (SOC アナリスト) の 4 名です。
競技会に参加したシスコマーケットプレイスメンバー
実際にどのようにこれらの製品を運用したかを解説したいと思います。
Cisco Secure Firewall Threat Defense (FTD)
FTD は、Firewall + IPS の機能を持った次世代 Firewall 製品です。この「次世代」ということばも使い古されていますが、L4 レベルのベーシック Firewall との棲み分けの意味で「次世代 Firewall」と表現しています。Firepower 4145 のハードウェアアプライアンスに、複数の FTD のインスタンスを構築し、管理サーバとなる Firewall Management Center として、FMC 4700 と合わせて FTD のマネージドサービスを提供しました。
競技会でシスコのマーケットプレイスのサービスを購入したチームには、Firewall や IPS にてパケットフィルタリングや攻撃防御をして欲しい内容を、オンラインや口頭にて依頼をしてもらい、シスコ側がその要求を実現する設定を FTD に実施する、というマネージドサービスを実施しました。
FMC で設定したアクセスコントロールポリシー
FMC では、様々なイベントを監視し、解析することができます。通信ログも攻撃検知イベントもまとめて1つの画面でリアルタイムに監視することが簡単な Unified Event Viewer で発生するイベントを目視しておりました。
さらには、FTD からの syslog を Splunk Enterpriseをインストールしたサーバで受け付けるようにリアルタイムで解析することで、不審な通信や攻撃かもしれないイベントを見つけ次第、すぐにシスコから積極的に競技者チームに情報提供を行うようなスレットハンティングサービスも行いました。
Splunk Enterprise での管理画面
競技終了後には FMC で生成した通信内容や攻撃解析のレポートを競技者チームに提供することができました。
Secure Endpoint は EDR と EPP の機能を兼ね備えた、シスコが提供するエンドポイント・セキュリティ製品です。端末に Connector と呼ばれるエージェントソフトウェアを導入し、このエージェントが端末上で動作するファイルの SHA256 のハッシュ値を瞬時に計算し、そのハッシュ値を持つファイルが既知の危険なファイルなのか安全なファイルなのか、あるいは未知のファイルなのかを判断して適切なアクションを取ることができます。
マルウェアが侵入した経路やその後の感染拡大の状況等も、デバイス単位やファイル単位で詳細に追跡することができます。また、そのときには未知のファイルだったとしても、後から危険なファイルだとわかった際に、そのファイルの判断をリコールし、既知の危険なファイルとして取り扱うことが可能です。
Secure Endpoint 管理コンソールでのデバイストラジェクトリ確認画面
今年は Secure Endpoint からのイベント通知をフィルタした結果を Webex で受け取り、リアルタイムでのインシデント確認に活かすことができました。実際に端末からの不審な通信を見つけることもできました。
Secure Endpoint と Webex の連携
マーケットプレイスとしての活動結果
過去の経験を踏まえ、念入りにサービス提供の準備を行い、また、様々な機会で競技参加者のみなさまにシスコのサービスをアピールしました。おかげさまで、過去の実績も影響し、シスコのマーケットプレイスのサービスに対して多数のチームからの購入お申し込みを受け、抽選で 3 チームにこのサービスを競技中に提供しました。競技中、およびその後のレポート提供や分析の相談など、非常に中身の濃いマネージド&スレットハンティングサービスを提供できたものと思っております。特に今年は、他社の「マーケットプレイス導入支援サービス」のサポートもあり、FTD での TLS 復号を実施できたチームがありました。ここ数年で提供したい機能の 1 つだったので、非常にやりがいがありました。
Softening Day では、シスコのサービスを利用されたチームのフィードバックはもちろん、他社のサービスを利用された方のお話も興味深く聞くことができました。利用されたチームのうち 2 チームから「チームに最も貢献したマーケットプレイスの会社名」としてシスコの名前を挙げていただけました。毎年のことですが、このときにシスコの名前が出ることが、「頑張ってきて良かった」と感じて報われる瞬間だと思います。残念ながら、Most Variable Vendor の賞は逃してしまいましたが、今年の活動には非常に満足できたと感じました。
振り返りと今後に向けて
シスコの Firewall & IPS と EDR が、過酷な環境でもしっかりと「衛るチカラ」があることはもちろん、シスコが誇るプロフェッショナルサービスや SOC サービスを併用することでその「衛るチカラ」が大きく向上することを、今年も競技参加者や関係者の皆様にアピールできたものと思っております。
私はこの Hardening Project の面白さと辛さの両方にすっかり魅了されております。「来年はどんなことをやってみようか。あれもやってみたい。これもやってみよう。シスコのセキュリティをもっと使いこなして見せつけていきたい」と、競技会が終わった瞬間から考えだしてしまうほどです。来年以降もなんとか機会を得られるように努力し、マーケットプレイスとして本プロジェクトを盛り上げていきたいと感じております。
このような最高に面白くて辛い競技会を企画 & 実行された運営および攻撃チームのみなさま、競技に参加されたみなさま、マーケットプレイスのみなさま、その他関係者のみなさま、ありがとうございました。
関係者全員での「やりきった感」満載の集合写真 (Hardening Project提供)
Authors