年の瀬も押し詰まった2014年12月某日、記者は目の前に置かれたノートPCの前で途方に暮れていた。画面に映っているのは自分が管理を任されているWebサイト。明らかに表示や挙動がおかしい部分があり、不正アクセスと改ざんを受けている。すぐに対策に動かねばならないが、具体的にどこから手を付ければいいのか、何をどう調べていけばいいのか分からず体が動かない……。
これは当日実際に記者が体験したことだが、不正アクセスおよび改ざんを受けたのは、インターネット上で正式にサービスを提供している本物のWebサイトではない。仮想化ソフトを利用して作った、仮想Webサーバー上で稼働する演習用Webサイトである。
そう、記者はこの日、Webサイトがハッキング被害を受けたとき、どのようにその兆候や痕跡を見つけ、しかるべき対処をするべきかを実践形式で学ぶセキュリティ演習に参加していたのだ(写真1)。開催したのは大手セキュリティベンダーのラックである。
「はーどにんぐ研修」(Hardeningは「堅牢化」などの意味)と名付けられたこのセキュリティ演習は、攻撃手法を競い合う一般的なハッキングコンテストとは異なり、ITベンダーやユーザー企業にとって重要となる「守る技術」を徹底的に高めることを目的とする。
ラックのエンジニアを対象に、セキュリティスキルの底上げを図るために実施する社内向けイベントだが、「研修」という名が付くものの同社が受講を義務付けている研修ではない。同社チーフエバンジェリストの川口洋氏(写真2)ら有志が、自発的に企画・立案・運営している勉強会イベントの一種である。