セキュリティスキルをどのように向上させるべきか考えていたタイミングで、私はHardening Projectに出会い、数々の貴重な体験を得ることができました。

Hardening Projectとは「守る技術」の価値を最大化することを目的とした、チーム対抗で脆弱性が含まれるシステムのハードニング力を競うセキュリティイベントです。

▼参考URL

http://wasforum.jp/hardening-project/

原則チームで登録する必要がありますが、1人で飛び込んでどこまで出来るか試すため、個人参加枠に応募し採用いただきました。

大会当日、個人で飛び込んでまず苦戦するのがステークホルダーの対応です。

チームメンバとの自己紹介、役割分担、情報共有方法等大会で必要な打ち合わせを当日実施し、その間には(競技上の)社長から指令が届き、(競技上の)顧客からクレームが発生し、、、などコミュニケーション対応だけであっという間に時間は経過していきます。

また、各種システムの状況確認、ドキュメントの見直し、インシデント記録準備を実施している間に、当然のごとくウェブ改ざん、情報漏洩、システムダウンとインシデントが五月雨式に発生いたします。正直、いつ何が来るかわからない焦りから、キーを叩く手は常に汗をかいていました。

ゲーム感覚ではありますが、売上、顧客対応、社長ミッション等、評価の指標があるので、皆真剣に取り組んでいます。私も例外なく一心不乱に対応したため、振り返りで様々な気づきを得られ、学ぶことがいくつもありました。

また、このような実戦経験は、本番環境であれば責任を問われ胃を痛める辛い体験となりますが、実損害はないと割り切ることで、チームメンバと一緒に前向きにゴールを目指すことが可能です。同じ体験を経た個人参加枠のメンバーとは、これをきっかけにコミュニティが形成され、今でも定期的に情報共有しております。

今後は同様の環境を提供することに挑戦し、セキュリティ体験を広げていきたいと考えております。気軽に皆とワイワイ話しながらインシデントをハンドリングするだけでも、スキルアップし、仲間ができることで意欲が向上するかなと思います。

実際に、ミニハードニング環境構築ワークグループに参加し、体験学習の場を提供できるようチャレンジしております。

Hardening Projectを体験し、「楽しく学ぶ」ことがセキュリティを継続して学習する上で重要な要素の１つであると感じました。

 

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。