Micro Hardening v1.x@長野でドン勝!!

■背景

小学生の頃からセキュリティに興味があった私は、ここ数年、ハードニング関連のイベントに参加させていただいている。参加費用はすべて自腹。

2015/08/29MINI Hardening Project #1.2東京
2015/11/07Hardening 10 ValueChain沖縄
2016/11/01Hardening 100 Weakest Link沖縄
2018/07/06Hardening II Collective宮古島
2018/07/21Micro Hardening v1.x長野

というわけで、宮古島で開催された Hardening II Collective にも参加させていただいたのですが、15時頃まで1位独走していたチームだというのに、それ以降どんどん下降していき、最終的にはビリになってしまいました。このときの私の役割はエンジニアではなかったため、不完全燃焼な結果でした。このもどかしい状況から脱すべく、急きょ、長野に向かうことにしたのです。

■結果

チームのスコアとしては1位に、つまり、ドン勝することができました。全部で6チームあって私の所属はチーム5でした。1チームあたり4人という構成でした。
とはいうものの、Micro Hardeningは表彰されるわけでもありませんし、Hardeningと比較すると、守るべきサーバは1台だけだったり、”ゲーム開始から同じタイミングで同じ攻撃がやってくる内容”を3セットやるだけですので、対策がとてもしやすかったです。

■どんなだったか

Micro Hardeningに参加するとよいであろう対象者はセキュリティの専門職の方とかではなく、フツーの会社の情シスの人だとか、フツーのSEとかが、「ちょっとセキュリティ対策ってどんなのか知りたい」と思ったら参加してみると吉。日常業務にも役立つ、エンジニアリングの基本の総復習ができるようになっているような感じでした。
Hardeningの場合は、会社経営の視点での対応が必要となるし守るべき対象もかなりの台数となりますが、Micro Hardeningは「残機3で、守るサーバは1台」なので、とても気軽に参加でき、スグに直前の結果を活かすことができ、基本的にはどなたでも、1セット目より2セット目のほうがスコアは高くなり、2セット目よりも3セット目のほうがスコアが高くなるようになっていました。

PUBGでたとえると、1回目のプレイでいきなりよくわからないままパラシュートでポチンキに降りてしまうと、武器をゲットすることもなくいきなり何者かに銃で撃たれたりぶん殴られていきなりゲームオーバーとなってしまいますが、それを経験した2回目のプレイではポチンキへの降下は避けて、敵がいないミルタとかロズホックに降りるようになって、そこで操作に慣れてレベルも上がってきてからポチンキに降りることに挑戦するようになりますよね。
Micro Hardeningは同日に3セットできるので、さっきのミスを活かした対応ができるようになるので、ゲーム感覚で慣れながら学べるようになっていました。

守るべきサーバはLinuxサーバでした。
TeraTermなどで対象サーバにSSH接続し、/var/log配下のログを見たり、ps -ef | grep なんたら みたいなことをして攻撃を知り、知ったならば、次(2セット目)はフィルタリングするなり、脆弱性対策をしていき、その次(3セット目)では、1セット目と2セット目の結果から取りこぼしている対策をしたり、2セット目のときよりもスピーディーに対策していくことになります。

■振り返り

・1セット目


チーム5のスコアは87,000。
どのチームも初回なので様子見しつつな感じ。
手作業で状態確認(監視)している状況。

・2セット目


チーム5のスコアはまた87,000。フツーは1セット目よりもよい得点になるはずだが、止めてはダメなモノを止めてしまったり、どこを変更すれば元に戻るのかがわからなくなっていました。
各チーム、監視~復旧が1セット目のときよりもスピーディーにできるようになっていたと思います。

・3セット目


チーム5のスコアは130,000。2セット目にやってしまったことを反省(活か)し、慎重な対応をしたり、古いバージョンのモノのアップデートなどもしました。

■そういえば

今回の会場は「株式会社電算」でした。私は過去にここに来たことがありました。

2017/05/27 SECCON Beginners長野

というイベントで。
長野県ではこの電算さんがセキュリティ関連イベントに会場を提供してくださる非常にありがたい会社ですね。

Micro Hardeningは、川口設計の川口さんが今年から開始されたイベントです。
「セキュリティの人材が足りない!」という大問題があるわけですが、こういったゲーム感覚でセキュリティの経験をしてもらう場を提供し、底上げをしていかれる活動はとても重要なことです。
知識があってもそうそう実践には活かせませんから、入門者向けの実践の機会としてMicro Hardeningはもっといろんな場所で開催され多くの人に体験してもらいたいと私も思いました。

■蛇足