8チームが腕を競ったセキュリティコンテスト「Hardening One Remix」

インシデントが次々に襲う悪夢の日、ECサイトを守り切れるか？

2013年07月29日 09時00分更新

文● 谷崎朋子

　サイボウズLiveで情報共有し、「当日は対応に追われて設定ミスも増えるだろうから」と基本的な運用ルールを作成していたのは、Warp9である。設定ファイルは変更前に必ずバックアップをとる、添付メールはなるべく開かないなどを決め、サーバーの基本的なセキュリティ対策や監視体制などの作戦も練った。しかし、実際は攻撃への対処や焦りで、想定していたことは実施できずじまい。それでも、rootパスワードの変更やrootユーザー制限など、基本的な対策を着実にこなしていった。

集中するあまり昼食の手が止まるWarp9

　「ソフトウェア開発チームにとって、セキュリティを考え学ぶ場にしたい」。そう考えて会津若松から参戦したTeam EJは、2名のCTF経験者を有するエンジニア集団だ。彼らは、ざっくりした役割分担は決め、縛られることなくゆるやかにつながりながら作業した。結果的に、自分のできることに集中でき、競技環境に残っていたバグを発見・修正したり（加点対象ではなかったが配慮あり）、脆弱性をきめ細かく洗い出して対処したりすることに成功。ピン枠も、特定商取引法に基づく表記の修正について、適当に返事する社長に食らいつくなど、対応力で確実にポイントを稼いでいった。

互いを信頼して任せる、ゆるいつながりのTeam EJ

　チームぐるーすは、ソーシャルゲーム会社の社員で構成される異色のチームだ。「新規オープンしたようなECサイトは、とにかく稼動させて売上げを立てることが重要」。そう考えた同チームは、セキュリティ対策だけでなく、ロードバランサーのパフォーマンスチューニングを実行、異なるWebサーバーのハードウェアスペックに気付いて低スペックサーバーへの振り分け比率を変更するなど、普段のサービス運用経験を生かした対応を行なった。

実は競技中に自社サイトの対応もしていたぐるーす

　そして最後は、事前にDoS対策のVarnishや改ざん検知のTripwireなど各種ツールを仕込んできたが、唯一実践できたのはiptablesによる通信制御のみと明かすコルセッツだ。「必要な通信を把握せずにiptablesでワイルドに弾き、怪しいファイルもワイルドに削除」するなど、社長へのエスカレーションなしにさまざまな強行手段を敢行。その一方で、ECサイトのトップページに利用規約の変更や情報漏えいのお詫び、なりすましログインに関する注意喚起など、利用者に向けたメッセージを唯一記載したチームでもあった。