澄み渡る青い空、エメラルドブルーの海、きらめく太陽。
最高の天気に恵まれ、僕たちは沖縄にやってきた。そう、バカンス 戦いに!過去、弊社のエンジニア達が幾度も戦ってきた「Hardening Day(ハードニングデイ)」。
今年は大阪からエンジニア1名、そして東京からは初の「非エンジニア1名」が参戦してきました。
申し遅れました。
わたくし、カスタマーサポート部の宮川と申します。

普段の業務は、弊社製品である「AD EBiS」のサポートセンターの一員として、お客様からのお問い合わせや、製品の設定や活用方法に関してご案内しています。

なので、HTMLやWordpressは少し使ったことがあるけど、プログラミングに関しての知識はあまりない「非エンジニア」となります。

「Hardening Day」って何でしょう??

さて、まずは「Hardening Day」って何でしょう?って方のために、去年の様子を振り返ってみたいと思います。

[ECサイトの売り上げを守れ!新卒エンジニアが沖縄でサイバー攻撃と戦ってきた件]

要点だけまとめると、

  • 1泊2日のサイバーセキュリティ競技会
  • 6人1チームで仮想の企業とECサイトを運営し売上を競う
  • 運営側が「kuromame 6」という仮想敵となり、各チームに様々なサイバー攻撃をしかける
  • 各チームはシステムとサービスの両面を堅牢化(ハードニング)
  • 競技終了後に所持金が一番多いチームが優勝

詳細は【Web Application Security Forum – WASForum】のサイトをご覧ください。
この「サイバー攻撃からECサイトを守る」という、一見するとゴリゴリのエンジニア系イベントに見える「Hardening Day」に、どうして「非エンジニア」が参加することになったのか…

全てはこの男が放った一言にありました。

右側の男性エンジニア「斉田」

「Hardening Dayは、ECサイトも運営しなきゃいけないので、顧客対応などのフロント業務も多く、エンジニア以外でも活躍できる状況はいっぱいありますよ!
いや、むしろエンジニア以外の人が居てくれるとめっちゃ助かる!是非!

この一言に背中を押され、参加を決意したのでした。

そう「Hardening Day」とは、Webセキュリティの堅牢化ではなく、「ビジネスの堅牢化」を目指す大会。

「ビジネスの堅牢化」が一番大事!
大事なことなので、2回言いました。
例えば、

  • 顧客情報は漏えいしてないけど、「在庫切ればかり」のECサイト
  • お問い合わせしたけど、何日も返事が来ないECサイト

嫌ですよね。こんなサイトで買おうと思わないですよね。
だから、エンジニアじゃなくても、ビジネスとしてキチンと成立させるために活躍できる状況があるのです!

そうまさに「世界は誰かの仕事でできている」。

全国各地から沖縄へ

6/22、まだ梅雨が明けきらない沖縄に到着。

(左)東京から参戦の宮川、(右)大阪から参戦のエンジニア西岡

那覇空港から出たとたん、むわっとした熱気にやられそうに・・・。
「熱いぜ!沖縄!」と叫びたくなる気持ちをこらえ、ゆいレールで那覇市内へ。

チームメンバーは事前に決められています。
今回、我々のチームは、沖縄2名・東京2名・大阪1名といったメンバー構成。(直前で参加キャンセルがあったため、今回は1人少ない5人で頑張ります)
Skypeで顔合わせは行っていたものの、会うのは今日が初めての面子ばかり。

少し緊張しながら国際通りの集合場所(ぱいかじ国際通り店)へ向かいました。

チームメンバーと合流し、飲み会作戦会議!

一同に会した「チーム:シーサーと仲間たち」

去年のブログにもあるように、実はこの飲み会、ただの飲み会ではありません。

運営側から、「明日の資料できました!確認お願いします!」と、飲み会が始まるタイミングを見計らったかのように、大会ルールやシステム環境や構成など、60ページ以上に渡るとても重要な内容が書かれた資料がメールで通達されてくるんです・・・。

しかも「マーケットプレイスで商品の取り合いになった場合は、沖縄経済への貢献度(レシートの長さ=金額)で決めます♥」と、冗談なのか本気なのか分からないコメントも添えられています。
どうしよう・・・

とりあえず、喰って飲むか♪

いや、喰って飲んでいる場合ではない・・・。

盛り上がる沖縄民謡ライブ
ライブそっちのけで、黙々と資料を読み込むチームメンバー

ライブが最高潮を迎える中、資料を読み込み、各自の担当や事前に立てた作戦などを確認し、翌日への不安を酒で紛らわし、打ち合わせは終了となりました。

[Hardening Day] ついに競技が始まる!

会場の様子

6/23、大会当日。ついにこの日がやってきました。
前日に沖縄の梅雨明けが発表され、快晴に恵まれた中、ここ「沖縄コンベンションセンター」に参加者が集結しました。
みんなこれから起こる地獄を想像しての緊張からか、不敵な笑みを浮かべています。

流行りのランサムウェアと某合衆国の〇〇ンプ大統領をモデルにしたオープニングムービーが流れたあと、大会運営者のあいさつと内閣府の方による開会宣言をもって、午前9時46分、ついに本大会「Hardening 1010 Cash Flow」の火蓋が切って落とされました。

ここから10時間の長丁場が始まる!
(昨年まで8時間だったけど、今回は第10回目ということで、10時間に拡大されました。)

ルールは簡単。
「10時間後にもっとも所持金が多いチームが優勝」です。

今回「非エンジニア」である私は「受注管理、在庫管理、売上管理、ECサイトの表示チェック、広告購入などのマーケットプレイスでの購入まわり、顧客からの問い合わせ」などのフロント業務を担当することに。(売り上げを上げないといけない責任が重くのしかかる)

顧客対応なら毎日やっている、こっちはプロだ「任せてくれ!」と意気込み、仮想環境にログイン。

あ・・・ログインできない・・・

早くも躓いた。(;´Д`)

こうしている間にも、刻一刻と注文や顧客からの問い合わせが入っているはず・・・と気持ちばかりが焦る中、無情にも時間だけが過ぎていきます。
競技中はまったく余裕がなかったので、
今回起ったこと/気づいたことを「非エンジニア目線」で箇条書きにしてみました。

  • 最初の2時間は、環境設定の時間と言うことで攻撃はされないらしい。
  • 無事にログイン出来たら、脆弱性だらけの状態がそこに。
  • 必死に各updateや各自用意してきたツールをインストール。(が、それすら出来ない事案が多数発生)
  • メーラー受信設定したら、すでに1万件近い受注メールと「在庫切れ通知」メールが。
  • メールの振り分け設定が大変&固まるPC。(何故かネットワークとPCも重い)
  • 複数のECサイトの管理「WordPress, EC-Cube, welcart」など、システムがバラバラ。
  • 今回はECサイトに加えてブログの様な「情報サイト」も管理する必要あり。
  • 商品の人気ランキングによって売れる量が変わってくる。
  • 人気ランキングは「マーケットプレイス」で有料の広告を買うことで上がる(らしい)
  • 在庫が切れそうになったら「マーケットプレイス」で購入して追加(ただし購入量は固定)
  • 知らない間に在庫数が増えている「逆受注」とかされちゃうので、油断できない。
  • ECサイトも知らない間に書き換えれている。
  • kuromame6に操られたペッパー君が、他チームのログイン情報を大声で漏らしてる。
  • 突如、会場に「個人情報が流出したチームがあります」とアナウンスされ、全員が戦々恐々となる。
  • 個人情報が漏えいしたチームは30分後に謝罪会見をしないといけない。
    (怖い記者役の方に、もの凄く詰められます)
  • 監視ツールは「目grep」が有効だった。

などなど、書ききれないほどのインシデントが盛り沢山♪

会場前面のスクリーンに各チームの売り上げ状況や商品の人気ランクが表示される。
[DEATH!!]の文字は、攻撃によってサーバダウンしている証。
知らぬ間に真っ白になっているECサイト
画面には「Hacked By Kuromame」の文字が・・・
会場を恐怖で包む、白い悪魔こと「pepperくん」

午後8時、競技終了!

長い長い10時間がようやく終了。
先程まで精根尽き果てた顔をしていた参加者に、安堵の表情が戻り、全員で競技の労を労って、競技は終了しました。

これでやっと地獄から解放される・・・

と、安心に浸るのはまだ早く、翌日に開催される「Softning Day」にて発表する資料を作成し、明日朝までに運営側に送付しないと大幅減点という憂いをみるはめになるので、努力を無駄にしないため、全員で今日起った数々の出来事や思いを集約します。

みんなで振り返り資料を作成

[Softning Day] 振り返りと結果発表!

6/24、昨日とはうって変わって、参加者みんながリラックスした面持ちの様子。
とはいえ、今日の「Softning Day」も、9時から20時までの長丁場ではありますが・・・。

外にはとても綺麗な沖縄の空と海が広がっているけど、さぁ、ガンバルゾ。

会場横の「パラダイスビーチ」

「Softning Day」の各チーム振り返り発表や、運営側のプレゼンテーションがYoutubeにあがっていますので、こちらもご覧いただけると、より本イベントの様子が伝わると思います。是非、ご覧ください。

「H1010CF Softening Day – 全チーム・プレゼンテーション」
「H1010CF Softening Day – Kuromame6プレゼンテーション」
「H1010CF Softening Day – スコア発表/表彰/講評」

結果、我々の「シーサーと愉快な仲間たち」チームは残念ながら優勝ならず。
しかし顧客点(3位)、対応点(3位)、協調点(2位) /15チーム中だったので、メンバーが少ないながらも健闘できたのではと思います。

まとめ

結果として「優勝」やスポンサー賞などは、持って帰ることが出来なかったのですが、
通常の業務において

  • 自社のサイトが改ざんされていたり
  • サーバがダウンしてサービスが利用できなかったり
  • 顧客の個人情報が漏出したり
  • 顧客からの問い合わせが殺到したり
  • 謝罪会見で企業責任を追及されたり

といったような、「一つだけでも地獄のような体験」を、限りなく現実に近い仮想環境で絶え間なく体験できるといったことは、インシデントに対する経験を積むという側面から非常に有意義なイベントだと感じました。

イベント後は「これは絶対に現実で起こしてはならない・・・」と気が引き締まること、請け合いだと思います。

また「非エンジニア」が参加することで、チーム内でのフロントエンド/バックエンドの役割分担が明確になり、エンジニアがECサイトの運営を気にせず、セキュリティの堅牢化に集中できるといったメリットも見つけることができました。

ですので、エンジニアじゃないからと、参加をためらっている方、是非、参加してみてください!
新しい世界がきっと見つかるはず!