匠部の三原です。

みなさんは、「守る」セキュリティ技術の競技会(Hardening Project)をご存知でしょうか。
Web Application Security Forum(通称WASForum)が開催しているこの大会は、参加者のセキュリティの知識だけでなく、技術力、状況把握力、判断力を総合的に問われるものとなっています。

過去、株式会社ロックオンから2回エンジニアチームが参加しています。過去の参加レポートはこちらをご確認ください。

さて、今回株式会社ロックオンでは、Hardening Projectから派生した初心者向けハードニング競技イベントMINI Hardening Project #1.3 @Osakaを10/31(土)に開催いたしました。
このイベントは、本家Hardening Projectと比較してサーバ数、脆弱性数、インシデント数を減らし、8時間の競技会を3時間に短縮したものになっています。

当日の競技参加者は、1チーム3~4名の5チームで計19名でした。株式会社ロックオンからハードニング未経験の4名が参加しております。
朝、11時に集合し、競技内容の説明を受けた後、12時ちょうどに協議が開始されました。

序盤は、ドキュメントを読んで運用ルール等を把握しつつ、サーバ環境の調査を進めます。
このあたりは、さして攻撃も激しくなく、記録を取りながら確実に脆弱性を潰すフェーズです。

サービスの継続状況は上の写真のようにプロジェクタで表示されており、見えづらいですがサービス稼働中ならば青、サービス停止すると赤になります。
また、サービスの稼働時間が長いほど、サービス継続点が加算されていき、チームの点数は折れ線グラフで表示されています。

この後、攻撃側(運営)の攻撃が増加していき、徐々に会場がざわつき始めます。
1時間半ほど経過すると、参加者の皆さんはセキュリティインシデントの対応にてんやわんやになっていました。
初めて参加した株式会社ロックオンのエンジニア曰く、「攻撃でサーバが落とされはじめて、『ああ、終わったな』と思った」とのこと。

151126-3
これは嬉しい

ここで、本家Hardening Projectを主催しているWASForumの岡田さんより、参加者にクッキーとコーヒーの差し入れを頂きました。一服できる状況じゃないといった感じの参加者のみなさんですが、冷静な対応のためには休息も必要です。

終了約30分前では、上記のようにチームごとに差がついていました。
各チームのサービス稼働状況もかなり赤い状態になっており、強烈な攻撃から必死に各チーム「守り」を実施していました。

そして、開始から3時間経過し、競技は終了しました。
みなさん、3時間必死だったため、かなりお疲れの様子です。

この後、運営チームからの振り返りがありました。
脆弱性、攻撃方法、各チームの対応状況の評価など運営側からフォードバックされます。
必死にメモをとっている参加者の方も多かったです。

そして、採点がおわり、チームごとの最終順位が発表されました。
株式会社ロックオンチームは、5チーム中、サービス継続点2位、インシデントレポート点2位で総合2位と健闘しました!

自身の能力を試される初心者向けセキュリティ競技会MINI Hardening Project。
次回から競技カリキュラムを進化させたMINI Hardening Project #2として、東京を中心に各地でイベントを開催されるとのこと。
大阪でもまた開催したいと思っているので、興味がある方はぜひご参加頂ければと思います。
MINI hardening Projectのイベントはこちらで告知・募集しますので、ぜひご確認ください。

最後に、株式会社ロックオンの新卒エンジニア2名とベテランエンジニア1名が今年も沖縄で開催される本家Hardening Projectに乗り込みました。
その結果については、実際に参加したベテランエンジニアの中西が後日レポートします。
どうぞご期待ください!