About Micro Hardening

Micro Hardening とは
Hardening Project

View Slide

Copyright ©Hardening Project All Rights Reserved.
Hardening Project
2
実践的な堅牢化技術の価値を最大化すること
ビジネスの視点
Focus on prevention
techniques and process
守る技術の顕彰
Engineering awards and
talent discovery
利用者視点の認識向上
Perspective for
stakeholder communication
1. 2012年 4月 Hardening Zero (東京)
2. 2012年10月 Hardening One (東京)
3. 2013年 7月 Hardening One Remix (東京)
4. 2014年 6月 Hardening 10 APAC (沖縄)
5. 2014年11月 Hardening 10 Evolutions (沖縄)
6. 2015年 6月 Hardening 10 MarketPlace (沖縄)
7. 2015年11月 Hardening 10 ValueChain (沖縄)
8. 2016年 6月 Hardening 100 Value x Value(沖縄)
9. 2016年11月 Hardening 100 Weakest Link(沖縄)
10. 2017年 6月 Hardening 1010 Cash Flow(沖縄)
11. 2017年11月 Hardening 2017 Fes(淡路島)

View Slide

Hardening Project
3
11時間の耐久競技にインターネットの縮図を実現
限られたリソースを最大限に生かし、ビジネス価値の最大化を競う
第三者の製品とサービス
チームA チームB チームC チームX チームX チームX
競技空間で提供される様々なサー
ビスや製品を調達し、自チームに
足りない能力を補完
Eコマースサイトの”売上”と”稼働状況”を
リアルタイム・スコアボードに
参加者（6人～10人のチームで編成）
シナリオ遂行・評価
kuromame6
参加者は与えられたショッピングサイトの売上を最大化するべく、チームワークを生かして行動する。
「攻撃検知」「被害の極小化」「攻撃対処」「システム復旧」「社内調整」「顧客対応」「商品調達」など
様々な技能を競う。

View Slide

Micro Hardening
4
繰り返しできる小さな環境構築＆運用の自動化
サイバー攻撃を
防ぐ
見つける
回復する
体験する

View Slide

プロジェクトの比較
5
時間人数評価要素対象
8時間～11
時間 6人～10人
売上
技術点
顧客点
など
20台以上
の仮想空
間のシステ
ム
3時間 4人
売上
SLA
報告書
4台
45分(複数
回)
1人～4人
売上
(技術面の
み)
1台

View Slide

コンセプト：繰り返しできること
6
自動構築されるショッピングサイト
45分1セット
ショッピングサイトの売上をスコア表示
複数セット毎回同じ攻撃
参加者
自動攻撃システム
クローラ

View Slide

Hardening Project 参考資料
7

View Slide

シナリオコンセプト
8
ビジネス対応
システム停止
情報漏えい
データ改ざん
詐欺
事故対応・炎上対応
社長や上司からの無茶ブリ
法務、総務、経理部門との調整
外部団体との調整
情報漏えいの情報公開
記者会見、メディア対応
プライバシーポリシーの不備
標的型攻撃メール
フィッシングサイト
空き家詐欺
ホームページ改ざん
ランサムウェア被害
DoS攻撃やDDoS攻撃
爆買いによる過負荷
SQLインジェクションや侵入
などによる情報漏えい
置き忘れたデータ移行ファイル
事件は「こんな環境、運用ありえない」というところで発生
多くの状況に共通する仮想的な環境を作り、演習形式で実施

View Slide

システム構成図（参加者環境） H2017Fes
DNS&MAIL(team01)
DNS&MAIL (team02)
DNS&MAIL (team16)
レンタルサーバ
WEB4 (team01)
WEB4 (team08)
WEB4 (team16)
レンタルサーバ
Windows7
Windows7
Windows7
Windows7
Windows10
Ubuntu
Windows
Server(MP)
WEB2
WEB3
Info
DB2
DB1
WEB1
内部DNS
FileServer
AD
SSLVPN ルーター
To:淡路
192.168.0.0/24
192.168.128.0/24
.254 .254
FW (main) FW (sub)
.1
.2
.3
.4
.5
.65
.66
.67
.68
.131
.132
.133
.134
.136
.141
.146
.131
.132
.133
.134
.136
.141
.146
172.23.XX.0/24
.251 .252
.251 .252
.254
192.168.255.0/24
10.2.XX.192/26
10.2.101.0/24
10.2.100.0/24
.11
.12
.28
.11
.12
.28
XX = #teamnum
Exp: team01 = 1 10.2.255.0/24
.1 .100
.254
.254
.254
※Route: 10.2.XX.128/26
gw 10.2.XX.252
※Route:10.2.XX.0/25
gw 10.2.XX.251
.101
緊急用サーバ
.190 .190
9

View Slide

Hardening Project 実行委員会
10
門林雄基 Youki Kadobayashi （奈良先端科学技術大学院大学）：実行委員長
岡田良太郎 Riotaro Okada (株式会社アスタリスク・リサーチ/OWASP Japan)：ファシリテーション
武智洋 Hiroshi Takechi（日本電気株式会社）：ファシリテーション
根岸征史 Masafumi Negishi (株式会社インターネットイニシアティブ)：ファシリテーション
中野渡敬教 Takanori Nakanowatari (OWASP Japan)：ファシリテーション
淵上真一 Shinichi Fuchigami（学校法人KBC学園）：ファシリテーション
上野宣 Sen Ueno（株式会社トライコーダ/OWASP Japan）：技術担当
川口洋 Hiroshi Kawaguchi（株式会社ラック）：技術担当
中西克彦 Katsuhiko Nakanishi （NECネクサソリューションズ株式会社）：技術担当
中津留勇 You Nakatsuru (SecureWorks Japan 株式会社) ：技術担当
柳澤伸幸 Nobuyuki Yanagisawa（株式会社ラック）：技術担当
宮地利幸 Toshiyuki Miyachi（国立研究開発法人情報通信研究機構）：競技環境担当
安田真悟 Shingo Yasuda（国立研究開発法人情報通信研究機構）：競技環境担当
山城重成 Shigenaru Yamashiro（株式会社ラック）：映像担当
三輪信介 Shinsuke Miwa（国立研究開発法人情報通信研究機構）
PMO: Web Application Security Forum

View Slide

About Micro Hardening

About Micro Hardening

川口洋/Hiroshi Kawaguchi

More Decks by 川口洋/Hiroshi Kawaguchi

Other Decks in Technology

Featured

Transcript