桐生あんずです

日常やプログラミングについて書いています。

Hardening 2021 Active Fault 参加レポート

プログラミング

この記事は Classi developers Advent Calendar 2021 8日目の記事です。

前回の記事は id:kazumeat さんの「リモートワークのための質問力向上研修を実施しました」でした。

こんにちは、桐生あんずです。 同僚からお誘いをいただき、去年に続きHardening本戦にチーム参加してきました。今回も振り返りレポートを書いていきたいと思います。

去年の記事は以下のものになります。 kiryuanzu.hatenablog.com

Hardening とは?

一言で説明するのが難しいのですが、もし自分が知らない人に向けて説明する際は、サイバー攻撃からサービスを守りつつ限られた時間の中で売り上げを伸ばしていくことがメインとなるセキュリティ系の競技だと伝えています。 公式サイトの募集要項ページでは以下のように説明がされています。

Hardening競技会は、基本的に、チームに託されたウェブサイト(例えばEコマースサイト)を、ビジネス目的を踏まえ、降りかかるあらゆる障害や攻撃に対して、考えうる手だてを尽くしてセキュリティ対応を実施しつつ、ビジネス成果が最大化するよう調整する力を競うものです。

前回・今回を経て痛感しましたが、競技中は様々な攻撃や障害、想定していないエラー、大会運営からの呼び出しなどが発生しずっと目が回っているような時間を過ごすことになります。それに加えて普段体験できない立ち回りを担うことができたりと、普段の業務とはまた違った経験を味わえる競技という印象です。

大会参加前の準備

チーム単位での準備は所属チームのリーダーののみぞうさんが大変丁寧にまとめていただいております。 yawaraka-sec.com

特に、記事の中で紹介されている MTG 冒頭のチェックインボードの記入タイムの取り組みはアイスブレイクとしてすごく良いなと思い、チームメンバーそれぞれの個性を知る助けにつながったと思っています。事前に調子の良さや悪さ、余裕の度合いなどを知れたことでコミュニケーションしやすかったです。

MTGの冒頭で「チェックイン」として、1分で今の状況や気持ちを表す部分に自分のアイコンを移動させ、その後順番に指名をして全員が挨拶も兼ねてちょこっと話をする。というのを必ずやってました。

競技前の提供サービスとしてイエラエセキュリティ さんから Hardening における振る舞いを質疑応答形式で伝授していただくという大変貴重な経験にも恵まれました。

個人的な準備としては、当日中にスムーズにログの調査を行うための知識のインプットとして「セキュリティのためのログ分析入門」という本を読み返して不正なアクセスがあった時のログの調査の流れを確認して個人の Scrapbox に当日やるべきことをメモするなどしていました。(後述しますがあまり役には立てなかった……)

セキュリティのためのログ分析入門 サイバー攻撃の痕跡を見つける技術 (Software Design plusシリーズ)

セキュリティのためのログ分析入門 サイバー攻撃の痕跡を見つける技術 (Software Design plusシリーズ)

Amazon

大会当日にやっていたこと

細かい攻撃内容等は競技内容のネタバレになってしまうので、抽象的な内容ばかりですが以下のような振る舞いを意識していました。

マーケットプレイス企業とのコミュニケーション役

当日のマーケットプレイスではバラクーダさんの WAF を購入し、導入や問い合わせ周りのコミュニケーションは自分が全て受け持つようにしました。メールで証明書を送るやりとりや DNS の変更など、細々としたタスクがあり環境の都合で自分がすぐに動けなさそうなタスクは他メンバーと連携して対応を進めることができました。担当者さんも大変親切な方で、攻撃が発生してこちらが困っている旨を伝えた時に、今できる対応策を伝えてくださったりと密にコミュニケーションできたのが大変印象的でした。

他メンバーのサポート役

大会恒例の運営呼び出しイベントが今回も発生し、指定された時間までに資料を準備する必要がありました。

しかし、呼び出し対応をするメンバーの2人のうち1人がちょうど運営のインタビューを受ける時間帯で数十分不在となり対応メンバーが1人のみになってしまう局面がありました。残った方が他のメンバーに「誰か一緒にやってくれる方はいませんか?」とボイスチャットで呼びかけているのを見て、他のメンバーも忙しそうで手が回らなそうだった気配だったので、自分が資料作成の手伝い役として関わるタイミングがありました。 ただし、やれたことはそのメンバーの作業を一緒に見守ったり資料の細かい修正ぐらいだったので、「助けになれたのだろうか……」と申し訳ない気持ちでいっぱいでしたが振り返りの時に「めっちゃ助かりました」とフィードバックをいただき、あの時手をあげることができて良かったなと思いました。

他にも、競技前に提出する必要のある振り返り資料作成の旗振りなど他メンバーの手が回っていなそうな作業を進んで行う役割をやっていた時間が多かったように認識しています。

反省点

上記の役割に時間を割いていたこと、そして自分の実力不足もあり肝心のログ分析や不正アクセスの検知などは他の技術担当メンバーに任せっきりになってしまいました……。前回も同じ課題感を持って帰ったことを覚えているので克服できなかったため落ち込んでいます。問題が起きて一人で困っている人がいたら、対応できそうな人につなぐといった役割は前回に続き意識することはできたと思いますが、次回があるならもっと自己対応する力をつけていきたい所存です。

他にも、CMS ツールの操作に手こずっていたマーケ担当メンバーのサポートをもっと自分が進んでやるべきだったのでは?と考えれば考えるほど反省点が出てくる状況です。

まとめ

反省すべき点は多くありますが、前回と比較すると「何もわからず周りに頼って終わってしまった」という状況から、今回は主体的に動ける局面を多少増やすことができた実感があります。 また、準備期間中からずっとチームメンバーと円滑なコミュニケーションを取って競技に参加することができ、去年に続き楽しく終わることができた印象です。気軽にコミュニケーションできる空気づくりを用意してくださったチームリーダーののみぞうさんを始めとして、一緒に関わってくださった方には感謝の気持ちが尽きません。

また、結果は11位中5位でした。細かい結果は以下の通りです。(チームメンバーから掲載許可をいただいています) f:id:kiryuanzu:20211208112441j:plain そして、大変ありがたいことにイエラエセキュリティさんから副賞としてブルーシールのアイスを贈呈されました。チームの打ち上げでぜひいただきたいと思います!

改めて Hardening 関係者の皆様、チームメンバーの皆様本当にありがとうございました!今回の経験を振り返りつつセキュリティ関連の知見を溜めて今後の Hardening イベントにも関わっていきたいです。

Classi developers Advent Calendar 2021 の9日目の担当は id:ruru8 さんです。楽しみですね!