2016年2月22日（月）

心技体を鍛えるサイバー防衛競技会のススメ

 富士ゼロックス株式会社 新規事業開発部
 筒井　淳平

　
　みなさん、突然ですが防災の備えは万全ですか？
 
　私は先日、自宅周辺が海抜1mだということを知り、家族でハザードマップを確認しました。離れ離れになった場合の集合場所を決め、食料や飲料もある程度の量を常時確保できるようできるだけ心がけています。避難経路についても実際に歩いてみることが重要です。三陸沖地震をきっかけに、避難訓練に高台まで走ることを導入した地域もあると聞きます。
　サイバーセキュリティでも大切なことは変わりません。普段からどれだけ準備ができているか、現場でどれだけ体が動くかが明暗を分けるため、訓練が必要です。しかし、企業で提供しているようなシステムへのサイバー攻撃に対する、本格的な防災訓練が実施できるかというと、なかなか難しいのではないでしょうか。
 
　過去のセキュリティ月間のコラムでも何度か紹介されていますが、”Hardening Project”という、「システム、ひいてはビジネスをサイバー攻撃から守る力」を競う競技イベントがあります。私自身も過去2回参加しており、このイベントがサイバー防衛における心技体を鍛える訓練として非常に有用だと感じています。
 
　この競技で鍛えられる”技”とは、ITスキルだけのことではありません。システムのみならずビジネスを守るためには、攻撃を受けてしまった場合のマネジメント力や顧客対応力など、組織としての総合的なスキルと知識が必要となります。競技ではこの部分が勝敗の大きなカギとなるため、参加準備から競技当日までを通して、”技”の鍛錬やその動機付けに大きな効果があります。
 
　一方で参加してこそ鍛えられるのが、”体”です。これはまさに身をもってサイバー攻撃を体験することです。日頃のニュースやWebサイトなどで、サイバー事件、脆弱性の情報を目にはするものの、ともすれば対岸の火事のように受け止めてしまいがちです。「あの脆弱性がこんな風に影響するのか」「あのニュースと同じ情報漏洩はこんなに簡単に起きてしまうのか」と、セキュリティインシデントをリアルに感じ、その対応までを経験することで、実際に動ける”体”を鍛えることができるでしょう。
 
　最後に、”心”の部分は様々な観点から鍛えられると思いますが、その一つは、実行委員や参加者の方々と交流することが、高い意識を持つ良い刺激となることです。競技におけるルールや攻撃手法は、第一線のセキュリティ専門家たちが現実世界を模して用意したものであるため、これを体験することで専門家のマインドセットを知り、自身に取り込むことができます。また、競技中は非常に苦しい思いをする場合があるので、折れない心を鍛えることもできるかもしれません。
 
　Hardening Projectについてはインターネット上に多くの情報がありますので、興味のある方はぜひそちらもご覧ください。前述の通り、このイベントはITスキルだけを競うものではありませんので、たとえあなたがIT技術者でなくても、参加に尻込みをする必要はありません。次回の参加者はこのコラムを読んでしまうほど意識の高いあなたです！

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。