新型コロナウイルス、その時リモートでセキュリティ対応はできるのか

時として思わぬ対応に迫られるITエンジニア。新型コロナウイルスが世界中で猛威を振るい、日本でも東京など7都府県において緊急事態宣言が発令された現在、予期せぬ事態に対してリモート環境での対応を必要とするケースが多くなることが予想される。今回、ヤフーのエンジニア向け実践型セキュリティ演習「Micro Hardening」をリモート環境で行うとのことで、取材の機会を得たため、その模様をお伝えする。

演習は、同社の2800人のエンジニアを対象に「セキュリティ意識向上」「セキュリティ対応力向上」を体感・体験・体得してもらことを目的に実施し、直近では2018年下期に2回、2019年上期に1回、同下期に3回(今回含む)実施している。

当初はヤフー本社のセミナールームで開催を予定していたが、新型コロナウイルスによる影響と日本の対応状況を鑑み、リモート実施に変更。今回の演習では、ヤフーの関東圏の従業員や大阪オフィスの従業員など、計9人が3チームに分かれてビデオ会議システムの「Zoom」や「Slack」、Terminalアプリ、VNCクライアントなどを活用し、拠点+リモート、完全リモートでの演習実施方法を確立することを目的とした。

Micro Hardeningは、2011年に実践的な堅牢化技術の価値を最大化することを目的に発足したHardening Projectのサブプロジェクトの1つだ。チームでクラウド上に構築したECサービスを提供するWebサイトを自動化された多様な攻撃から守り、スコアを伸ばすゲーム感覚でサイバー攻撃を繰り返しながら学べ、今回の演習では45分の演習を計3セット実施した。

  • Micro Hardeningの概要

    Micro Hardeningの概要

  • トレーニング内容

    トレーニング内容

チーミングの重要性

ヤフー CISO室 セキュリティ推進室 教育啓発の太田俊明氏は「われわれでは社内のセキュリティ研修を担っているが、座学と訓練、演習に分けている。座学で学び、訓練では学んだ知識を使えるようにし、演習で総合的に発生する事象を解決する。サイバー攻撃に対応した経験がある人は少ないため、体験することで自分事であると考え、行動に移してもらうことを狙っている。スコアは売り上げに加え、さまざまな攻撃からの防御点もあり、ビジネスとセキュリティをいかに両立するかが求められる。また、チーミングは非常に重要で、誰がなにをできるかを把握し、分業で作業を進めていくことが望ましい」と説明する。

演習の流れとしては、事前解説後に1セット目→休憩&振り返り→2セット目→休憩&振り返り→3セット目→休憩→解説となる。

  • 競技環境ネットワークの概要

    競技環境ネットワークの概要

評価方式はECサイトの売り上げがスコアとなり、クローラが定期的に巡回しているため定期的に売り上げが増加していくが、売り上げが増加しない要素はウェブサーバにアクセスできない、ショップが稼働していない、改ざんされているなど。一方で売り上げが増加する要素はショップが稼働し、攻撃をブロックするとボーナスポイントが入る仕組みになっている。

  • 評価方式の概要

    評価方式の概要

  • ECサイトのイメージ

    ECサイトのイメージ

演習はターミナルを2つ起動してサーバにログインし、Webサイトに発生する攻撃はSQLインジェクションやアクセス制御されていない設定ファイルへのアクセス、脆弱なパスワードのユーザーにログイン、DoSの脆弱性を突いた攻撃、管理ポートへの直接接続、管理画面へのログイン、バックドアの操作、不要な情報の表示など。

防御手段はパスワード変更、不要なユーザーの削除、脆弱性のあるアプリのアップデート、不要なサービスの停止、脆弱性のあるアプリの修正、管理画面のアクセス制御、攻撃元IPアドレスのブロック、不要なプラグインの削除、管理ポートのアクセス制御、回復手段はバックドアユーザーの削除、バックドアの削除、停止したサービスの起動となる。

  • 発生する攻撃と取りうる手段の概要

    発生する攻撃と取りうる手段の概要

リモートではツールの選択と活用が重要

演習ではリアルタイムでスコア表に表示され、筆者が見学した際はTeam 1が最もスコアが高い結果となったが、防御点なども評価されるため、一概にスコアが高いからと言って優秀と言うわけではないようだ。そのため、総合的な観点から評価される。

  • スコア表

    スコア表

Micro Hardeningを構築した川口設計 代表取締役の川口洋氏は「リモートの利点としては、例えば作業に集中できることやミーティングなしでも業務を進められ、従来以上に分業しようという気持ちが強まることや連絡経路を積極的に整備しようと試みることなどが挙げられる。リモートだからこそ、どこにいても連絡経路を構築しようという意識が高まり、地方の拠点との距離感がなくなる」と説明する。

川口氏は「リモートでのやりとりは重要であり、現状では新型コロナウイルスの影響に伴いインシデントが発生した際に集まれないことが課題となってくることから、リモートで戦える力を身に付けるためのトレーニングとして位置付けている」と強調する。

また、同氏は人が集まることで容易にできていたことが、リモートの場合だと改めて整理しなければ伝わらない側面もあるため、言語化されやすいという。リモートだけで取り組まなければいけないことに対する、コミュニケーションの在り方を実践できているとも話す。

さらに、遠隔地のエンジニアが参加できるというメリットもあり、地方のエンジニアを育成することで全体のレベル向上が図られるという。そして、川口氏は「大事なことはチームワークの醸成があり、作業の分担・フォローアップの仕組みが構築される。本番環境では失敗はできないため、演習環境で大いに失敗してもらって、失敗から学んでもらえればと思っている」と述べていた。

筆者はリモートでの研修を見学したが、SlackとZoomを有効活用していることが特徴的だった。攻撃を受けている際は、互いに頻繁にZoomで画面をシェアしたり、Slack上で対応策や議論を交わしたりしていることが目についた。

  • Slackで交わされた対応策。得意分野があることで指示を出したり、受けたりすることで分業して作業を進めていた

    Slackで交わされた対応策。得意分野があることで指示を出したり、受けたりすることで分業して作業を進めていた

ともすれば、言わずもがなリモート環境においてはツールの選択と活用は重要性を帯びてくる。現在、リモートワークで活用されている代表的なものとしては、今回の演習のようにZoom、Slackに加え、Microsoft TeamsやCisco Webex、Skype for Businessなどが挙げられるだろう。

今後も予断を許さない状況が続き、5月6日までの約1カ月間はテレワークでの業務継続を続けなければならない企業もある。平時では可能であっても、外出制限がかかるような非常時におけるリモート環境での対策を企業内で構築しておくことも重要なのではないだろうか。