Hardening競技会とは

簡単に言うと、攻撃者からサーバーを守って売り上げを伸ばし、売上高を競う8時間の競技会です。
参加者は技術力だけでなくビジネス側のスキル（売上の管理や組織管理）やコミュニケーションなどのソフトスキルも必要とされます。

幸いなことに、セキュリティエンジニアとして働き始めてから4年間、大きなインシデントの発生を経験していない私にとって、実際の攻撃をリアルタイムに体験できる機会は貴重で、大きな学びにつながりました。

参加確定

参加が確定したのは8/22(金)、お昼ごろにメールが届きました。
参加者は年齢も職業も様々で、学生からベテランまで、ITセキュリティ業務従事者もそうでない人もいますが、全員運営にてチーム分けされ、初対面のメンバーとのチームビルディングがスタートします。

↓ 実際の参加確定メール ↓

【緊急：24時間以内に返信必須】Hardening 2025 Invisible Divide 参加者選出のお知らせと重要アクション(Team09)

ここから、Hardening Day 当日まで46日間の準備期間の始まりです。

前日まで

参加が確定してからのざっくりとしたスケジュールは以下の通りです。

このような流れでTeamの仲を深め、新たなスキルを獲得し、もともと持っていたスキルを伸ばし、kuromame6（攻撃チーム）からの猛攻撃に備えます。
前日まで、以下の項目を中心に準備しました。

• チームビルディング
• チートシート作成
• スクリプト作成（PW変更,バックアップ,etc...）
• WEBサイトコンテンツ（商品紹介画像や謝罪文、会社紹介など）の事前作成
• 稟議書や報告書などビジネスサイドで使用するドキュメントのテンプレート作成
• 前回までの競技環境を参考に検証環境を構築、操作等習熟
• 情報共有のためのnotionライクなOSS（Outline）の構築（notionを使っているチームもいましたが、費用削減のため…）

前日の章でも触れましたが、ここでのチームビルディングの質が勝敗を大きく左右すると思います。
チームビルディングがうまくいくと、そのあとの準備系がスムーズに進む/質の良い成果物が出てくるようになると思います。
仕事で忙しかったけれど、もう少し時間を割けばよかった…

前日

HardeningDay（10/8）は8:00スタンバイ -> 8:30入場なので、前日には現地入りします。
ほとんどのTeamが会議室等の場所を借りて、翌日に向けた最終調整をリアルでおこなっていました。

この前日がはじめての顔合わせ、というTeamもあったようです。
ここでTeamの仲が一気に深まりました。顔が見えない45日よりも、顔が見える1日…なんですかね…？
競技終了後、チームビルディングがもう少し早い段階から、もう少し仲が深まっていたら、もっと違う結果になっていたんじゃないか…と思いました。
ちなみに、私のTeamはこの段階で役割変更が発生し、深夜3時ごろまで翌日に向けた準備をしました。

Day1 Hardening Day (競技会当日)

昨年に引き続き、競技会は沖縄空手会館で行われました。

まずは例年恒例のsitcomを鑑賞し、競技会スタート！

競技時間は8時間なので結構長いなと思っていました。しかし、インシデント対応していたら気づいたときには競技終了。

この忙しさがHardeningか。

止まらないインシデント

私たちのチームでは沢山のインシデントが発生しました。

• rootパスワードの変更ミス
• Firewallの設定ミス
• DB情報の漏洩
• コーポレートページの改ざん

他にもありますが、この辺りで書くのをやめておきます。

kuromame6にも沢山攻撃されましたが、やはり目を引くのは人的ミス。

このミスがなければもっと良い成績をとれたはず...

一番の脆弱性は人間

そして、ここからは私個人最大のやらかし。

競技開始後、rootのパスワードを変更しました。スクリプトを使わずに手入力したのが運の尽き。まさかのtypoで root にログインできなくなりました…。
顔から血の気が引くとはまさにこのこと。

最終的に、運営に「1000万円」払って初期パスワードに戻してもらい、なんとか復旧。

「一番の脆弱性は人間」を体現する出来事の当事者になるとは...

お疲れ様会

そして競技のあとはお楽しみ！
チームメンバーと飲み会へ！初めて食べる沖縄料理がおいしく、お酒が進む進む。

疲れが全部吹き飛ぶ味でした。

Day2 Analysis day

競技の翌日は、チームで以下のような内容を振り返りし、翌日の発表に向けてプレゼン資料としてまとめていきます。

• 競技中に行った堅牢化対応、ビジネスオペレーション
• 発生したインシデントの内容と、行った対処
• できたこと、できなかったこと、改善点など

競技中は次々と発生するインシデントへの対応に追われ、チーム全体で状況を俯瞰することが困難でした。そのため、この振り返りの場で初めて明らかになった事実も少なくありませんでした。当時見えていなかった事象を冷静に再検討したことで、攻撃の根本原因が判明したケースもあり、「あの時こうしていれば…」という悔しさが込み上げてきました。

さらに、競技中に取得しておいたログ等を詳細に分析したところ、当日に気づけていなかった攻撃者からの通信が多数発見され、愕然としました…。

Day3 Softening day

3日目は、各チームの成果発表と運営からの解説、表彰が行われました。

　
他のチームの発表を聞くまでは、どのチームも似たような対応をしているのだろうと想像していました。しかし、蓋を開けてみると、戦略はチームごとに全く異なっており、とても驚きました。「その手があったか！」という発見の連続で、もう一度やり直せたらという気持ちでいっぱいになりました。
　
また、運営による解説タイムでは、競技環境に仕込まれていた課題が一部説明され、全く気づけていなかった罠もあり驚きました。また、競技環境の構築にもいろいろなトラブルや失敗があったことが共有され、IT運用の視点でとても勉強になりました。

　
最後に、各チームの表彰とスコア発表が行われました。順位はECサイトの販売額にて競われますが、その他にも対応を評価する300以上の評価ポイントがあり、スコアに換算されます。頑張った対応が数字として表現されるのは嬉しいですね。

なお、当社メンバーの参加チームは残念ながら上位入賞ならずでした。次頑張ります!

Hardeningで学んだこと

どれも当たり前のことかもしれませんが、ハードなインシデント対応を通して、その重要性をあらためて実感しました。

オペレーション自動化の重要性

多数のシステムを管理する上での工数削減はもちろん、ヒューマンエラーを防ぐ観点からも、パスワード変更などの定型オペレーションの自動化は必須でした。

対応フロー・手順の確立
事前に想定されるインシデントを洗い出し、対応フローを明確に定めておくことで、複数の問題が同時に発生した際にも、冷静かつ迅速に対処できることを実感しました。

インシデントハンドラーの役割
特に緊急時においては、状況を整理し、課題をタスクに分解、優先順位付けを行い、各メンバーに割り振って進捗を管理する「ハンドラー」の役割が極めて重要だと実感しました。平時であればメンバー間の助け合いで乗り越えられる場面でも、全員が手一杯になると、途端にチーム全体の動きが止まってしまうからです。

平時からのスキルトランスファー
チームメンバーの技術レベルにばらつきがある場合、緊急時の対応が高スキル者に集中しがちです。チーム全体の対応効率を上げるためにも、平時からの対応共有やスキルトランスファーが不可欠であると再認識しました。

Hardening参加のススメ

準備・競技期間の長さなど、参加のハードルはやや高いですが、もし参加できる環境にあるのなら、ぜひHardening競技会に挑戦されることをお勧めします！

「技術スキルに自信がない…」という方も心配無用です。システムの堅牢化という技術的な側面はもちろん最重要ですが、ECサイトの売上管理、顧客対応、在庫管理といったビジネス面のオペレーションが競技の勝敗を大きく左右します。誰もが自分の得意分野でチームに貢献できる、それがHardening競技会の魅力です。

私たちも、今回の経験を糧に日々精進し、来年はさらにパワーアップしてこの場に戻ってきたいと思います。

最後になりましたが、運営の皆様、そして現地でお世話になったすべての皆様に、この場を借りて心より御礼申し上げます。誠にありがとうございました。

島田、赤江、わたなべによるHardening 2025 Invisible Divideのレポートでした！