3月21日(水)に行われたMicro Hardening in 鹿児島 に参加してきました.
初参加で技術面にも不安がありましたが,楽しく参加できたのでどんな勉強会だったか書きたいと思います.
Micro Hardeningとは?
Micro Hardeningはチーム対抗で行う競技形式のセキュリティ勉強会です.
Hardening ProjectやMINI Hardeing Projectと比べると,より簡単な構成となっていてゲーム感覚でサイバー攻撃に対処する能力を磨くことができます.
Micro Hardeningがどんな競技かと言うと,脆弱性のあるシステム(ECサイト)に対して次々と行われるさまざまなサイバー攻撃に対処して売上を伸ばしていくというものです. 競技時間は1回45分で複数セット行い,セットごとに最終的な売上がチームのスコアになります.
競技は複数セット行いますが,すべて同じ内容となっていて1回目より2回目,2回目より3回目というようにできなかった対処を次はできるようにしていくことで,チームの得点を上げていくことができます.
短い時間で繰り返し行うことができ,チームメンバーと助け合いながら競技できるので,知識や経験,技術力が足りない僕でも最後のセットではほんの少しチームに貢献することができるようになったのではないかと思います.
当日の様子
勉強会の2日前に事前資料が配られました.
資料には競技の流れや使用する環境の説明だけでなく,競技用サーバへのSSH接続の方法やログの見方といった必要な基礎知識も丁寧に説明されていて,そもそも何をしたら良いのかわからないという状況にならない配慮がありました.
初参加で不安だったので,事前資料があってとても助かりました(当日に資料を印刷して持っていくと競技中に参照しやすいのでオススメです).
当日は4人1チームで45分間の競技を3セット行いました(個人的にはもう1セットくらいやりたかったな…)
会場は1テーブル4人が座れるようになっていて同じ席に座った人同士でチームを組みました.
なのでチームのメンバーはその日初めて知り合う方たちでしたが,競技をしていくうちにお互いにどんな役割をするかなんとなく分担できるようになったと思います.
といっても僕にできることは多くなかったので,サイトのアクセスログに変わったものがないか眺めたり,サーバの設定ファイルを確認したりしていました.
また,競技前にチーム用のSlackチャンネルを作っておいて,競技中に得られたログなどを共有していました.
ネタバレを避けるために具体的に行ったことは書きませんが,簡単なLinuxの操作ができることとWeb関連の予備知識があると当日楽しめるのかなと感じました.あとコミュ力…
僕たちのチームはセットごとにスコアを伸ばしていけました.
競技前に説明で「戦うべき相手は過去の自分自身,前のセットよりも高いポイントを目指せ!」とあったので,良い感じに競技できたと思います.
チームの最終的なスコアは70000点くらいでした.一番得点していたチームは100000点超えてましたスゲ-Σ(゚Д゚).
まとめ
Micro Hardeningに参加してみて,ゲーム感覚でできるセキュリティの勉強って楽しいなあと感じました.
CTFで問題を解くときとは異なり,毎回同じ内容で行うことで攻撃パターンを覚えて対処していけるので違った楽しみがありました.
もっとセキュリティに関する知識や経験を広く深く身につけていきたいです.
おまけ
Micro Hardening後の懇親会での話(うろ覚えだけど)…
川口さん曰く,セキュリティの問題が起きる原因は
- ソフトウェアの脆弱性
- 管理不足
- 騙される
のいずれかに分類でき,さらにユーザとエンジニアのどちらが解決しなければならない問題なのかに分類することができるらしい.これを川口理論と呼ぶとか呼ばないとか…
確かにこのように問題を区分けできれば,対処の方針なども立てやすいのかなと思いました.