About Micro Hardening

Transcript

1. Micro Hardening とは Hardening Project

2. Copyright ©Hardening Project All Rights Reserved. Hardening Project 2 実践的な堅牢化技術の価値を最大化すること

   ビジネスの視点 Focus on prevention techniques and process 守る技術の顕彰 Engineering awards and talent discovery 利用者視点の認識向上 Perspective for stakeholder communication 1. 2012年 4月 Hardening Zero (東京) 2. 2012年10月 Hardening One (東京) 3. 2013年 7月 Hardening One Remix (東京) 4. 2014年 6月 Hardening 10 APAC (沖縄) 5. 2014年11月 Hardening 10 Evolutions (沖縄) 6. 2015年 6月 Hardening 10 MarketPlace (沖縄) 7. 2015年11月 Hardening 10 ValueChain (沖縄) 8. 2016年 6月 Hardening 100 Value x Value(沖縄) 9. 2016年11月 Hardening 100 Weakest Link(沖縄) 10. 2017年 6月 Hardening 1010 Cash Flow(沖縄) 11. 2017年11月 Hardening 2017 Fes(淡路島)

3. Copyright ©Hardening Project All Rights Reserved. Hardening Project 3 11時間の耐久競技にインターネットの縮図を実現

   限られたリソースを最大限に生かし、ビジネス価値の最大化を競う 第三者の製品とサービス チームA チームB チームC チームX チームX チームX 競技空間で提供される様々なサー ビスや製品を調達し、自チームに 足りない能力を補完 Eコマースサイトの”売上”と”稼働状況”を リアルタイム・スコアボードに 参加者（6人～10人のチームで編成） シナリオ遂行・評価 kuromame6 参加者は与えられたショッピングサイトの売上を最大化するべく、チームワークを生かして行動する。 「攻撃検知」「被害の極小化」「攻撃対処」「システム復旧」「社内調整」「顧客対応」「商品調達」など 様々な技能を競う。

4. Copyright ©Hardening Project All Rights Reserved. Micro Hardening 4 繰り返しできる

   小さな環境 構築＆運用の自動化 サイバー攻撃を 防ぐ 見つける 回復する 体験する

5. Copyright ©Hardening Project All Rights Reserved. プロジェクトの比較 5 時間 人数

   評価要素 対象 8時間～11 時間 6人～10人 売上 技術点 顧客点 など 20台以上 の仮想空 間のシステ ム 3時間 4人 売上 SLA 報告書 4台 45分(複数 回) 1人～4人 売上 (技術面の み) 1台

6. Copyright ©Hardening Project All Rights Reserved. コンセプト：繰り返しできること 6 自動構築されるショッピングサイト 45分1セット

   ショッピングサイトの売上をスコア表示 複数セット 毎回同じ攻撃 参加者 自動攻撃システム クローラ

7. Copyright ©Hardening Project All Rights Reserved. Hardening Project 参考資料 7

8. Copyright ©Hardening Project All Rights Reserved. シナリオコンセプト 8 ビジネス対応 システム停止

   情報漏えい データ改ざん 詐欺 事故対応・炎上対応 社長や上司からの無茶ブリ 法務、総務、経理部門との調整 外部団体との調整 情報漏えいの情報公開 記者会見、メディア対応 プライバシーポリシーの不備 標的型攻撃メール フィッシングサイト 空き家詐欺 ホームページ改ざん ランサムウェア被害 DoS攻撃やDDoS攻撃 爆買いによる過負荷 SQLインジェクションや侵入 などによる情報漏えい 置き忘れたデータ移行ファイル 事件は「こんな環境、運用ありえない」というところで発生 多くの状況に共通する仮想的な環境を作り、演習形式で実施

9. Copyright ©Hardening Project All Rights Reserved. システム構成図（参加者環境） H2017Fes DNS&MAIL(team01) DNS&MAIL

   (team02) DNS&MAIL (team16) レンタルサーバ WEB4 (team01) WEB4 (team08) WEB4 (team16) レンタルサーバ Windows7 Windows7 Windows7 Windows7 Windows10 Ubuntu Windows Server(MP) WEB2 WEB3 Info DB2 DB1 WEB1 内部DNS FileServer AD SSLVPN ルーター To:淡路 192.168.0.0/24 192.168.128.0/24 .254 .254 FW (main) FW (sub) .1 .2 .3 .4 .5 .65 .66 .67 .68 .131 .132 .133 .134 .136 .141 .146 .131 .132 .133 .134 .136 .141 .146 172.23.XX.0/24 .251 .252 .251 .252 .254 192.168.255.0/24 10.2.XX.192/26 10.2.101.0/24 10.2.100.0/24 .11 .12 .28 .11 .12 .28 XX = #teamnum Exp: team01 = 1 10.2.255.0/24 .1 .100 .254 .254 .254 ※Route: 10.2.XX.128/26 gw 10.2.XX.252 ※Route:10.2.XX.0/25 gw 10.2.XX.251 .101 緊急用サーバ .190 .190 9

10. Copyright ©Hardening Project All Rights Reserved. Hardening Project 実行委員会 10

    門林 雄基 Youki Kadobayashi （奈良先端科学技術大学院大学）：実行委員長 岡田 良太郎 Riotaro Okada (株式会社アスタリスク・リサーチ/OWASP Japan)：ファシリテーション 武智 洋 Hiroshi Takechi（日本電気株式会社）：ファシリテーション 根岸 征史 Masafumi Negishi (株式会社インターネットイニシアティブ)：ファシリテーション 中野渡 敬教 Takanori Nakanowatari (OWASP Japan)：ファシリテーション 淵上真一 Shinichi Fuchigami（学校法人KBC学園）：ファシリテーション 上野 宣 Sen Ueno（株式会社トライコーダ/OWASP Japan）：技術担当 川口 洋 Hiroshi Kawaguchi（株式会社ラック）：技術担当 中西 克彦 Katsuhiko Nakanishi （NECネクサソリューションズ株式会社）：技術担当 中津留 勇 You Nakatsuru (SecureWorks Japan 株式会社) ：技術担当 柳澤 伸幸 Nobuyuki Yanagisawa（株式会社ラック）：技術担当 宮地 利幸 Toshiyuki Miyachi（国立研究開発法人情報通信研究機構）：競技環境担当 安田 真悟 Shingo Yasuda（国立研究開発法人情報通信研究機構）：競技環境担当 山城 重成 Shigenaru Yamashiro（株式会社ラック）：映像担当 三輪 信介 Shinsuke Miwa（国立研究開発法人情報通信研究機構） PMO: Web Application Security Forum