先週の 06/04(土), 06/05(日) に沖縄コンベンションセンターで行われた Hardening 100 Value x Value に TEAM 8: No. Bee として参加してきたのでそのレポートです。
まずはお礼
このような素晴らしい競技会になったのは主催のWASForumを初めとした皆様、そして同じチームのメンバー、参加頂いた皆様のおかげです。ありがとうございます!
Hardening 100 Value x Value とは
Hardening とは
WASForum(Web Application Security Forum) が実施しているセキュリティイベントでサーバーを「守る」ことに焦点が当てられています。
主に StarBED 上に外部のインターネットからは閉じられた競技環境が構築され、そのサーバー群の堅牢化を行います。
Hardening = 堅牢化
その他のセキュリティイベントとは異なり「セキュリティ対策」「サービスの安定稼働」「売上の維持」「顧客対応」「チーム内の情報伝達」など実務で求められる様々な要素が盛り込まれています。
Hardening 100 Value x Value とは
- 技術だけじゃダメ。マネージメント、調達、広報等の非技術レイヤも重要。
- 去年のHardeningからMarket Placeの仕組みが導入された。自分たちのチームに足りないスキルの調達が可能。
- 実務と同様にアウトソース戦略も重要。
- ビジネスを継続させあらゆる面での価値の倍加を目指す。
- 下記の項目で評価・採点されます。
- 見込み販売力(Sales Potential)
- 技術点(Technical Merit)
- 顧客点(Customer Impression)
- 対応点(Incident Response)
- 経済点(Market Creation)
- 協調点(Information Sharing)
応募までの流れ
- 3/22 に募集開始される。
- 社内へ情報展開し、参加したいメンバーを募る。
- 紆余曲折の末、ギリギリに3人チーム(他二人は新規参加)として申込。
- 当選できたけれども、一緒に申し込んだ3人共バラバラに……
チーム結成から前日まで……
- まずはメール上で自己紹介。
- 早々にSlackにアカウントを作成してSlack上でやりとり。
- 過去の競技会の情報を公開可能な範囲で共有したり、一部メンバーは前回優勝チームのメンバーとHardening勉強会を実施。
- 参加者のしおりを見つつ、持参するものを割り振り。
前日
- 県外組も沖縄入り。前夜祭を行う。
- ここで競技資料が展開される。
- よく見るとテスト環境がある!
- OWASP ZAPで診断してみようとして失敗。
- 設定ミスってページが表示できず、勘違いして運営に「環境壊れてるよ!」とメールしてしまう。
- 送信後に気がついて謝罪メールを送信。反応が無いので不安になる。
Hardening Day
- 無線LANルーターが2回ほど再起動し競技環境から切断された。
- 誤って踏み台の環境をリブートしてしまう。
- 今回全員が同じ踏み台環境を利用していたのでチームメンバー全員が締め出しを食らう。ごめんなさい!
- 広告を買うと売上が上がる。対費用効果考えたら広告を買わないのは損。ジャンジャン買う。
- 仮想顧客から不具合のお問い合わせが来る。
- 再現しない。けど受注履歴はある。
- MarketPlaceで脆弱性診断サービスを購入していたので不具合修正もお願いして直してもらった!
- ECサーバーでランサムを食らう
- バックアップを取ってあったのでその状態まで戻せた!
- Firewallで明らかに不要と思われる通信を遮断。
- おかげで幾つかのインシデントは防げた?
- インシデントがあれば適切に報告メールやアナウンスを出せた
- 顧客宛に広告メールも都度送る
- Kuromame6の売上より勝っていた?
Softening Day
- 録画がYouTubeにあります。
https://www.youtube.com/watch?v=DhhTdex_Gs0&list=PLzcxir6lYZMcEXdFo-RKTYxV3NIPc1l2S - 沖縄セッションで弊社の常盤木が登壇しました!
結果
- 優勝できました!
- 実は2回目の優勝。前回優勝時は売上だけで逃げ切った感じでしたが、今回は顧客対応点など売上以外の要因も伸ばすことができてよかったです。
感想
- メンバーの役割分担が上手く行った!
- それぞれの役割に応じた作業に集中できたのが良かった。
- ビジネスを意識した戦略が良かった。
- MarketPlaceにはWAFやアンチウイルス製品など魅力的な製品も販売されていたが、8時間の競技時間の中でビジネスフローが把握しきれていないのに導入しても正しく活用できないとのチーム判断で導入しなかった。
- 下手に導入すると必要な通信も止めてしまいビジネスが止まるリスク。誰も実際に使ったことがない製品をいきなり導入するのは怖いよね。
- パッケージのアップデートも同様。バージョンを更新してもちゃんと動くのか判らない。
- 対処療法でしのぐ。
- 自分の撮影下手くそ。
- デジカメで会場の様子や登壇者を撮影してたけど半分以上が使えない写真だった……
- 失敗前提で撮ってたけど撮りすぎて(1,000枚超え)剪定が大変だった。
- 今のものより撮影素子が大きくて室内撮影に強いデジカメがより欲しくなった。
- ツール類を使いこなしたい
- 業務で活用(試用)できないかな……
メモ
- MacでRDPを使う場合はMicrosoft Remote Desktop(赤いアイコン)の方を使う。
- 古い方(Remote Desktop Connection Client for Mac)はWindows 8.1以降は繋がらない!
- ただし、Microsoft Remote Desktopで接続する場合、JISキーボードを使っていてもキーボードの認識がUS配列になる
- JISに切り替えできないこともないけどリモート側でデバイスドライバの差し替えと再起動が必要だったりする
- 競技資料は印刷しておくと良い
- RDPと資料の画面を切り替えるのは手間。
- 競技中に写真や画面のスクリーンショットを撮っておくとSoftening Dayで使いやすい
謝辞
このような素晴らしい競技会になったのは主催のWASForumを初めとした下記の皆様、
そして同じチームのメンバー、参加頂いた皆様のおかげです。ありがとうございます!
感謝を込めて主催、共催、協賛、協力頂いた皆様をHardening Project 2016 | Web Application Security Forum - WASForum より転記します。
誠にありがとうございました。
主催
Web Application Security Forum Hardening Project実行委員会
共催
後援
- 沖縄サイバーセキュリティネットワーク
- OWASP JAPAN
- JPCERT コーディネーションセンター
- JNSA NPO日本ネットワークセキュリティ協会
- ISOG-J 日本セキュリティオペレーション事業者協議会
- (ISC)2 Japan
特別協賛
協賛・協力
- 株式会社DMM.comラボ
- NTTコムセキュリティ株式会社
- 日本マイクロソフト株式会社
- 株式会社ラック
- 伊藤忠テクノソリューションズ株式会社
- SecureWorks Japan株式会社
- 日本電気株式会社
- トレンドマイクロ株式会社
- ヤフー株式会社
- 富士通ネットワークソリューションズ株式会社
- テクマトリックス株式会社
- 株式会社カスペルスキー
- サイボウズ株式会社
- 株式会社ブロードバンドセキュリティ
- 株式会社インフォセック
- SCSK株式会社
- 株式会社オーシーシー
- 富士ゼロックス株式会社
- 株式会社インターネットイニシアティブ
- NAIST奈良先端科学技術大学院大学
- 学校法人KBC学園 国際電子ビジネス専門学校
- 株式会社トライコーダ
- 株式会社アスタリスク・リサーチ
- ScanNetSecurity
Special Thanks
Etsuko Ichihara, Yoh Nosaka, Yoshitake Hatada, Norio Suzuki, Hanami Wakabayashi, Yoshiko Kanou, Koichiro Eto, our family and an amount of mentors.