Hardening 2025 Invisible Divideに参加してきました！【参加レポート】

本記事は、Hardening 2025 Invisible Divideへの参加レポートです。

Hardeningとは?

Hardeningとは、ビジネスとセキュリティが融合した実践型の競技会です。
ECサイトを運営する事業部として、攻撃や障害への対応を行いながら、売上を競います。所属や経歴も異なるメンバー同士でチーム編成が行われ、各チームが1ヶ月間ほどの準備期間を経て競技会に臨むのも大きな特徴です。

Hardening Project

開催概要/募集要項 – Hardening 2025 Invisible Divide | Hardening Project 参加者は以下の条件を満たしていなければなりません。お申し込みの提出にあたっては、この条件を全面的に承諾しているということになります。

Hardening 選考から本番当日まで

選考

弊社からは5名のエンジニアが参加を申し込みました。うち初参加が3名、2回目参加が私を含む2名でした。5名とも無事に選考を通過し^※1、別々のチーム編成となりました。

私の所属するチームは、メンバーが4つの所属に大別できることから「QuadLink」というチーム名に決まりました。

^※1今年は101人中90人が初参加だったとのことです。

準備期間

開催まで約1ヶ月の準備期間があります。
準備期間では、（私が前回参加したこともあり）前回参加経験の共有会を行いました。

共有会にて「会社の事業を模した環境が用意されます。技術以外にも、バックオフィスの業務や経営判断も重要な要素です。当日の堅牢化やインシデント対応などが多々あることを含めると、事前の準備が大切です。当日の判断・対応に集中できるような準備をこれから行なっていきましょう！」といった内容をチームメンバーにお話しました。

共有会の他には、ネットワーク構成の見方の説明会やインシデントフローの整理、準備物および当日の持ち物の洗い出しなどを行い、準備期間はあっという間に過ぎ去っていきました。

Hardening 競技前日

前日は沖縄に現地入りし、チームメンバーで作戦会議を行いました。サーバやネットワーク周りが担当の技術班、業務を担当するビジネス班に分かれて、前日夜まで作業を行いました。

Hardening 当日

そして迎えた競技当日。ビジネス班の健闘が凄まじく、サイトコンテンツの拡充やインシデントのアラート対応など積極的に対応いただきました。
技術班も上がってきたインシデントを対応したり、初期対応で堅牢化に取り組みました。攻撃というよりも、オペレーションミスに起因するシステムダウンが多く発生し、設定変更による影響範囲の見極めの難しさを実感しました。

総合結果としては9位でしたが、審査項目別（見込み販売力・技術点・顧客点・対応点・経済点・協調点・経営点の7項目あり）では顧客点と対応点で1位、経営点で3位を取ることができました！

Hardening 参加を終えて

振り返り

前回はビジネス対応班として参加したため、今回は技術班で参加しましたが、多種多様なサーバ群の堅牢化を行う難しさを痛感しました。ひとくちに「バックアップを取ろう」といっても、どのファイルをいつ取得するか、本当に環境を復旧できる情報が揃っているのか、など考えるべきことが多くありました。

また本来脆弱性診断で指摘されるような内容でも、競技中に気付きそびれた点も多く、監視・検知の重要性を実感しました。どのサーバや環境が会社の資産としてより重要かといった、トリアージも事前に行えるとよかったかなと思います。

振り返ると「あの時こう動けばよかった」と反省点も多々ありますが、それらは結果論に過ぎず、その時々の判断・意思決定が、その瞬間での総力なのかなとも思います。普段の業務でセキュリティと開発に携わる身としては、非常時にも落ち着いた対応ができる体制を整えるべく、平時から衛りを固める仕組みを導入・提案できるようになりたいと思いました。

最後に

「Hardeningは老いも若きも男も女もセキュリティ大好きな人ばかり」と今年は言及されていましたが、所属や経歴の垣根を超えて、参加者同士として共に苦楽を経験できる機会は大変貴重だと思います。改めて今回の競技会に携わった皆様に御礼申し上げます。

本記事がHardeningに興味のある方の参考になれば幸いです。
私自身もまた挑戦したいです！