読者です 読者をやめる 読者になる 読者になる

nmtysh.log

Tech系のネタや日々の独り言などを書いています。

Hardening 100 Value x Value 参加報告。グランプリを取ることができました!!

先週の 06/04(土), 06/05(日) に沖縄コンベンションセンターで行われた Hardening 100 Value x Value に TEAM 8: No. Bee として参加してきたのでそのレポートです。

まずはお礼

このような素晴らしい競技会になったのは主催のWASForumを初めとした皆様、そして同じチームのメンバー、参加頂いた皆様のおかげです。ありがとうございます!

Hardening 100 Value x Value とは

Hardening とは

WASForum(Web Application Security Forum) が実施しているセキュリティイベントでサーバーを「守る」ことに焦点が当てられています。
主に StarBED 上に外部のインターネットからは閉じられた競技環境が構築され、そのサーバー群の堅牢化を行います。

Hardening = 堅牢化

その他のセキュリティイベントとは異なり「セキュリティ対策」「サービスの安定稼働」「売上の維持」「顧客対応」「チーム内の情報伝達」など実務で求められる様々な要素が盛り込まれています。

Hardening 100 Value x Value とは

  • 技術だけじゃダメ。マネージメント、調達、広報等の非技術レイヤも重要。
  • 去年のHardeningからMarket Placeの仕組みが導入された。自分たちのチームに足りないスキルの調達が可能。
    • 実務と同様にアウトソース戦略も重要。
  • ビジネスを継続させあらゆる面での価値の倍加を目指す。
  • 下記の項目で評価・採点されます。
    • 見込み販売力(Sales Potential)
    • 技術点(Technical Merit)
    • 顧客点(Customer Impression)
    • 対応点(Incident Response)
    • 経済点(Market Creation)
    • 協調点(Information Sharing)

応募までの流れ

  • 3/22 に募集開始される。
  • 社内へ情報展開し、参加したいメンバーを募る。
  • 紆余曲折の末、ギリギリに3人チーム(他二人は新規参加)として申込。
  • 当選できたけれども、一緒に申し込んだ3人共バラバラに……

チーム結成から前日まで……

  • まずはメール上で自己紹介。
  • 早々にSlackにアカウントを作成してSlack上でやりとり。
  • 過去の競技会の情報を公開可能な範囲で共有したり、一部メンバーは前回優勝チームのメンバーとHardening勉強会を実施。
  • 参加者のしおりを見つつ、持参するものを割り振り。

前日

  • 県外組も沖縄入り。前夜祭を行う。
  • ここで競技資料が展開される。
    • よく見るとテスト環境がある!
    • OWASP ZAPで診断してみようとして失敗。
      • 設定ミスってページが表示できず、勘違いして運営に「環境壊れてるよ!」とメールしてしまう。
      • 送信後に気がついて謝罪メールを送信。反応が無いので不安になる。

Hardening Day

  • 無線LANルーターが2回ほど再起動し競技環境から切断された。
    • 機器の不調を疑ったがSoftening DayにてKuromame6の攻撃であったことが判明。
    • 有線LANで競技環境に接続していたのでルーターを触って良いと判っていれば(気がついていれば)無線LAN機能は止めたかった……
    • サーバー自体は停止せず稼働していたのは助かった
  • 誤って踏み台の環境をリブートしてしまう。
    • 今回全員が同じ踏み台環境を利用していたのでチームメンバー全員が締め出しを食らう。ごめんなさい!
  • 広告を買うと売上が上がる。対費用効果考えたら広告を買わないのは損。ジャンジャン買う。
  • 仮想顧客から不具合のお問い合わせが来る。
    • 再現しない。けど受注履歴はある。
    • MarketPlaceで脆弱性診断サービスを購入していたので不具合修正もお願いして直してもらった!
  • ECサーバーでランサムを食らう
    • バックアップを取ってあったのでその状態まで戻せた!
  • Firewallで明らかに不要と思われる通信を遮断。
    • おかげで幾つかのインシデントは防げた?
  • インシデントがあれば適切に報告メールやアナウンスを出せた
  • 顧客宛に広告メールも都度送る
  • Kuromame6の売上より勝っていた?

Softening Day

結果

  • 優勝できました!
    • 実は2回目の優勝。前回優勝時は売上だけで逃げ切った感じでしたが、今回は顧客対応点など売上以外の要因も伸ばすことができてよかったです。

感想

  • メンバーの役割分担が上手く行った!
    • それぞれの役割に応じた作業に集中できたのが良かった。
  • ビジネスを意識した戦略が良かった。
    • MarketPlaceにはWAFやアンチウイルス製品など魅力的な製品も販売されていたが、8時間の競技時間の中でビジネスフローが把握しきれていないのに導入しても正しく活用できないとのチーム判断で導入しなかった。
    • 下手に導入すると必要な通信も止めてしまいビジネスが止まるリスク。誰も実際に使ったことがない製品をいきなり導入するのは怖いよね。
    • パッケージのアップデートも同様。バージョンを更新してもちゃんと動くのか判らない。
      • 対処療法でしのぐ。
  • 自分の撮影下手くそ。
    • デジカメで会場の様子や登壇者を撮影してたけど半分以上が使えない写真だった……
    • 失敗前提で撮ってたけど撮りすぎて(1,000枚超え)剪定が大変だった。
    • 今のものより撮影素子が大きくて室内撮影に強いデジカメがより欲しくなった。
  • ツール類を使いこなしたい
    • 業務で活用(試用)できないかな……

メモ

  • MacでRDPを使う場合はMicrosoft Remote Desktop(赤いアイコン)の方を使う。
    • 古い方(Remote Desktop Connection Client for Mac)はWindows 8.1以降は繋がらない!
    • ただし、Microsoft Remote Desktopで接続する場合、JISキーボードを使っていてもキーボードの認識がUS配列になる
      • JISに切り替えできないこともないけどリモート側でデバイスドライバの差し替えと再起動が必要だったりする
  • 競技資料は印刷しておくと良い
    • RDPと資料の画面を切り替えるのは手間。
  • 競技中に写真や画面のスクリーンショットを撮っておくとSoftening Dayで使いやすい

謝辞

このような素晴らしい競技会になったのは主催のWASForumを初めとした下記の皆様、
そして同じチームのメンバー、参加頂いた皆様のおかげです。ありがとうございます!

感謝を込めて主催、共催、協賛、協力頂いた皆様をHardening Project 2016 | Web Application Security Forum - WASForum より転記します。
誠にありがとうございました。

主催

Web Application Security Forum Hardening Project実行委員会

共催

内閣府 沖縄総合事務局

後援

特別協賛

協賛・協力

Special Thanks

Etsuko Ichihara, Yoh Nosaka, Yoshitake Hatada, Norio Suzuki, Hanami Wakabayashi, Yoshiko Kanou, Koichiro Eto, our family and an amount of mentors.

関連