テック・スタディ

IoTとかセキュリティとかの備忘録

Hardening 1010 Cash Flow 〜リアルなインシデントを体感せよ!〜

security Hardening

時はきた

2017年6月23日、24日。日本の未来を担うエンジニアが集結した。 雲ひとつない青空の下、コンベンションセンターの一角で10時間にも及ぶ熱き戦いが幕をあける。。。 本稿では、Hardeningに参加した経験をもとに日本の未来を担うエンジニアの方々にメッセージを伝える。

競技の概要

開催された競技内容は、NDAの関係上詳細に語ることができない。 また、本稿で伝えたい内容ではないため詳細については差し控えさせていただく。 大変申し訳ないが、以下のブログや運営の方が公開されている記事を参考にしてほしい。

Hardening 1010 Cash Flow 参加レポート by Money Forward 市川さん

Hardening 1010 Cash Flow に参加してきました by DMM.com 澤谷さん

Hardening 1010 Cash Flowに参加しました by nmtyshさん

Cash Flowを意識した企業経営を!

当然のことながら、企業を立ち上げ、運用していくにはそれなりの資金が必要となる。 今回のHardeningのタイトルにもあるとおり、Cash Flowを意識した経営が重要になってくる。

本競技は迫り来るインシデントへ柔軟に対応しながらECサイトを運営することで、仮想の企業を存続することができる。

Market Placeと呼ばれる卸売業者から在庫を購入し、ECサイト補充することでようやく販売体制が整うという仕組みもおもしろい。

卸売業者から「優良企業認定」(仮称)を受ければ、定価よりも安く在庫を仕入れられるメリットも存在した。

新しく追加された銀行の仕組みを使い、融資を受けたチームがほとんどだった。

そうでなければ、今回の競技。 Market Placeにて製品を購入することはおろか、在庫の仕入れが不可能になる可能性もあったのだ。

脆弱性などの話も。。。

BIND rndcの設定における不備

BINDといえば様々な脆弱性が存在するが、今回の競技ではそのような危険度の高い脆弱性の他に、rndcの設定不備が悪用されるシナリオも用意されていた。

rndcの設定でアクセス制御を受け付けており、なおかつ鍵情報が漏洩した場合にリモートから制御されるというものだ。

幾度もBINDを停止させられたチームがほとんどだろう。※我々のチームも原因不明の停止に悩まされた

Tomcat標準のWeb アプリケーションマネージャが有効

Apach Tomcat では、アプリケーションのデプロイや停止などを管理できる管理画面が用意されている。

この機能は標準で稼働はしないようになっているらしいが、設定手順次第では機能を誤って有効にしてしまう場合があるそうだ。

BIND rndc および Tomcatの設定不備に関して

参考:Hardening 1010 Cash Flow 開催! 株式会社ラック

我々のチームを襲った、「Patrick Hurley」

我がチームに多大な損害を加えたPatrick Hurley

特に実害が発生したわけではないのだが、トータル20回以上、約3000万円ものマイナス注文をかけられた。

通常の業務でこのような事態が発生した場合どうなるのかと考えると、背筋も凍る想いだ。

f:id:h3xm9s9:20170725201050p:plain

重要なのはチームワーク

この競技に参加して感じたことは「チームワークの重要性」だ。

Softening Dayの各チーム発表でも窺えるのだが、「ダブルチェック」や「ペアでの行動」といった基礎的(?)な行動が重要だと思われる。

一人で作業をすると、間違いを発見するまでに長い時間をかけたり、他者に指摘されるまで気づかなかったりする。

こういった無駄を「ダブルチェック」や「ペア行動」などの取り組みで改善することが可能だ。

短時間ではあるが、強い絆で結ばれた!

普段知り合うことが無いであろう人々と強い絆で結ばれた。

チームの人はもちろん、会場全体が「衛る」という目的に向かって一生懸命になれた。

そのことが何よりも素晴らしいことでは無いだろうか。

所感

このHardening Projectは未来の日本を担う人にとって、 とてつもない力を与えてくれるイベントだ。 チームメイトが先生で、自分自身も先生になり得るためである。 セキュリティの業務に従事している人がチームにいれば、 どのような部分に脆弱性を作り込む可能性があるか?などを聞くこともできるだろう。 また、チームにエンジニアの方がいれば、 運用時の注意点や移行作業の大変さを聞くことができるかもしれない。 自身が属していない分野・業務の知識を、短期間のうちにたくさん触れられるのは魅力的だ。

ここから食い止める!リアルのインシデント

昨今、セキュリティインシデントが頻発しているこの日本では、 「衛る」ことの重要性を理解した"人財"が特に必要とされている。

本稿を読まれたあなたは、「衛る」ことの重要性に気づき理解できるはずだ。 もっと理解を深めたいと思われたら、次回のHardeningに参加されることを強くおすすめする。

次回Hardeningは2017年11月23日 - 25日に兵庫県淡路島で開催される。 募集が開始されたら、セキュリティに対する熱い想いを持って応募してほしい。

「衛る」輪を広め、日本の未来を我々の手で創造していこうではないか。