越後湯沢でMicro Hardeningを体験してきたゾ!

3行で言うと…


いつもブログの最初の名乗りを忘れている岩石です。

今年も情報セキュリティワークショップin越後湯沢に参加してきました。

以前の記事はこちら

会場が変わった

今年は(今年から?)開催会場が今までの湯沢町公民館からNASPAニューオータニに変わりました。

例年会場定員の関係で参加者数に制限があり、チケット争奪戦が繰り広げられていました。 今年から会場を変更され、参加定員も増えることになりました。

結果として争奪戦が落ち着いたかどうかは存知上げませんが...

例年オフサイト会場の設営やそれら施設への映像配信など、スタッフの方々のすばらしい活躍により良い環境で聴講させていただいていましたが、今年は会場が大きくなり1箇所で全てのコンテンツが提供されました。 移動が少なくなり、また休憩するところも増えたので環境はとても良くなりました。全員が同じ環境で参加できるというのも良かったと思います。

会場のホテルは越後湯沢駅からすこし離れている(上り坂がキツい!)のですが、駅との連絡バスも定期的に運行しており不便さも感じませんでした。

ただし駅付近で食事を取ったりお酒をいただいたりというタイミングが無く、越後湯沢に滞在しているという感じが薄れ、少しさみしい感じもありました。

Hardening Project

開催の前日に希望者のみのプレイベントでMicro Hardeningが開催されました。 (当イベントは湯沢町公民館での開催でした)

今回のブログではこちらの内容について書くことにします(ワークショップの各セッションもとても良かったです)。 Hardening ProjectはWASForum Hardening Project実行委員会により開催されているセキュリティ堅牢化のコンテストです。2012年4月にHardening Zeroが東京で開催され、2018年11月の宮古島の開催で13回になるそうです。

Hardening Project 2018 | Web Application Security Forum - WASForum

6〜10名で構成するチームが運用しているECサイトシステムが規程の時間内(8〜11時間)に様々な攻撃を受け、それを守りつつECサイトの売り上げを守るという競技です。 Hardeningでは売り上げや技術力だけでなく、顧客対応や監督官庁への報告なども競技内容に含まれており、実際のインシデントと同じような対応が求められます。

Hardeningには派生プロジェクトがあり、より短時間で小規模な競技条件となるMINI Herdeningと更に小規模なMicro Hardeningがあります。今回はそのMicro Hardeningに参加してきました。

Micro Hardening

講師は株式会社川口設計の川口洋さん。

セキュリティ界ではとても有名な方で、Hardening Projectでもご活躍なさってます。

Micro Hardeningでは45分間の競技を複数回(今回は3回)繰り返します。チームは1〜4名で技術的対応のみの運用で売り上げを守ります。 競技中あらかじめ仕掛けられたクローラーが攻撃を仕掛けてきます。攻撃が成功すると売り上げに影響が出るため、チームで状況を把握し対策を施して売り上げを守ります。 全く同じ競技を複数回繰り返すことで、観測してわかったことや対策対応方法の見直しなどを次のターンに活かす事ができます。

今回は15名前後の参加者が4チームに分かれて競技を行いました。 今後Micro Hardeningに参加される方々のために、詳しい内容は書くことができないのですが、今回は雰囲気だけでも書いておこうと思います。

チームは実際に顔を合わせているので相談しながら競技を進める事ができるのですが、全員への周知事項や状況の共有、記録などのためにSlackで連絡をとりながら進めます。 大きな声でやりとりすると他チームにもその情報は伝わるので、口で伝達する内容については気をつかいます。 初対面の方々とのチームで最初はちょっとぎこちないのですが、競技が始まると全員画面と操作に没頭しているのでやりとりに遠慮している場合ではないです。

体験! そして結果

私たちのチーム(team4)ではなんとなく役割ができて、それぞれの活動などの状況をSlackに書きつつ口頭などで連絡しあいました。 役割についてもヒントになるかもしれないので今回は書きません

協議中は売り上げの状況がグラフで表示されます。 下記は3回目の売り上げの状況です(team5はダミーで理想的な対策を行った場合の売り上げ)。

最終的な結果は次の表の通りでした。売り上げのスコアと防御の対応がどれだけ有効であったが防御点として評価されます。

私たちのチームは初回はまずまずでしたが、ある肝心な作業が出来ていなかったため、3回目も大きな増収を得られませんでした。

ふりかえり

最後に川口さんから総評としてどのようなクローラーが動作していたか、何の脆弱性を攻撃していたか、また堅牢なシステムのために何をすべきかなどお話がありました。 いずれも特別な事ではなく、普通にやらなければいけないことばかりですが、実際に中身をよく知らないシステムを渡され守っていく場面での対策の難しさなどを感じました。

ふりかえってみて、競技としてだけでは無く一般的なシステムの堅牢化について

などがとても有効に働くのではないかと個人的に感じました。

理解していたのに対策できなかった悔いも残ってるのでリベンジしたいところですし、なかなか機会が無いのですが上位のHardening Projectの大会にも参加したいと感じました。

最後に

情報セキュリティワークショップin越後湯沢の今年の参加報告ブログは、本編でなく関連イベントへの参加報告ブログとなりましたが、本編ワークショップの方もタイムリーな話題のセミナーや立場が違う方々との談話など、とても良い体験をいただきました。 来年も参加したい...いや参加します!

スタッフの方々、お疲れ様でした。今年もありがとうございました。来年も期待してます!!

こちらの記事もオススメです!
Bad SNSで脆弱性検査の練習!
WEB+DB PRESSの記事に従って「Bad SNS」を診断。攻撃者目線での検査の重要性を認識しました。
私の新人教育はETロボコンでした!!
9月16日に行われた「ETロボコン中四国大会」に出場しました。競技部門ではゴールすることができ、モデル部門では3位でした。
マインドマップを活用してRuby技術者認定試験Goldに挑戦
Ruby技術者認定試験Goldの勉強方法としてマインドマップを利用しました。
Redmineの画面カスタマイズに便利なView customize plugin
View customize pluginで簡単にRedmineの画面をカスタマイズできます。
会社設立の書類作成クラウドサービス「会社設立freee」を利用してみた
会社の設立登記を「会社設立freee」というサービスを利用して必要書類の作成から届出までをしました。
ファーエンドテクノロジーからのお知らせ(2018/10/16更新)
第8回情報セキュリティEXPO秋(10/24〜26開催) でRedmineについてのご相談にお応えします
オープンソースのプロジェクト管理ソフトウェア「Redmine」についてのご相談にお応えします。
RubyWorld Conference 2018 (11/1・2開催) でブース出展・ショートプレゼン発表
RubyWorld Conference 2018でブース出展・ショートプレゼン発表を行います。
Redmineの最新情報をメールでお知らせする「Redmine News」配信中
新バージョンやセキュリティ修正のリリース情報、そのほか最新情報を迅速にお届け