サイバー攻撃の脅威は、今やどの企業にも迫っています。セキュリティ体制の強化は喫緊の課題であり、LINEヤフーも全社的に対策強化を進めています。
そうしたなか、「衛(まも)る力(※)」を競い合う堅牢(けんろう)化競技会「Hardening 2025」が沖縄で開催され、LINEヤフーはGoldスポンサーとして初参加しました。
各チームが1カ月以上の準備を経て臨んだ8時間の攻防戦の様子とその後の振り返りを、事務局や参加者の声とともにレポートします。
Hardening Project
※本記事では、Hardening競技会運営委員会が使用する「衛る」に表記を統一します
セキュリティ堅牢化競技会「Hardening 2025 Invisible Divide」は、2025年10月8日から10日にかけて豊見城市の沖縄空手会館道場で開催されました。12チーム・101人が、1カ月以上にわたる準備を経て、競技本番に臨みました。
競技会の目的は「衛る力」の価値を最大化すること。セキュリティ技術だけでなく、売上や顧客対応、スポンサー各社が提供するセキュリティソリューションへの投資判断といったビジネススキルも問われます。
初日の「Hardening Day」では、実行委員長の門林雄基教授(奈良先端科学技術大学院大学)が「準備の成果を楽しみながら発揮し、サイバーセキュリティの楽しさを持ち帰ってほしい」と参加者に呼びかけました。
その後、各チームは仮想の企業グループの一員として、競技開始。 実行委員会が編成する精鋭ハッカーチームによる容赦ないサイバー攻撃から、ECショップや親会社のシステム(いずれも仮想環境に置かれた脆弱なシステム)を8時間にわたって防御し、売上などを競いました。
1チームあたり8~9人(技術担当、ビジネス担当)で、チーム一丸となって真剣に取り組む参加者たち
各チームとも、事前の準備期間があったため、すでにチームビルディングは済んでいる様子。同じTシャツやタオルを着用しているチームもあり、心を一つに本番に臨んでいる雰囲気が伝わってきました。
チームは、「出社派(奥側)」と「リモート環境の在宅勤務派(手前側)」に分かれており、距離の壁を超えた円滑なコミュニケーションも大きなポイントに。
競技スタートから間もなく、運営チーム側からの本格的な攻撃がスタート。各チームが運営するウェブサイトでの改ざん、不正アクセスとサービス妨害、顧客情報の流出などが次々に発生。すると、みるみる各チームの売上スコアなどに変化が生じていきました。
各チームの見込み販売力の状況、投じたコストなど、さまざまなスコアが可視化される。
まずは実行委員の3人に、Hardeningが誕生した経緯や背景、これまでの取り組みについてお話を聞きました。
岡田 良太郎(おかだ りょうたろう)さん/株式会社アスタリスク・リサーチ:
一般に、セキュリティを衛ることができた成功事例は一切表に出ず、結果として守り方に関する情報が流通しにくいという特性があります。そこで攻撃を受ける経験を通して対応力を可視化し、その結果として生まれるコミュニケーションを通じて、この課題を解決したいと考えました。
企画が持ち上がり、運営の座組みを構築するタイミングで私も参画し、2012年から本格的にスタートしました。
この競技会は、サイバー攻撃を受ける脆弱なビジネスシステムを参加者が協力して堅牢化し、ビジネスの成果を最大化する実践的スキルとビジネス運用能力を総合的に競います。
意義としては、参加者のセキュリティ技術とビジネス判断能力の向上、インシデント対応力の強化、そして産官学が連携して人材を育成し、サイバーセキュリティ全体の底上げを図ることです。
根岸 征史(ねぎし まさふみ)さん/株式会社インターネットイニシアティブ:
攻撃と防御の両面で、ここまで実践的な競技会は世界的にも珍しいはず。
攻撃陣は経験豊富なメンバーがそろっており、実務さながらのインシデント対応を再現できるので、防御側にとっては貴重な訓練の場です。
業界全体が成熟し、攻撃もより巧妙化している今、企業に与えるダメージは一撃で致命的になりかねません。
その「痛み」を実際に経験せずに体験できるのが、この競技会の大きな意義です。
岡田さん:
根岸さんからもあった通り、実践的な内容を毎年、アップデートし、最新の技術を反映している点はもちろんですが、グッドデザイン賞では参加者の高い結束力とモチベーション形成の仕組みを評価いただきました。
もう一つは、開催地を東京に限定せず、北海道から沖縄まで、全国各地で開催している点です。 東京一極集中による地域格差を防ぎ、どの地域からも参加しやすい環境づくりを重視しています。 地方を巻き込み、日本全体のセキュリティレベルを向上させることも、このプロジェクトの狙いの一つです。この点も評価いただいているポイントですね。
松下(まつした) めぐみさん/日本電気株式会社:
スポンサーのご支援もあり、参加費無料です。そのため、毎回初参加の方も多く、若手や学生さんでも挑戦しやすいはずです。
やる気があれば誰でも応募でき、それによって多様な人材の参加につながっています。
普段は接点のない業種、職種の方々ともチームを組むことで、新しい人脈が広がりますし、普段とは異なる貴重な経験もしていただけます。
また、運営側も産官学からの多様なバックグラウンドを持つメンバーが集まっているのも特徴です。
岡田さん:
なぜこれほど、セキュリティにかかわる格差があるのかという背景を考えると、世代や役割、組織、技術スタックにさえさまざまな「見えざる分断」が存在します。さらに、現代の個人主義が広がるなかで、他者への関心が薄れつつあるという現状も影響していることでしょう。
ただ、この分断というのは、おしなべて悪いことばかりでもないんです。たとえば、ベテランと新人、M&Aによる企業間の違いなど、一見、ネガティブに見える分断には、そこに意識的に取り組むときには大きな学びや成長の機会が存在すると思うんです。イノベーションのチャンスでさえある。
それで、「見えざる分断」を理解し、意識的に超えて連帯することが重要になってくるわけですが、それをまじめに自分ごととして考えることの重要性を共有したい、そんな思いを込めて、このコンセプトテーマが設定されました。
たとえば、競技のなかで出社派と在宅勤務派に分かれたチーム編成も設定しました。離れた場所で、どう協力し、支え合うのか。コミュニケーションの分断をチームでどう超えるかもポイントですね。分断を融合させることの価値、美しさは、「金継ぎ」をメタファとした、今大会のコンセプトアートにも表現されています。
表舞台で戦うのは競技者たちですが、その裏では、攻撃を仕掛ける人、見守る人、支える人たちが、同じ熱量で動いていました。今回の大会を支えていたみなさんの思いをうかがいました。
中津留 勇(なかつる ゆう)さん/ソフォス株式会社:
私は長年、セキュリティベンダーとして活動してきましたが、競技会では攻撃側を担当しています。
ランサムウェアは広く知られるようになりましたが、その危険性を呼びかけ続けても、被害が今も後を絶ちません。
だからこそ、よりリアルで実践的な内容にするため毎年工夫を重ねています。
たとえばAIも活用して攻撃手法をアップデートするなど、参加者に「本物の危機感」を体感してもらえるよう、この1カ月は深夜まで入念に準備しました。
年々、競技参加者のスキルが確実に上がっているのを感じられるのは、大きなやりがいにつながっていますね。
※別室で、参加チームに次々に激しい攻撃をしかけるベテラン技術者のみなさん(通称:kuromame6)
鈴木 智晴(すずき ともはる)さん/デジタル庁:
デジタル庁では昨年から、競技会の趣旨に賛同し、後援をしています。
私は、今回も各チームが行う「経営会議への報告」を担当しました。
報告は数名のチームメンバーが行い、ビジネスの売上や成果を最大化するための経営判断力や説明力が求められます。
技術面だけでなく、ビジネスの観点からも最適な対応を導き出す経験を通じて、現実的な制約の中で効果的な対策を見いだす力が養われると考えています。
経営会議への報告の場面では「いま、起きている事態を把握できているのか?」「個人情報が漏えいしているのでは?」など、厳しい指摘が飛び緊張感が漂っていた
サイフィエフ・ルスランさん/GMOサイバーセキュリティbyイエラエ株式会社:
私は今回、スポンサー企業として、自社が提供するセキュリティサービスを導入してくれたチームのサポートを担当しました。
この競技会は本当にハードです。防御だけできれば良いわけではなく、ビジネスの売上をどう維持するかも求められます。
それでも、その分、得られるものは本当に大きく、チームの力、個人の判断力が磨かれていくのを実感します。
蔀 綾人(しとみ あやと)さん/株式会社フォアーゼット:
私は、競技者として参加したい気持ちは山々でしたが、競技者としての参加経験が多数あったため、今回は相談員としてアサインされました。ですので、競技参加者のみなさんのサポートに努めました。
会社の取り組みでもそうですが、個人でハードニングプログラムを開発・開催するほど、セキュリティ技術が大好きなので、課題を抱えた参加者を支援できることに大きなやりがいを感じています。
10名の相談員が、各チームのチームビルディングや技術面のサポートを実施
山手 雄太(やまて ゆうた)さん/楽天グループ株式会社:
楽天ではセキュリティの部署でマネージャーをしています。競技者として3回ほど参加してきましたが、今回は弊社から2名が参加することになり、私はオブザーバーの立場です。
競技者として参加していたときは目の前のタスクをこなすことに精一杯だったのですが、今回は競技会全体を俯瞰しながら、参加者の事前準備の様子なども見ることができていました。
今回は初参加の方が多いのですが、準備レベルが上がっているのを実感します。
攻撃側を代表して、実行委員の川口洋さんが総括して攻撃の解説、各チームの対応など振り返りを行った
2日目の「Analysis Day」では各チームがそれぞれの戦いを振り返りました。続く3日目の「Softening Day」では、各チームがプレゼンテーションを行い、実行委員会による全体総括のあと、最後に表彰式が行われました。
1カ月以上にわたる準備、そして本番の攻防と振り返りを終えて感じたことを、参加者のみなさんにうかがいました。
振り返りのプレゼンテーションの様子
北山 莉子(きたやま りこ)さん/T3 Realize合同会社:
普段はインフラエンジニアをしています。競技会への参加は今回が初めてでした。
一番の気づきは、「出社でのコミュニケーションは本当に大事だな」ということ。私は競技中、在宅用アカウントを用いて、遠隔地から作業する在宅班でしたが、後半はほとんど出社班のもとに出向き、直接コミュニケーションを取りました。
同じ空間にいないと、熱量や空気感も伝わりにくく、インシデント対応の際は特にそれを強く感じました。
事前準備も含めて大変でしたが、他のチームの発表からも学びが多く、貴重な経験になりました。
しっかりと自分のチームの振り返りを行いつつ、他のチームからの学びを得るため、最後まで真剣にプレゼンテーションに耳を傾ける参加者たち
閑戸 理帆(かんと りほ)さん/株式会社神戸デジタル・ラボ:
普段、会社では開発業務を担当しています。競技者としての参加は2回目で、今回は技術担当としてセキュリティ周りを中心に取り組みました。
前回の反省として、当日はバタバタして大事な情報が拡散しがちだったので、情報を整理して見える化することを意識しました。
チーム一丸となり、1カ月前から週2回の打ち合わせを重ねて準備しました。自発的に動くメンバーがそろい、うまくチームビルディングできました。
今回も学びが多く、仲間に支えられながら、チームの大切さを実感する1カ月でした。振り返ると悔しい点もありますが、それも含めて良い経験として今後につなげていきたいです。
徳永 智己(とくなが ともき)さん/九州大学法学部:
私は大学で労働法を専攻していますが、将来はセキュリティ関連のサービスや企業に興味があり、参加を決めました。
今回、チームでは技術系のタスクを担当して取り組みましたが、優秀な社会人の皆さんから学ぶことばかりでした。あらためて、セキュリティの重要性や価値を肌で実感できましたので、今後の就職活動に生かしていきたいです。
表彰式では、見込み販売力、技術点、顧客点、対応点、経済点、協調点、経営点などの評価点をもとに、各協賛企業からのスポンサー賞に加えて、グランプリの発表がありました。
表彰式では、各スポンサー企業がそれぞれに賞と記念品を授与。
そして、グランプリを獲得したチームが発表されました。さまざまな指標のなかで、「見込み販売力」のスコアが最も高いチームが選ばれます。2位と僅差で、請求書の処理がわずかな差を分けたという講評がありました。チームからも、「技術面での反省点があったが、ビジネス面のカバーが大きかった」というコメントも。技術力、ビジネス力のバランス、両面の評価がグランプリにつながったということです。
住友 正道(すみとも まさみち)さん/フリーランスのセキュリティコンサルタント:
私のチームはベテランから若手まで、多様なメンバーが集まっていました。結果的に、グランプリに選ばれることができ、とても光栄です。最後、請求書の処理がポイントだったそうで、私が担当したのでホッとしました。
これまで、IT企業やコンサル会社でセキュリティコンサルタントとして、働いてきましたが、つい最近独立し、腕試しと人脈づくりを目的に参加しました。
私はビジネス担当でしたが、技術面の知識もあるため、チーム全体をつなぐ「リベロ」のような立ち回りでサポートできたかなと思っています。見えざる分断をつなぐ役割の重要性をあらためて感じました。
最優秀チームに選ばれたみなさん。おそろいのTシャツで参加し、チームワークを生かして高得点をあげた
LINEヤフーは、Goldスポンサーとして協賛し、競技者として2名、相談員として1名が初参加しました。どんな学びを得て、それをこれからどう生かすのか、お届けします。
田中 颯(たなか はやて/競技参加者):
会社で別のインシデント訓練を受けた経験がありますが、今回の競技会はより多層的な仕組みで、想像以上に難易度が高かったですね。有事の役割分担を明確化させる予行練習になりました。
「自分が衛るしかない」状態でのインシデント対応経験は、当事者意識の醸成につながりましたし、現実の業務では許されない失敗という経験が今回、最大の収穫です。
しっかりこの経験と危機感を会社の仲間に共有して、セキュリティ体制の強化に貢献したいです。
武部 嵩礼(たけべ たかのり/競技参加者):
チームで、1カ月以上かけて準備しました。クラウド上に検証環境を構築し、競技を想定した操作練習や、セキュアな設定変更を自動化する仕組み作りなど、技術面の強化に力を入れました。
競技当日は想定内のトラブルに加え、想定外のインシデントが次々に発生し、リソースが全く足りない状況になりました。限られた時間と人員のなかで、何を優先して、どこにリソースを割くのか、その判断が非常に難しかったですね。
今回の経験を通じて、ビジネスを衛るためのセキュリティ技術という観点をあらためて考えさせられました。この学びを会社に持ち帰り、今後の実務に生かしていきたいと思います。
今井 健太(いまい けんた/相談員):
LINEヤフーでは、安心してサービスを利用していただけるよう、ユーザーファーストの姿勢を大切にし、日々セキュリティ意識の向上や訓練に取り組んでいます。
Hardening競技会は、技術力だけでなく、ビジネス判断力や対応力が求められる実践型プログラムであり、当社にとっても非常に有意義な取り組みです。
私は普段、社内のセキュリティ訓練の企画や運営を担当しており、今回は相談員として競技者の皆さまをサポートしました。訓練では、どの立場の方々とも積極的にコミュニケーションを取ることの重要性や、その場で適切な判断を下すことの難しさを実感しました。こうした学びを今後のセキュリティ訓練の高度化に生かし、より実践的で参加者同士が学び合えるプログラム作りを進めていきます。
今回の取材を通じて、みなさんの言葉から感じたことは、セキュリティの本質とは技術力だけではなく、人と人との連携にあるということでした。
LINEヤフーでも、自社だけでなくグループ全体で、セキュリティ体制の強化はもちろん、さまざまな取り組みを着実に進めていきたいと思います。
このHardening競技会は来年も実施予定とのこと。募集は2026年5月頃に始まり、8月には締め切られます。興味を持たれた方は、ぜひ次の挑戦者としてこの舞台に立ってみてはいかがでしょうか。
取材日:2025年10月8~10日
文:LINEヤフーストーリー編集部 写真提供:Hardening Project(一部、編集部による撮影写真あり)
※本記事の内容は取材日時点のものです
