OWASP Kansai DAY 2017 in Osaka〜Hardening 2017 Fesでリアル人間ドラマの当事者になった僕/owasp-kansai-day20171202

Transcript

1. Hardening 2017 Fesで リアル人間ドラマの当事者になった僕 OWASP Kansai DAY 2017 in Osaka

   Team#5@守るのみこと どりぃ（いけがみみどり） 2017.12.02（Sat） 1

2. 2 はろーはろー！

3. 本日のハッシュタグ #owaspkansai #h2017fes

4. あばうとどりぃ おなまえ：どりぃ nいけがみさんとよばないで絶対 nエバンジェリストとか nキントーンとか nコスプレエンジニアなひと かつどう：何やってるかもはや謎 ぞくせい：コスプレエンジニアと いう名の何か コミュニティ：いろいろ

   アスキー どりぃ

5. Hardening Projectとは（１） ECサイトの堅牢化・価値向上を競う競技形式のイベント 6〜7名1チームで競い合うチーム戦 公式サイトチェック！ nhttps://wasforum.jp/hardening-project/ よみかた：はーどにんぐ nNOTはーでにんぐ n参加者でもいた。背後から刺されないように注意 nモグリと思われてもしらないぞ

6. Hardening Projectとは（２） 堅牢化→技術がすべてではない ECサイトの価値向上が大きな課題 n商品売上 n顧客対応 n謝罪会見 nチーム内のコミュニケーション...etc 複合的な要素、観点から評価が行われる

7. 7 今回はHardeningでリアルな体験をした話

8. はじめのポイント 今回のHardeningは1日目と2日目があった n1日目：Hardening Day（本戦） n2日目：Hardening Day 延長戦（足掻き） l 今までは1日目のみ。2日目にSoftning Day（振り返り

   l 今回は3日目にSoftning Day Hardening参加した結果「何もできなかった」 1日目と2日目の「何もできなかった」のニュアンスが異なる

9. はじめのポイント 参加者は「楽しい」「イイ話」をするケースが多い（たぶん そんな中で少し人間の心理状態にフォーカスした話をしてみる でもね。なんだかんだで Hardeningはたのしーんだよ（※ココ重要

10. 10 そんな 「何もできなかった」 のニュアンスの違いを感じながら ノンストップでお楽しみ下さい

11. 11 我らがチームMENのご紹介 注）チームビルドの経緯は時間の関係で割愛

12. チームMEN紹介（１） チームビルド後チーム名とリーダー決め nチーム名：守るのみこと nリーダー兼社長：どりぃ（いろいろあった チーム名の由来 n淡路島でハードニングが開かれることにちなんで l 伊弉諾尊（いざなぎのみこと）・伊弉冉尊（いざなみのみこと）が最初に作った 島が淡路島であり、そこから日本が創られたそうな。 チーム名は投票制（持ち票数：2票/人）

    チームメンバー（７名⇒6名） 12

13. チームMEN紹介（２） 13 どりぃ もりしー どん クリリン ぱぱ ゆーや よっしー 居住地

    大阪 兵庫 大阪 大阪 兵庫 石川 岡山 職業 社会人 社会人 社会人兼学生 社会人 社会人 社会人 学生 業務 コスプレイ ヤー＆なんで も屋 インフラSE フリーランス なエンジニア セキュリティ 企画 IoTセキュリ ティ セキュリティ教 育 OSセキュリ ティハック 参加経験 本家 : 1回 ミニ : 2回 ミニ : 1回 なし ミニ : 1回 なし なし なし 孤高の エンターテイナー 冷静沈着 技術マネジメント 担当 残念ながら欠場 なんや ただの孔明か セキュリティは ワイにまかせろ！ 愛すべき イカナカマ シャイだけど しっかりモノ

14. 役割分担 マネージメントチーム (2名) 全体管理者(1名) * マネージメント系課題管理 * メール対応 * 在庫管理

    * 謝罪対応 コンテンツ・MP担当(1名) * メール対応 * MP選定・対応 * 作業記録作成 * コンテンツ管理 * 謝罪対応 技術チーム (4名) 全体管理者(1名) * 技術系課題管理 * 対応の要・不要の判断 * 課題のアサイン、撤退の判断 インフラ・Web担当(3名) * 各種脆弱性対策 * システムチューニング * インシデント対応 14

15. 事前準備（１） 競技者顔合わせ会＠大阪へ一部メンバー参加 Slack・Backlog・Googleスプレッドシートの活用 nSlack：チームビルド後すぐ nBacklog：タスク管理どうする？➜制限あるけど無料だし使いやすそ う➜導入決定 用途ごとに使い分け nSlack：リアルタイム性のあるやりとり nBacklog：期限つきタスク＆TipsやWikiなど固定化したい情報 nスプレッドシート：リスト化したいもの

    15

16. 事前準備（２） 16

17. 事前準備（３） 方向性の共有 nチーム内でのズレ→その後の対応にも影響が出る可能性 方向性＝楽しみつつ上位を狙っていこう！ 個人のスキルセット確認 スキルセットに応じた役割分担（p13） MP：あらかじめ何を導入するか検討 n金でなんとかできるところは金でなんとかするオトナ精神 当日持参物のリストアップ、ツール準備 17

18. 決戦当日 初動〜Hardening Day Hardening当日の顔合わせ兼打ち合わせ n前日組と当日組がいた 当日組：始発入り➜打ち合わせ 初動大事。必要なタスクの割り当て＆整理 n優先順位付け nMP購入開始までの時間に必要な対処 18

19. 19 初動はけっこう好調だった（はず

20. 決戦当日 ポリシー〜Hardening Day お金、売上これ重要 チームの技術力に依存しすぎない 堅牢化？MarketPlace（MP）でカバーできる部分はMPに 頼んどけ！ nBarracuda WAF、CylancePROTECT n見守りタイ（オージスさん）・SORAMAME5

    人買い余念なし 人に相当助けられた nサポート外のこともかなりボランティアでやってくれた 20

21. 決戦当日 ポリシー〜Hardening Day いかにして売上を上げるか？を検討 n高額商品に注目 nアナゴいけんじゃね？ nアナゴの在庫が100きったら補充！補充！ n売れ行き好調。注文多数。 売上に繋がらない→優先度を下げる n他の商品を売ることに専念

    n潔さ。諦めの良さ。これ重要 21 The俺たちのA・NA・GO！

22. しかし俺たちあなどってはいけない

23. うちのチームには頭脳明晰孔明がいた さながら俺は据え置き社長oh

24. 実はこんなブログを事前に捕獲していた

25. 恐るべし孔明の罠!!!!!!!

26. サイトで見つけたねぎ画像

27. 新商品でねぎ出そうぜ!!!

28. ねぎ出してみた テンション（1番）上がる孔明

29. 29 決戦当日 新商品開拓〜Hardening Day 新商品でねぎを出した結果 n在庫減らない n注文一切入らず 効果的な売り方不明のまま1日目終了

30. フロントでちょこちょこ対応はしたものの あんまり貢献できなかったな・・・

31. 31 迎えた2日目

32. 32 今日は体制立て直して がんがる、と意気込む俺

33. 白目の2日目〜Firming Day 初の延長戦（2時間） n今までのHardeningは1日目のみ nMP新規購入できる？環境リセットされる？ n様々な憶測が飛び交う 1日目の状況を踏まえた上での綿密な打ち合わせ 33

34. 白目の2日目〜Firming Day 孔明を中心に方針を固める

35. 白目の2日目 対応指針〜Firming Day 可用性重視 WebARGUS（KDLさんのソリューション）絶対導入 とにかくアナゴの在庫は切らすな（孔明 サーバーサイドの脆弱性対策を万全に nconfigやパーミッション周り l WordPress・EC-CUBE

    n不正なプロセスなどのチェック どりぃ担当変更＝フロント対応→技術対応に n1日目の名誉挽回するぜと意気込む俺

36. 36 んが。

37. 予期せぬクリティカルな 物理インシデント発生

38. 人事異動のお知らせデースｗｗｗ

39. しかも社長（俺）を残して・・・ 39

40. スライドして来たのは◦◦チーム 正体はまた別のところで♪

41. 41 ここから押し寄せる 壮絶な人間ドラマ

42. 社長！よろしくおねがいします！ それぞれ使ってる端末決まってるんで◦◦… （どり）はいー引き継ぎ事項とかはSlackで… 社長！◦◦してもいいですか？ （どり）あーはい… （どり）（Windows端末入れない？） 誰かログインパスワード変更しました？ してないです！（※実は別の人がしてた （どり）作業履歴は取ってもらってるしなー うーん

43. 43 言葉通りの意味 「何もできなかった」

44. 1日目と2日目の「何もできなかった」の差 1日目 2日目 全体の方向性 だいたい一致 よくわからん 対応方針 サーバー周りは技術チームに一任 WAF周りの対応：ぱぱ専任 誰がどこ担当か把握していた

    誰が何を対応してるかよくわからん 端末入りたいのに入れる端末がない 全体のペース だいたい一致 社長置いてけぼり。 何されてるかさっぱり。俺空気 コミュニケーション Slackメインで時々直接声掛け 「これどう？」などの雑談も 「◦◦やります」「やりました」 事前・事後報告のみ この差はどこにあったのか？

45. 白目の2日目 空白の延長戦〜Firming Day コミュニケーション最重要 複数の人たちで何かする場合は本当に重要 まず一定時間を確保しての話し合い。方向性合わせ。 n事前・事後報告、対応可否のみ✕ 自分は「こう思う」「こうしたい」という意思の明示 n結果として意思にそぐわなくてもそれは話し合いった上での納得の結 果なので問題なし

    あくまでどりぃの持論です

46. 白目の2日目 自戒〜Firming Day コミュニケーションの足りなさが2日目の結果に反映された あまりの自身の窓際社長っぷりに熱が冷めそうな事態に（実は Hardening甘くないな。甘くないよ

47. 47 そう。まさしくリアルな人間ドラマさ ※3日目のSoftning Dayでは一切語られていない

48. 終幕と感動を呼ぶ 〜Softening Day https://youtu.be/me4rM9OVtNg 感動の結果発表はぜひWeb（つべ）で

49. 49 そんな人間ドラマも体験できる！ Hardening Project みなさんも是非ご参加いかがですか？

50. 50 Thank You p526CA @p52_rocca