WASNight 2018 Kick-off by kuromame6

Transcript

1. Copyright ©Hiroshi Kawaguchi 2018 All Rights Reserved. 2017年のHardening Project活動を振り返る 2018年1月10日

   川口 洋

2. Copyright ©Hiroshi Kawaguchi 2018 All Rights Reserved. Hardening Project 2

   実践的な堅牢化技術の価値を最大化すること ビジネスの視点 Focus on prevention techniques and process 守る技術の顕彰 Engineering awards and talent discovery 利用者視点の認識向上 Perspective for stakeholder communication 1. 2012年 4月 Hardening Zero (東京) 2. 2012年10月 Hardening One (東京) 3. 2013年 7月 Hardening One Remix (東京) 4. 2014年 6月 Hardening 10 APAC (沖縄) 5. 2014年11月 Hardening 10 Evolutions (沖縄) 6. 2015年 6月 Hardening 10 MarketPlace (沖縄) 7. 2015年11月 Hardening 10 ValueChain (沖縄) 8. 2016年 6月 Hardening 100 Value x Value(沖縄) 9. 2016年11月 Hardening 100 Weakest Link(沖縄) 10. 2017年 6月 Hardening 1010 Cash Flow(沖縄) 11. 2017年11月 Hardening 2017 Fes(淡路島)

3. Copyright ©Hiroshi Kawaguchi 2018 All Rights Reserved. Hardening Project 3

   11時間の耐久競技にインターネットの縮図を実現 限られたリソースを最大限に生かし、ビジネス価値の最大化を競う 第三者の製品とサービス チームA チームB チームC チームX チームX チームX 競技空間で提供される様々なサー ビスや製品を調達し、自チームに 足りない能力を補完 Eコマースサイトの”売上”と”稼働状況”を リアルタイム・スコアボードに 参加者（6人～10人のチームで編成） シナリオ遂行・評価 kuromame6 参加者は与えられたショッピングサイトの売上を最大化するべく、チームワークを生かして行動する。 「攻撃検知」「被害の極小化」「攻撃対処」「システム復旧」「社内調整」「顧客対応」「商品調達」など 様々な技能を競う。

4. Copyright ©Hiroshi Kawaguchi 2018 All Rights Reserved. Hardening Project 4

   教育 研修 テスト コミュニティ 場 演習

5. Copyright ©Hiroshi Kawaguchi 2018 All Rights Reserved. Hardening Project 実行委員会

   5 門林 雄基 Youki Kadobayashi （奈良先端科学技術大学院大学）：実行委員長 岡田 良太郎 Riotaro Okada (株式会社アスタリスク・リサーチ/OWASP Japan)：ファシリテーション 武智 洋 Hiroshi Takechi（日本電気株式会社）：ファシリテーション 根岸 征史 Masafumi Negishi (株式会社インターネットイニシアティブ)：ファシリテーション 中野渡 敬教 Takanori Nakanowatari (OWASP Japan)：ファシリテーション 淵上真一 Shinichi Fuchigami（学校法人KBC学園）：ファシリテーション 上野 宣 Sen Ueno（株式会社トライコーダ/OWASP Japan）：技術担当 川口 洋 Hiroshi Kawaguchi（株式会社ラック）：技術担当 中西 克彦 Katsuhiko Nakanishi （NECネクサソリューションズ株式会社）：技術担当 中津留 勇 You Nakatsuru (SecureWorks Japan 株式会社) ：技術担当 柳澤 伸幸 Nobuyuki Yanagisawa（株式会社ラック）：技術担当 宮地 利幸 Toshiyuki Miyachi（国立研究開発法人情報通信研究機構）：競技環境担当 安田 真悟 Shingo Yasuda（国立研究開発法人情報通信研究機構）：競技環境担当 山城 重成 Shigenaru Yamashiro（株式会社ラック）：映像担当 三輪 信介 Shinsuke Miwa（国立研究開発法人情報通信研究機構） PMO: Web Application Security Forum

6. Copyright ©Hiroshi Kawaguchi 2018 All Rights Reserved. 6 協賛・協力

7. Copyright ©Hiroshi Kawaguchi 2018 All Rights Reserved. 7 協賛・協力

8. Copyright ©Hiroshi Kawaguchi 2018 All Rights Reserved. 8 協賛・協力

9. Copyright ©Hiroshi Kawaguchi 2018 All Rights Reserved. 9 2017年11月23日～25日 Hardening

   2017 Fes 会場 淡路夢舞台国際会議場

10. Copyright ©Hiroshi Kawaguchi 2018 All Rights Reserved. 10 Hardening 2017

    Fes 競技風景

11. Copyright ©Hiroshi Kawaguchi 2018 All Rights Reserved. Hardening イベントを構成する要素 11

    Hardening Day Softening Day ・選考を経て、6名1チームとして編成して、システムを運用 ・顧客の購買行動を保護、促進しつつ、「リアルな攻撃」から衛る ・現実のケースに合わせ、支援・アドバイス・製品導入など実施 ・セキュリティ技術だけではない、多角的な視点で準備が求められる ・競技を振り返り、各参加チームが経験した内容について発表 ・実施されたシナリオについての解説 ・講演 ・表彰 Firming Day ・競技2日目～引き継ぎ力～ ・未来に向けたアンカンファレンス

12. Copyright ©Hiroshi Kawaguchi 2018 All Rights Reserved. 12 参加者数 応募者数

    約200人 108人を選出 16チーム SIer、NIer、セキュリティエンジニア、金融、警察、防衛、 産業系ユーザ企業(電力、通信、航空、化学、重工、自動車)、学生など

13. Copyright ©Hiroshi Kawaguchi 2018 All Rights Reserved. システム構成図（参加者環境） H2017Fes DNS&MAIL(team01)

    DNS&MAIL (team02) DNS&MAIL (team16) レンタルサーバ WEB4 (team01) WEB4 (team08) WEB4 (team16) レンタルサーバ Windows7 Windows7 Windows7 Windows7 Windows10 Ubuntu Windows Server(MP) WEB2 WEB3 Info DB2 DB1 WEB1 内部DNS FileServer AD SSLVPN ルーター To:淡路 192.168.0.0/24 192.168.128.0/24 .254 .254 FW (main) FW (sub) .1 .2 .3 .4 .5 .65 .66 .67 .68 .131 .132 .133 .134 .136 .141 .146 .131 .132 .133 .134 .136 .141 .146 172.23.XX.0/24 .251 .252 .251 .252 .254 192.168.255.0/24 10.2.XX.192/26 10.2.101.0/24 10.2.100.0/24 .11 .12 .28 .11 .12 .28 XX = #teamnum Exp: team01 = 1 10.2.255.0/24 .1 .100 .254 .254 .254 ※Route: 10.2.XX.128/26 gw 10.2.XX.252 ※Route:10.2.XX.0/25 gw 10.2.XX.251 .101 緊急用サーバ .190 .190

14. Copyright ©Hiroshi Kawaguchi 2018 All Rights Reserved. 収入源＝数々の名産品 14 WEB1

    WelCart WEB2 EC-CUBE WEB3 WooCommcerce 淡路牛 15,000円 手延べそうめん 2,000円 生シラス 5,000円 鳴門海峡わかめ 1,000円 淡路海苔 6,000円 あわじレタス 500円 うんまいキャベツ 500円 でっかい玉ねぎ 1,000円 焼きアナゴ 20,000円 どこのショップに注力するか 在庫購入オペレーション 情報提供サイト 1時間あたり60万程度

15. Copyright ©Hiroshi Kawaguchi 2018 All Rights Reserved. 15 h2017fesのシナリオの目玉 延長戦＆人事異動

    経営会議報告 サービス稼働との闘い

16. Copyright ©Hiroshi Kawaguchi 2018 All Rights Reserved. 16 緊急取締役会議 被害は発生したの

    か？していないの か？ ユーザへの対応 はどうするん だ？ 現時点でサイトは どうなっているん だ？ サイトの売上規模 はどれくらいなん だ？ どうやって発覚 したんだ？ 原因は何なんだ？ わかるやつ連れて きて説明して

17. Copyright ©Hiroshi Kawaguchi 2018 All Rights Reserved. 17 歴代優勝チーム 回数

    タイトル 開催日 優勝チーム名 1 Hardening Zero 2012年4月 パケットモンスター 2 Hardening Zero 2012年10月 パケットモンスター 3 Hardening One Remix 2013年7月 Team EJ 4 Hardening 10 APAC 2014年6月 Day 1 5 Hardening 10 Evolutions 2014年11月 即席チーム(青波、吉川、坂本、亀田) 6 Hardening 100 Market Place 2015年4月 Aigis6 7 Hardening 100 Value Chain 2015年11月 現地集合検知改竄 8 Hardening 100 Value x Value 2016年6月 No. Bee 9 Hardening 100 Weakest Link 2016年11月 月見て泡盛 10 Hardening 1010 Cash Flow 2017年6月 術中Hack 11 Hardening 2017 Fes 2017年11月 JST.onion

18. Copyright ©Hiroshi Kawaguchi 2018 All Rights Reserved. 18 優勝チーム JST.onion

19. Copyright ©Hiroshi Kawaguchi 2018 All Rights Reserved. 19 h2017fesの評価項目 見込み

    販売力 技術点 顧客点 対応点 経済点 協調点 引継点 用意した評価項目 264(173) 使用した評価項目 83(84) 最も評価を取得した チーム 41 (34) ※カッコ内は前回の数値

20. Copyright ©Hiroshi Kawaguchi 2018 All Rights Reserved. 20 スコアグラフ 1日目

    システムが安定 稼働を続ければ 資産は上昇 在庫やマーケッ トプレイス購入 でグラフは下降 インシデント発生 1日目ラスト 2時間の攻防

21. Copyright ©Hiroshi Kawaguchi 2018 All Rights Reserved. 21 スコアグラフ 2日目

    在庫仕入れすぎ 2日目は人事異 動後の成績も加 味される ファインプレイ には加点、ルー ル違反は減点 2日目は全チー ム3000万資産 としてスタート

22. Copyright ©Hiroshi Kawaguchi 2018 All Rights Reserved. 今回の名言 毒は遅れて回る 悪手の後ほど、悪手

    を指しやすい 22

23. Copyright ©Hiroshi Kawaguchi 2018 All Rights Reserved. Micro Hardening 23

    繰り返しできる 小さな環境 構築＆運用の自動化 サイバー攻撃を 防ぐ 見つける 回復する 体験する

24. Copyright ©Hiroshi Kawaguchi 2018 All Rights Reserved. 2月10日開催！ 24 #microhardening

25. Copyright ©Hiroshi Kawaguchi 2018 All Rights Reserved. 全国各地で開催予定 • 2月10日

    東京 • 3月31日 群馬（草津） • 4月14日 大阪 • 調整中 –会津、岡山、山口、鹿児島、沖縄 25 中継を見ている各地の方からの召喚を お待ちしています！！

26. Copyright ©Hiroshi Kawaguchi 2018 All Rights Reserved. 26 2018年の活動にご期待ください by

    kuromame6