頭だけでなく体で覚えれば、本番に強くなる
LACサバイバルチャレンジは、今回が2回目の実施となる。本プログラムの運営委員長で、同社セキュリティプロフェッショナル本部の大塚慎太郎氏は、現在社会インフラが晒されているサイバー攻撃について、「情報」としてただ知るだけでなく、実際に「体験する」ことが大変重要だと説明する。
今回参加したラックチームの半分は、ふだんはシステムインテグレーション業務に就いており、セキュリティの専門職ではない社員だという。ラックでは、こうした社員ともセキュリティ情報を共有すべくポータルサイトを設けているが、やはり知識として知っているだけの攻撃と、実際に体験する攻撃とでは感覚差が出てしまうという。サバイバルチャレンジ実施の背景にはこうした事情もある。
本演習は、OWASP Japanが実施している「Hardening Project」を社内向けに展開した好事例だ(関連記事)。同社では、2013年12月に総務省の補正予算で実施された「実践的サイバー防御演習(CYDER)」を支援するほか、外部向けに演習サービス化も進めているという。
Hardening Project実行委員会の中心メンバーで、シナリオ作成からシステム構築までを行ったチーフエバンジェリストの川口洋氏も、「体験したことは身につきやすい」と話す。
「第1回目の演習のとき、1チームしか対応できなかったインシデントがあった。結果発表のとき勝因を聞いたところ、実は過去にその攻撃に遭遇していて、対応にとても苦労した経験があったからとのことだった」(川口氏)。それを知っていて、あえて演習に組み込んだと明かす川口氏は、手を動かして苦労したものほど記憶に残っているものだと再確認し、演習の意義を改めて考えたと話す。
約2カ月をかけて演習シナリオを作成してきた「あにょにます」チームにとっても、有意義な体験になったそうだ。「運営側は、問題の作成から解法までの全過程を作りこまなければならない。あにょにますは、入社2年目の新人からベテランまで、経験や実績の違う社員で構成されている。特に新人は新たな知見が得られ、実践力も向上したと思う」(大塚氏)。
(→次ページ、実は20以上のリアルなインシデントが仕込まれていた!)
