TOUCH THE SECURITY Powered by Security Service G

コラム

2019.09.10

気軽にインシデントを体験したいなら、MINI Hardeningがうってつけ!

少し前の出来事になりますが、2019年4月にMINI Hardeningに参加してきました。
https://minihardening.connpass.com/event/125090/

突然ですが、皆さんはインシデント対応を行ったことがありますか?
実際に体験したことがある人もいると思いますが、一度もインシデントに遭遇したことが無い人もいると思います。「インシデントが実際に起きたら大変だけれど、体験はしてみたい、、、」そんな願いを叶えてくれるのがMINI Hardeningです。
同じ、または似たような内容での開催が予定されているため、技術的な内容は控えますが、一般的なことやネタ、感想、考えたことを交えながらMINI Hardeningで体験できたことをお伝え出来たらと思います。

1.Hardening という取り組みについて

まずはMINI Hardening Projectの元となっているHardening Projectから紹介します。
Hardening Project」は、WASForumという団体が「衛る技術」の価値を最大化することを目指して、2011年に発足したプロジェクトです。
2012年より、2~3日に渡る競技会を開催しています。競技会は今までに、東京や沖縄・北海道で開催されました。
様々な攻撃からサービスをまもり、価値を最大化すべく、サーバの堅牢化や外部への報告・サービスの広報を始めとする様々なスキルを競います。
技術競技を実施するだけでなく、競技会の日程の中で、各チームで実施したセキュリティ施策の発表も行います。

MINI Hardening Project」は2014年に開催された Hardening Project のイベントをきっかけに発足したプロジェクトです。
半日から1日程度でカジュアルにHardening Projectを体験でき、インシデント経験が少ない人でも気軽に参加できるコンテンツになっています。
今回このブログで紹介するMINI Hardening#3.2は、MINI Hardening Project の13回目のイベントにあたります。

他にも、「Micro Hardening」という取り組みが存在します。
1回45分の演習を、同じ攻撃シナリオで4セット体験するため、自身の過去の対応を振り返りながら取り組めるのが特徴です。

2.4/21(日)に体験した競技について

参加者は、「普段からセキュリティ関連の業務を行っている人」もいれば、「学生で、セキュリティキャンプでのMicro Hardeningに参加したことがある人」、「インフラエンジニアでセキュリティに興味がある人」など様々でした。

競技会では、4人程でチームを組み、チーム毎1つの会社を担当します。
3時間という短い時間の中で、システムを堅牢化しながらサービスを続け、ゲーム内で自社の売り上げを上げることを目指します。

チームメンバーと協力して設定変更等でシステムを攻撃からまもり、状況によっては経営層(の役の人)に連絡をするので、運用担当からCSIRTまでを体験するようなイメージですね。

チームは事前に発表されます。私のチームはslackで連絡を取り合い、前日に展開された資料から分かることに関しては、事前にslackでやりとりを行ってから臨みました。
結果、功を奏したものもあれば、全く気づけずに裏でいろいろやられてしまった場所もありました。
初めて見る環境で把握から対処まで行うのは、なかなかしんどいものです。笑

競技中は、会場内でも下記のようにいろいろ起きていまして、全然飽きない3時間を過ごしました。

  • 年号に関するネタ動画が流れる
  • 運営の方が歌い始める!?
  • 盗まれたパスワードが「ゆくり」で読み上げられる
  • 甘い誘惑(お菓子)が振舞われる ※運営の皆様ありがとうございました。

甘い誘惑の正体がこちら!この誘惑には勝てません(笑)

3.感想

私は普段、こういう風に直してください、という依頼を行う立場なので、直す側の立場での経験をしてみたいと思い参加しました。
やったほうが良いことに気づいても、なかなか手が動かせなかったのが残念でしたが。。。
実際に動いているシステムを自分の判断で変更できますし、いろいろな攻撃を実際に受けるという貴重な経験が出来ました。

前日に主催側でトラブルがあり、攻撃の仕組みが緩くなってしまったとのことでしたが、結構いろいろと仕込まれていて全然緩くなかったですよ?運営さん!
また、前日のトラブルにもめげずに開催に漕ぎ着けるあたり、さすがでした。

2次会にも参加したところ、「他のチームがどのように設定したか」とか、「攻撃側がどんなことをしていたか」といったことも話題に上り、振り返りの時間にもなりました。

2次会では、「キャンプファイヤー場でアルバイトをしたことがある人」、「ゆくりという、入力した文字を読み上げるアプリを使用して、技術的な動画を公開している人」などとの出会いがありました!

4.最後に

MINI Hardening Projectは、
「何か攻撃を受けたときにどうなるか知りたい・体験したい」
という方に打って付けのイベントだと思います。

MINI Hardening Projectは度々開催されています!

普段セキュリティに携わっていない人や、設定変更等に慣れていない人でも競技中にできることがありますし、まずは気軽に体験してみたい、というのもありだと思います。

全力で楽しみたいという方は、Linuxでの基本的な設定方法を抑えていった方が、出来ることが増えて楽しいと思います。

各チームの状態がまとめて表示されている画面。
おや?真ん中のチームのサイトは改ざんされていますね。

そして、自信がある方は、本家の方にもトライしてみてください。

写真提供: MINI Hardening 運営チーム

記事一覧に戻る