Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
「『ビジネス』を護るサイバーセキュリティデイズ」 MicroHardeningの体験談
Search
Yasuhiro Matsuda
March 27, 2023
Technology
0
11
「『ビジネス』を護るサイバーセキュリティデイズ」 MicroHardeningの体験談
みんなのCSIRT 2023年3月
にて発表した資料です
Yasuhiro Matsuda
March 27, 2023
Tweet
Share
More Decks by Yasuhiro Matsuda
See All by Yasuhiro Matsuda
身近なセキュリティについて学びましょう!
matyuda
0
75
情報処理安全確保支援士の視点で考える中小企業におけるセキュリティ対策
matyuda
0
110
5年ぶりに自費で行ったre:Invent
matyuda
0
65
石川県のスタートアップ施策について
matyuda
0
80
ISICOのスタートアップ支援について
matyuda
0
33
ライトニングトーク(Startup支援関連)
matyuda
0
25
エンジニアの視点で考えるコード自動生成のメリットとデメリット
matyuda
0
60
20231016_WeeklyAWSCatch-up
matyuda
0
17
20231004_WeeklyAWSCatch-up
matyuda
0
63
Other Decks in Technology
See All in Technology
自己改善からチームを動かす! 「セルフエンジニアリングマネージャー」のすゝめ
shoota
6
1k
EM完全に理解した と思ったけど、 やっぱり何も分からなかった話 / EM Night Fukuoka #1
hirutas
0
280
Microsoft for Startups Founders Hub_20240429 update
daikikanemitsu
1
2.4k
MapLibreとAmazon Location Service
dayjournal
1
190
Cypress or Playwright?
rainerhahnekamp
0
170
【基本】データベース設計
oracle4engineer
PRO
2
180
M5stackで使用できるpHセンサの開発
shinrinakamura
0
130
Grafana x PagerDuty Better Together
jacopen
1
260
Oracle Base Database Service 技術詳細
oracle4engineer
PRO
5
37k
推しは推せるときに推せ! プロダクトにフィードバックしていこう
nakasho
0
460
Tellus の衛星データを見てみよう #mf_fukuoka
kongmingstrap
0
270
Improve Your Development Workflow with Gemini Code Assist
meteatamel
0
130
Featured
See All Featured
The Cost Of JavaScript in 2023
addyosmani
21
3.9k
ParisWeb 2013: Learning to Love: Crash Course in Emotional UX Design
dotmariusz
104
6.6k
StorybookのUI Testing Handbookを読んだ
zakiyama
13
4.6k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
79
43k
Ruby is Unlike a Banana
tanoku
96
10k
Web Components: a chance to create the future
zenorocha
306
41k
No one is an island. Learnings from fostering a developers community.
thoeni
16
2.1k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
19
6.9k
The Straight Up "How To Draw Better" Workshop
denniskardys
228
130k
A Modern Web Designer's Workflow
chriscoyier
689
190k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
14
1.5k
GitHub's CSS Performance
jonrohan
1025
450k
Transcript
「『ビジネス』を護るサイバーセキュリティデイズ」 MicroHardeningの体験談 2023/03/27 松田 康宏
自己紹介 松田 康宏(まつだやすひろ) (所属) イースト株式会社 (仕事) AWSを活用したインフラエンジニア (士業資格) ・安全確保支援士 ・ファイナンシャル・プランニング技能士
2級(AFP) ・中小企業診断士(2023年5月登録予定) ※いずれも業務独占資格ではなく名称独占資格 (主な活動) ・JAWS-UG 金沢支部コアメンバー ・中学校のPTA会長
本日持ち帰っていただきたいこと ・MicroHardeningの概要がわかるようになる ・サイト運営を行う上でのセキュリティ面での考慮事項を理解できるようになる ・インシデントハンドリングについての考慮事項を理解できるようになる
「『ビジネス』を護るサイバーセキュリティデイズ2023」の概要
MicroHardeningの概要 仮想のショッピングサイトの運営管理者となり、クローラーによるネットショッピングの可用性を保証するゲームイベ ントで45分×3セットで行われた。 タイムテーブル イベント 13:00~14:00 事前説明 14:00~14:45 1セット目 14:45~15:15
振り返り・休憩・準備 15:15~16:00 2セット目 16:00~16:30 振り返り・休憩・準備 16:30~17:15 3セット目
イベントの評価方式
イベントの評価内容
ショッピングサイトの概要 3商品の取り扱いがあるショッピングサイトで、一覧画面とレビューが掲載された詳細画面で構成 されているよくありそうなECサイト。
スコアの推移(サイバーセキュリティデイズ2022 3セット目) クローラーによって順次ショッピングが行われるため、システム障害が発生していなければ22万点 に向かって右肩上がりになるようなグラフとなる。
サイバーセキュリティデイズ2022の成績 2022ではゲスト参加していたチームの中で最もスコアが高く、セットを経験するごとにスコアとSLA、 防御点を高めることができた(チーム3,10,11は事務局特別枠のため表彰対象外)。
サイバーセキュリティデイズ2023の成績 2023では2022の経験値を活かして119,780点のスコアを出すことができたが、誤った事前設定を行なっ てしまったことによって、SLAを高められなかった。
ECサイトのサービス構成と発生したイベント ・Apache ・Nignx ・MariaDB ・PostgreSQL ・EC-CUBE ・Wordpress ・GroupSession ・Unbound(DNSサービス) ・dovecot(メールサービス)
・Proftpd(FTP) ・アプリケーションの脆弱性をついた商品価格の改ざん ・レビューの書き込み機能の脆弱性をついたCSRF(クロスサイトリ クエストフォージェリ)攻撃 ・Webサーバの設定ミスをついたバックドア攻撃 ・DNSサービスプロセスの強制終了 ・FWのリモート操作による通信遮断 等・・・ 古いバージョンのアプリケーションで構成されているようなものや、パスワードがユーザ名と同じ、英 文字だけで構成されているなどによって対策をしなければすぐに攻撃されてしまう。
参加して重要だと感じたこと ・コンソールを見るだけではなくビジネスも見る →2023年で優秀賞をとれた理由は「何もできないと言われた工大生にサイトの見回りを お願いした」こと ・恒久対策と暫定対策を分ける
オンラインとオフラインの違い オンライン(2022) オフライン(2023) 参加メンバー セキュリティに精通した方1名 企業在籍者2名 情シスの方1名 金沢工大の方2名 参加した場所 自宅
金沢商工会議所 最高スコア(最大218,140) 117,015(3回目) 119,780(2回目) 最高SLA(最大100%) 87%(3回目) 77%(2回目) 防御点(最大28) 3(3回目) 10(3回目) コミュニケーション やりにくい やりやすい 自分の役割 セキュリティに精通した方と分担 しながらの作業 他のメンバーにお願いするこ とをしつつ、主体的に作業 いずれも初対面だったため、参加メンバーの考え方、スキルを意識しながら自分の役割を変化させるこ とが重要
参加して見えた課題 エンジニアリングの基礎をできるようにする ・作業プロセスの記録 対応メモを残すことができた https://docs.google.com/document/d/1HGy1MSR9aNUbFnBB2 ri2LWAux2V6d-HF0gf2IF6Z2r0/edit?usp=sharing 参考)他チームでの工夫(2022年) Scrapboxを活用したノート https://scrapbox.io/mhv2-rcc/ ・作業内容の共有に心がける
画面共有 声出ししている 顔出ししている(2022年の時に は意識できていた) ・元に戻すことができる準備を意識する バックアップは取れているか? ・サービス稼働状況の調査を素早く できるようにする ・不審ログに関する調査 何を確認すれば良いか?
さいごに #サイバーセキュリティは全員参加