ハッカーから情報守るハードニングプロジェクトとは

琉球朝日放送 報道制作局 2016年11月4日
※ 著作権や肖像権などの都合により、全体または一部を配信できない場合があります。
16-11-04-repo

今週、宜野湾市のコンベンションセンターで、情報セキュリティの競技会が開かれました。情報セキュリティというと、何やら難しい感じがしますし、あまり競い合うというイメージはありませんよね。しかし実は、ハッカーやテロリストから情報を守る、という白熱したバトルが繰り広げられたというんです。一体どんな競技会だったんでしょうか?実近記者が取材しました。

今週火曜日、続々と会場に集まる人たち。彼らは、日本全国から集まった企業のIT部門のエンジニア。多くが、日々情報セキュリティに関わるエキスパートです。

「皆様は今回のハードニングに挑んでいただきます」

ハードニングプロジェクトと名付けられたこのイベント。国内でも異色の、情報セキュリティの様々な技術を競技会形式で競うもので、参加者数の3倍の応募があるなど、近年人気が高まっています。競技参加者は、およそ70人。11のチームに分けられます。ほぼ全員が初対面です。

質問「これ今皆さん、どういうことを中でやっているんですか?」

ハードニングプロジェクト門林 雄基 実行委員長「そうですね、皆さんはクラウドの中に作られた、Eコマースサイト、いわゆるショッピングサイトを運営されているんですね、ただそのショッピングサイトには色々セキュリティ上の問題がありまして、そのセキュリティ上の問題をサイバー攻撃によって、突かれているという状況です」

チームが運営するのは、架空のショッピングサイト。競技が始まると、これらのショップに対して、サーバーをダウンさせたり、ウェブページを改ざんしたり、個人情報を盗んだりと、様々なサイバー攻撃が次々に行われます。

競技では、こうした攻撃に一つ一つ対応しながら、同時に、オンランショップの売上をいかに維持し続けられるかを問うもので、制限時間8時間の中で、最も売上が高かったチームが優勝となります。競技会場には、各チームの売上がリアルタイムで表示されています。

「こちらは、各チームを攻撃するハッカーたちが待機する部屋です。セキュリティのスペシャリストたちが様々な手段で攻撃を行なっていきます。」

競技開始からまもなく、ハッカーの攻撃が始まります。モニターでターゲットのチームを狙います。

ハッカー役「そのチームでウインドウズを開いている人のところがバチンと落ちます」

そして会場では、競技者「うん?またウインドウズが、落ちましたね、また落ちたー」次々と加えられるハッカーの攻撃。競技者「えー!」競技者「あれ、なぜ落ちた?」一つ一つのサイバー攻撃に対する対策の早さが、売上の復旧につながります。

こちらはWebページが完全にのっとられています。競技者「運営しているウェブサイトがほとんど大半繋がらなくなっている状況でして」競技者「サーバー自体が生きているのか死んでいるのか、っていう状況はわかりますか」競技者「あー、きてないな、っぽいな」

こちらは、これまで売上トップを走っていたチーム。競技者「全部死んでるんだ、全部死んでる」競技者「全部止まっちゃったっていう状態」復旧には、高度なスキルだけでなく、チームワークも問われます。

一方こちらは、この時点での売上、最下位のチーム。競技者「絶望的な、売上が全く上がらない状況で」かなり苦しい状況です。

競技では、技術的な障害を復旧させることだけでなく、並行して、顧客への対応、カスタマーサポートも評価の対象となります。

競技者「お客様からプライバシーポリシーと特定商取引に関する表記がないんですけど大丈夫ですかっていう連絡をいただいたので」障害発生時のクレーム対応など、あらゆる危機管理体制が問われているのです。さらにはこんなことも。

競技者「情報が流出してしまいましたお客様には大変なご迷惑とご心配をおかけしましたことを深くおわび申し上げたいと思います。本当に申し訳ございませんでした。」情報漏洩があったチームによる、記者会見。広報対応も評価の対象となるのです。

競技者「流出したデータの補償に関しては、検討していきたいと思います、(記者役:するんですか、しないんですか?お客さんはそこを聞きたいんじゃないんですかね、そのための記者会見だと思うんですけど)あの前向きに検討していきたいと思います。(記者:前向きってどういうことですか)・・・」会見で顧客にきちんと説明ができると売上は維持できますが、失敗すると、売上は落ち込みます。

競技者「詰め寄られるっていうのは、なかなか難しいところですね」

8時間にわたって情報セキュリティ分野におけるあらゆるスキルが競われた、今回の競技会。

競技者「僕自身はECサイトの運営とか保守をやっているんですけど、すごい怖い思い、背筋が凍るような思いできて、そこは良かったなと思います。」競技者「こんなにも問題が起こり続ける一日っていうのはないので、実際に危機感を持ちながら冷静に対応するのはすごい難しいなと思っていて」競技者「すべての産業において、セキュリティというものがどういうもので、ITを扱っている以上、どういうことを覚悟しなくちゃいけなくて、何かが起きた時にはどうすべきか、こういった事柄の「いろは」の「い」ぐらいはしっかりと認識しなくちゃいけない」

日本年金機構の個人情報漏えい問題など去年、国内で発生したサイバー攻撃は過去最多となっていて、セキュリティ技術の向上は緊急の課題です。次回は来年6月、また沖縄で開催されます。

すごいハッカーと、競技者たちの攻防がすごいですね。このイベントですが、日本各地からエンジニアを集めやすいく、また普段とはちょっと違う環境で競技をしようということで、ここずっと沖縄で開催しているということなんですね。

主催者側では、今後はアジアの参加者も増やしていきたいと話していて、こうして沖縄が情報セキュリティの発信地になっていくと面白いですね。