はじめに
初参加、惨敗です。 チームメンバーの方へ、本当にご迷惑をおかけしました (迷惑と言うよりも、問題を解消できなくて本当に・・・本当に・・・)
MINI Hadening って何
脆弱なサーバー・アプリ環境を渡されて、 それを5時間程度の間でセキュアにしていくという競技です。
採点方法は、システムダウンが起きていないかや、 埋め込まれた脆弱性が防がれており、侵入などを防げているか、 と言った点を総合評価するというものです。
今回の主題はゲームサービスを守ろう みたいなやつでした。
感想
参加したこと自体はそれなりに良かったです。 が、一つの問題から抜け出せずにいたので(自分の落ち度ですが)大変ションボリする1日になってしまいました・・・。
(もう一度書きますが自分の落ち度ですが)一つの問題と相対し続ける1日となったので、競技としての動きがない状態となってしまい、インシデントを体験してる感が低くなってしまいました・・・無力・・・。
と、ネガティブなことを書きましたが、 一般エンジニアからセキュリティエンジニア、学生の方含めて、本当にお勧めだと思います。 (多少はセキュリティ知識や堅牢化のスキルがないと辛いかもですが)
振り返り
競技内容には触れない形で実際の競技の振り返りをすると、 自分は「何もない環境だとかなりきょどってまともに動けない」という発見がありました。
ここ数年は高いツールやら、同僚が整えた最低でもある程度整った環境をベースに仕事をしていたので大変甘えていました。 そんなヌクヌク環境でインシデント対応やら、診断やらを行ってきたので、 マジで何も整っていない環境を渡されると、やることが多すぎたり、やりたいことが多くて困りはてました。
そんなやりたいことだらけな一方で、競技前半にアプリケーションが起動しなくなる問題が発生しました。 その原因究明は競技が終わっても解決しなかったので、 結果論としては、大きな反省ポイントだったと思います。
この問題は誰かが悪いとかではなく、プロセス整備を怠ったというだけの話で、
作業記録をちゃんと(全員で)取ろうね という合意をちゃんと取らなかったチーム全体のミスだったのかもしれません。
(むしろ引っ張ってくれるチームメンバーがいらっしゃったので、それに甘えておんぶに抱っこにベビーカーまで用意してもらう感じになってました。申し訳ない・・・)
また、マジでどうしようもない時の伝家の宝刀、 サーバーロールバックを強い気持ちで申請するのも手段としてはありました。
・・・で、終わった後の解説を聞いてみると、 (時間がある前提ですが...)それなりにしっかりとIR (または診断)をしていたら、 大凡漏らさないだろうなーという脆弱性やマルウェアっぽい挙動ばかりだったので、 かなりションボリしています。
それと、安易に自分の得意じゃないところ以外を 「やる」と言ったのも競技上はうまくいかなかった部分ではありました。 が、そんなこと攻撃者からしたら関係ないので、ただただ自分の無力が原因です。
最終的には自分の課題のヒントなどをやんわり学びとして得られる機会となったので良かったです。
おわりに
ここまで(割と)ネガティブな内容を書いていますが、 昔から参加してみたいなーと思っていた (mini) hardening に今回初参加できたのは大変良かったのです。
また、自分の弱い部分、課題感もふんわりと見えたのはとても良いことだと思うので、 総合的に見て、参加して良かったと(終わりの部分を書いている現在)思っています。
最後に、 運営の方々、準備に何ヶ月とかかるようなかなりヘヴィーで面白い環境を用意してくださって、 本当にありがとうございました。
チームメンバーの方々も、ありがとうございました。 色々と引っ張っていただいたりと大変助かりました。
