こんにちは、開発部の佐味谷、島袋です。
2022年11月に開催された「Hardening 2022 DECADE」に参加してきたので、その様子を二人でお伝えします!

Hardening 2022 DECADEとは・・

ハードニング協議会が主催するイベントで、基本的に、チームに託されたウェブサイト(例えばEコマースサイト)を、ビジネス目的を踏まえ、降りかかるあらゆる障害や攻撃に対して、考えうる手立てをつくしてセキュリティ対応を実施しつつ、ビジネス成果が最大化するよう調整する力を競うものです。

イルグルムは以前から参加しており、ブログがあります!
https://www.yrglm.co.jp/blog/2014/07/28/8653
https://www.yrglm.co.jp/blog/2016/12/01/12503

イルグルムから参加したのは開発部のこの3人!
[佐味谷]
[島袋]
[仲宗根]

全員、Hardeningは初挑戦です。

過去参加された先輩方から話を聞いて、応募する前からこの競技会の存在は知っていたので、いつか参加したい!と思っていました。

 
今回のHardeningは、沖縄の名護の万国津梁館で開催されました。
島袋と仲宗根は沖縄出身ですが、佐味谷は初沖縄でした!
大阪から名護までの移動は1日がかりです。大阪から那覇までも遠かったですが、那覇から名護までも同じくらい遠く感じられました。

 
イベント全体のスケジュールとしては、Hardening Dayを含む4日間です。
・Preparation Days
・Hardening Day
・Analysis Day
・Softening Day(別日程で東京開催)

チーム決定から開催日前日まで – Preparation Days

9月後半に参加の合否とチームが決まりました。
11月の開催日前日までは、週1で回それぞれのチームでオンラインミーティングを行い、ECサイトを守るためにどういう対策が必要なのかを話し合いました。
この期間でどれだけ情報共有できるか、コミュニケーションがとれるかが重要だったりします。

開催日前日には沖縄入りをして、今までPCの画面越しに会話していたチームメイトと初めての対面です!
夕方頃に当日のサーバー構成などが書かれた100ページ超の資料が配布され、ご飯を食べたあとはみんなで夜中まで読み合わせをしました。
前日にこの量を叩き込むのは厳しいので、取捨選択が必要でした…。

開催日当日 – Hardening Day

会場の万国津梁館でチームメイトと待ち合わせしました。

会場の外でもスクリプトを作成する仲宗根

9:30、実行委員長の挨拶とともにイベント開始。ムービーも流れていよいよです。
最初に決めたやらないといけないことを続々こなしていきます。(なかなか想定通りにいかなかったり…)

ウイルス対策製品やセキュリティの人員を購入できるマーケットプレイスなどがあり、購入に走ります。
マーケットプレイスで購入するにも稟議などが必要で、それぞれのチームがひとつの会社のように振る舞います。

サーバ内に怪しいファイルが置かれたり、サーバーに入れなくなったり、ECサイトの商品画像が差し替えられたり…、本当にいろいろな問題が次から次へと発生します。

 
12:00、お昼はお弁当が配られました。
チームによって一旦パソコンの前を離れ、外でわいわい食べるチームもあれば、ずっとパソコンの前に座って作業しながらお弁当を食べるチームも…。



 
18:00、競技終了。
10秒前からカウントダウンが始まり、終わった瞬間は拍手喝采でした。
ただ、クタクタで体力はもうありません…。

18:30からは、すぐ横の会場で懇親会がありました。
泡盛があったり、沖縄の民謡の生演奏があったり、美味しいご飯があったり。
マーケットプレイスで助けて頂いた人とお話したり、あれはこうしたら良かったかもとアドバイスももらえました。

次の日 – Analysis Day

Analysis Dayはいわゆる反省会です。
名護のコワーキングスペースを予約してチームごとに集合し、どういうことが出来たか、あの事象はなんだったのか、みんなで意見を出し合いました。

お昼には念願のソーキそばを食べました!やっぱりおいしかったです!

Softening Day

その週の土曜日、東京で開催されたSoftening Dayはいわゆる成果発表と表彰会です。
各チームの発表では、何を頑張ったか、何がだめだったかを聞くことができました。
個人的には、「それうちのチームでも同じ現象になった!そういう解決策があったのか!」と思えたことで、今後のインシデント対応の引き出しとなりとても勉強になりました。
また、kuromame6(攻撃するチーム:実行委員会)のhardening中にあったできごとを聞くのも面白く、裏でそんな戦いがあったのか…となります。

終了後はそのまま懇親会へ。
おしゃれなバーみたいなところで、わいわいたのしくお酒を飲みました。

hardeningを通して…

― 行く前はみんなどうでした?

島袋:参加前は、新卒から今まで1つのプロダクトしか経験していないので、世の中が障害対応やセキュリティに対して実際どういう考えなのかがわかっておらず、とても興味がありました。
他の会社の人とサービスの運用を考えながらインシデント対応する経験で、いろんな観点を養えることを期待していました。

仲宗根:参加前は、セキュリティとは”専門チームが高度な技術で攻撃からシステムを防ぐもの” のみを意識していましたが、イベントを通じて”攻撃されることを見越した対策行動、その瞬間にチームがどう行動するか。それらビジネス的行動” を指すものだと強く認識することができました。

佐味谷:元々セキュリティには興味あったのですが、行ってからなお興味が出ました。
会社では自己研鑽費利用して早速本を購入しました!

 
― 行ってどうだった?できた?できなかった?

島袋:想定していないことばかりで、もっと基本的な、本番環境への接続や最低限やっておかないことを固めておけばよかったと思いました。
ただ自分たちのチームの反省と、他チームがどう戦ったかを聞けたことはとても勉強になりました。

仲宗根:もっと事前に準備できることがあったと反省しています。
例えば、本番環境への接続方法、テーマを元にした商品画像準備、採用技術の事前調査です。
特にECサイトのベースのEC-CUBEに関しては、基本的な構造や、カスタマイズ方法については事前に調べられることがあった。と感じました。

佐味谷:当初やろうと思ってたことは本番ではあまり出来なかったです。
しかしこんなガッツリ攻撃されることってあまりない経験なので貴重な体験でした。

 
事前準備も含めると約2か月間のイベントを通して、備えておくべきことやどのような判断や対応が必要かなどを経験することができました。
今後の業務やスキルアップをするうえでも、視点が広がる機会となりました。