- 会員限定
- 2012/11/26 掲載
Hardening Oneレポート:スイーツ通販のECサイトでサイバー攻撃が多発!どうする?
明らかになったWebセキュリティの課題
記事をお気に入りリストに登録することができます。
スイーツ通販のECサイトを運営する、とある企業。ある日突然、社長や技術本部の一部が1泊2日の社員旅行に出ることになった。ドキュメントや設定に不備があり、ぜい弱性も放置されたECサイト。途方に暮れるWeb運用チームだったが、一丸となって8時間の試練に立ち向かう──これは都内某所で開催されたセキュリティイベント「Hardening One」で用いられた模擬ECサイトの設定だ。実際に競技が行われている間、セキュリティのプロたちがその模擬サイトにさまざまなサイバー攻撃をしかけてくる。果たして選抜チームの面々は、自社のサイトを守り、売上を維持できるのか。
企業向けIT専門誌の編集記者を経て、フリーランスのライター兼翻訳家(英日)。ソフトバンク ビジネス+ITでは主に戦略やイノベーションなど経営施策に関連するIT関係の記事執筆を担当している。
セキュリティだけでないWebサイトのハードニング戦略
実行委員長
奈良先端科学技術大学院大学
情報科学研究科
准教授
門林雄基氏
関連記事
官公庁サイトなど、DoS攻撃・改ざんが仕掛けられたAnonymousによるサイバー攻撃事件、インターネットバンキングの利用者情報を狙ったポップアップウイルス事件など、Webサイトのセキュリティインシデントは日ごと悪辣さと巧妙さを増している。外部に公開する以上、あらゆるECサイトや企業ホームページが日々、多様な攻撃にさらされている。
しかも、Webサイトやサーバ、ネットワークでは毎年数千件ものぜい弱性が発見されており、過去のぜい弱性に遡って悪用されることも多々ある。これらすべてに対応するには、JavaやMySQL、Linuxカーネルなど、細かい技術知識が必要だろう。
「セキュリティポリシーを設定したり、PDCAやリスクコントロールを規定すれば大丈夫という時代は終わった。複雑化するシステム構成、膨大かつ多岐にわたるセキュリティ知識、詳細なコンピュータ言語の知識、運用戦略など、多角的な視点から堅牢化(ハードニング)を図る必要がある。」
Webアプリケーションセキュリティの研究や情報共有、普及啓蒙を行う「Web Application Security Forum」(WASForum)が主催する「Hardening Project」実行委員会の実行委員長、奈良先端科学技術大学院大学の門林雄基氏は、こう述べる。
ただし、ハードニング戦略は技術要素のみで成立するものではない。Webサイトを健全に保つことは、ECサイトであればそのまま売上に、企業ホームページであれば信頼性に直結する。また、サイト利用者からの苦情や問い合わせへの対応、経営部門への情報のエスカレーションや説明など、内外との的確なコミュニケーションも円滑な事業促進に影響する。
セキュリティ知識、技術力、コミュニケーション能力。これらいずれかが欠けても、安全・安定のWebサイト運用は実現しない。こうした高度な総合スキルが要求されるWebサイト運用者にスポットライトを当て、トップエンジニアを発掘・顕彰するセキュリティイベントが、「Hardening One」だ。同イベントは、2012年4月に開催された「Hardening Zero」に続くもので、競技日の「Hardening Day」と、各チームによる考察や賞の授与が行われる「Softening Day」の2部構成になる。
競技内容は、次のとおり。
【状況設定】
スイーツ通販サイト「Hardening Sweets Shop」を運営する株式会社ハードニング。ある日突然、社長や技術本部の一部が1泊2日の社員旅行に出ることになった。サーバのログイン情報すら引き継ぎされず、ドキュメントや設定に不備があり、ぜい弱性も放置されたWebサイト。途方に暮れるWeb運用チームだったが、何とか気持ちを切り替え、一丸となって8時間の試練に立ち向かう──というのが設定されている状況だ。
【競技環境】
独立行政法人 情報通信研究機構(NICT)の大規模エミュレーション基盤「StarBED」内に構築された仮想のECコマース環境が舞台になる。各チームは、Webサーバやファイアウォール、ロードバランサ、データベースサーバなど、12台の仮想マシンが割り当てられ、これらを運用して競う。
【参加チーム】
今回参加したのは、全8チーム(IT-keys Plus、パケットモンスター、sutegoma2、偏執狂、GSHOCK、おくど、エマダチ、step)で、学生・社会人混成のパケットモンスター以外は社会人チームで、情報セキュリティ関連業務や国防関連、Webサイト診断、インフラエンジニア、セキュリティエンジニアなど、背景はさまざまだが、現場の一線で普段から戦うエンジニアだ。
【得点基準】
「見込み販売力」「技術点」「顧客点」「対応点」の4つの項目で総合的に判断される。見込み販売力が一番高いチームが優秀賞に選ばれる。その他、各スポンサー賞なども用意されている。
スイーツ通販サイト「Hardening Sweets Shop」を運営する株式会社ハードニング。ある日突然、社長や技術本部の一部が1泊2日の社員旅行に出ることになった。サーバのログイン情報すら引き継ぎされず、ドキュメントや設定に不備があり、ぜい弱性も放置されたWebサイト。途方に暮れるWeb運用チームだったが、何とか気持ちを切り替え、一丸となって8時間の試練に立ち向かう──というのが設定されている状況だ。
【競技環境】
独立行政法人 情報通信研究機構(NICT)の大規模エミュレーション基盤「StarBED」内に構築された仮想のECコマース環境が舞台になる。各チームは、Webサーバやファイアウォール、ロードバランサ、データベースサーバなど、12台の仮想マシンが割り当てられ、これらを運用して競う。
【参加チーム】
今回参加したのは、全8チーム(IT-keys Plus、パケットモンスター、sutegoma2、偏執狂、GSHOCK、おくど、エマダチ、step)で、学生・社会人混成のパケットモンスター以外は社会人チームで、情報セキュリティ関連業務や国防関連、Webサイト診断、インフラエンジニア、セキュリティエンジニアなど、背景はさまざまだが、現場の一線で普段から戦うエンジニアだ。
【得点基準】
「見込み販売力」「技術点」「顧客点」「対応点」の4つの項目で総合的に判断される。見込み販売力が一番高いチームが優秀賞に選ばれる。その他、各スポンサー賞なども用意されている。
【次ページ】無事守りきったのか?総合力を問う4つのリスクポイント
関連タグ
あなたの投稿
PR
PR
PR
