SSTエンジニアブログ

SSTのエンジニアによるWebセキュリティの技術を中心としたエンジニアブログです。

Hardening 2020 H3DX 参加レポート -岩間編-

セキュリティ全般

はじめに

女神転生3 NOCTURNE HD REMASTERが発売されたので絶賛プレイ中で仕事する気になれない岩間です。天穂のサクナヒメも気になってます・・・。PS5?私は予約していないのでノーダメージです。

2020/11/12 ~ 2020/11/13で開催されたHardening 2020 H3DXに競技参加者として参加してきましたのでレポートしたいと思います。 ちなみに、Hardeningには過去にHardening II SUにも参加しており、今回で2回目となります。

wasforum.jp

また、別チームでしたが、弊社の羽鶴も参加報告エントリーを書いていますので、そちらの方も一読いただけますと幸いです。

techblog.securesky-tech.com

Hardeningについて

Hardening II SUと比較すると以下の変更点がありました。

  • オンライン会場
  • 1チーム10人~11人で編成
  • 連合制度の廃止

Hardening II SUの時と差異が無かったのは以下の要素です。

  • マーケットプレイス
  • 参加者ミッション

こちらの要素については、Hardening II SU参加レポートで説明しておりますので、そちらをご覧ください。

techblog.securesky-tech.com

チーム構成

私が参加したチームは Team05 MJM Onlineで、以下のようなチーム構成でした。

  • メンバー数: 10人
  • 学生: 1人
  • 仕事で診断している人: 7人!
  • 弁護士: 1人

f:id:wild0ni0n:20201116164647p:plain
メンバー紹介
診断員の比重が大きいですね・・・。

準備したこと

過去のSoftening Dayから対策を練る

見出しの通り、過去のSoftening Dayから対策を練りました。 https://www.youtube.com/channel/UCOsPioMMKzTTVv3__M0HFUw

各チームの準備した内容、活用できた点、反省点に加えて、攻撃シナリオや競技環境について動画内で説明されているため大変参考になります。
初参加で競技のイメージが湧かない方は、是非ご覧になることをお薦めします。
動画の尺が7~8時間と結構なボリュームですが、休憩時間(1時間休憩と10分休憩が数回)も含まれていることと倍速再生ができるので、動画尺より短い時間で視聴できるかと思います。

f:id:wild0ni0n:20201116164806p:plain
動画の内容を自分なりに整理してメンバーに共有

技術調査

Softening Dayのメモと過去の参加経験をもとに技術の事前調査を行いました。
チームメンバのスキルセットを整理し、調査が必要な技術をピックアップしてメンバー毎に割り振りを行いました。
ドキュメントは1500行以上になり、次回のHardeningだけでなくエンジニアとしても財産になるナレッジでした。

とはいえ実際の競技では次々と行われる攻撃と発生するインシデント対応によって、作業のスラッシング起きてしまい「あれ?俺今なにやってんだっけ?」や「どこまでやったけか・・・?」といった事が起きたため、今回用意したドキュメントだけでなくチェックシートも必要だと感じました。

内部統制の強化

チームメンバのCFO(弁護士)が様々な規定を用意してくれました。

コンプライアンス強化とBCPのための規定

  • 役員会規程
  • MP採用規程
  • 36協定
  • 雇用契約書

以前からの攻撃に備えたセキュリティ関係規定

  • 情報セキュリティ関連規程
  • 情報セキュリティ基本方針
  • 就業規則+リモート就業規則

など

ただし、全ての規定が使用できたわけではなく、全く使われなかったものもあります。
運営の目に入らなければ評価の対象にはならないですし、せっかく用意いただいたので上手く活用できるようにすべきだと反省しています。

競技中

今回はオンライン会場ということもあり、例年とは異なる競技環境へのアクセス方法でした。
詳細は伏せますが、リアル環境から競技環境へSSHやRDPなどのサービスレベルでフォワーディングすることが出来なかったため、 ホスト側のターミナルソフトからコマンドやスクリプト実行をさせるといったことが出来ませんでした。
また、ファイルの転送も面倒な手間が必要だったり、ショートカットキーが使えなかったり、キーボード配列が慣れていない配列だったりで初動対応がかなり遅れてしまいました。

事前に想定していたことも目の前のインシデント対応でスムーズに片付けられず、対応が後手後手になってしまいました。
他のチームのSoftening dayの報告(振り返り)を見ても、同様に手が回らないチームもいたようです。
以前にも増して今回は、慣れていない環境に身を投じても柔軟に対応できる力が求められていた気がします。

結果

私たちのチーム(MJM Online))は5位という結果になりました。
ランサムウェアにかかったり、設定ミスによりSSHが締め出されたり、オークションに間に合わずMP製品が購入できなかったりとハプニングは沢山ありましたが、それでも11チーム中5位という結果は頑張ったほうだと思います。
やりきれなかった悔しい気持ちもありますが、この気持ちは次回に活かせるように進歩したいと思います。

f:id:wild0ni0n:20201116165108p:plain
スコアボード

さいごに

色々と反省する点は多いですが、今回を振り返って改めてオンラインの難しさを思い知りました。
例えば初対面の人とのチームビルディング、慣れない環境での操作、迅速な意思疎通、役割分担や作業の共有など、オンラインでは特に文脈や雰囲気などが伝わりにくいため非常に重要だと再認識しました。(言うまでもなくオフラインであっても重要な要素です。)

次回は、優勝を目指してまた挑戦したいと思います!

記事を書いたメンバー
iwama

岩間(id:wild0ni0n

SSTで脆弱性診断とかしてます。
ゲームが好き。