Upgrade to Pro — share decks privately, control downloads, hide ads and more …

「『ビジネス』を護るサイバーセキュリティデイズ」 ​ MicroHardeningの体験談

Avatar for Yasuhiro Matsuda Yasuhiro Matsuda
March 27, 2023
Technology
0
31

「『ビジネス』を護るサイバーセキュリティデイズ」 ​ MicroHardeningの体験談

みんなのCSIRT 2023年3月にて発表した資料です

Avatar for Yasuhiro Matsuda

Yasuhiro Matsuda

March 27, 2023
Tweet

More Decks by Yasuhiro Matsuda

See All by Yasuhiro Matsuda
いしかわ暮らしセミナー~知って安心!移住とお金講座~
Avatar for Yasuhiro Matsuda matyuda
0
58
AI活用ワークショップ
Avatar for Yasuhiro Matsuda matyuda
0
73
AIを活用した広報と事業計画を一気に学ぶワークショップ
Avatar for Yasuhiro Matsuda matyuda
0
60
AWSを活用したAIサービス開発(フルバージョン)
Avatar for Yasuhiro Matsuda matyuda
0
76
AWSを活用したAIサービス開発
Avatar for Yasuhiro Matsuda matyuda
0
65
マーケティング実践とデジタル活用
Avatar for Yasuhiro Matsuda matyuda
0
140
カンタンAI活用術
Avatar for Yasuhiro Matsuda matyuda
0
120
スタートアップ企業の支援のあり方
Avatar for Yasuhiro Matsuda matyuda
0
60
利益を生まない情報セキュリティとバックアップに投資する重要性
Avatar for Yasuhiro Matsuda matyuda
0
120

Other Decks in Technology

See All in Technology
制約理論(ToC)入門
Avatar for Recruit recruitengineers
PRO
9
3.7k
「魔法少女まどか☆マギカ Magia Exedra」の必殺技演出を徹底解剖! -キャラクターの魅力を最大限にファンに届けるためのこだわり-
Avatar for gree_tech gree_tech
PRO
0
450
Kubernetes における cgroup driver のしくみ: runwasi の bugfix より
Avatar for z63d z63d
2
120
2025年になってもまだMySQLが好き
Avatar for yoku0825 yoku0825
8
3.3k
シークレット管理だけじゃない!HashiCorp Vault でデータ暗号化をしよう / Beyond Secret Management! Let's Encrypt Data with HashiCorp Vault
Avatar for ののし nnstt1
3
140
kubellが考える戦略と実行を繋ぐ活用ファーストのデータ分析基盤
Avatar for kubell kubell_hr
0
130
Webブラウザ向け動画配信プレイヤーの 大規模リプレイスから得た知見と学び
Avatar for yud0uhu yud0uhu
0
170
おやつは300円まで!の最適化を模索してみた
Avatar for PERSOL CAREER Dev | techtekt techtekt
PRO
0
260
7月のガバクラ利用料が高かったので調べてみた
Avatar for 高橋広和 techniczna
3
820
カミナシ社の『ID管理基盤』製品内製 - その意思決定背景と2年間の進化 #AWSUnicornDay / Kaminashi ID - The Big Whys
Avatar for 株式会社カミナシ kaminashi
3
730
AIエージェントの活用に重要な「MCP (Model Context Protocol)」とは何か
Avatar for Masaya Mori (森正弥) / CAIO (Chief AI Officer) masayamoriofficial
0
250
Jaws-ug名古屋_LT資料_20250829
Avatar for Azoo azoo2024
3
210

Featured

See All Featured
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
Avatar for Aki / @LoveIdahoBurger aki_iinuma
126
53k
A Tale of Four Properties
Avatar for Chris Coyier chriscoyier
160
23k
Making Projects Easy
Avatar for Brett Harned brettharned
117
6.4k
Code Reviewing Like a Champion
Avatar for maltzj maltzj
525
40k
Dealing with People You Can't Stand - Big Design 2015
Avatar for Cassini Nazir cassininazir
367
27k
[RailsConf 2023 Opening Keynote] The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
30
9.6k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
Avatar for Eileen M. Uchitelle eileencodes
139
34k
ReactJS: Keep Simple. Everything can be a component!
Avatar for Pedro Nauck pedronauck
667
120k
The Web Performance Landscape in 2024 [PerfNow 2024]
Avatar for Tammy Everts tammyeverts
9
800
Done Done
Avatar for chrislema chrislema
185
16k
Imperfection Machines: The Place of Print at Facebook
Avatar for Scott Boms scottboms
268
13k
4 Signs Your Business is Dying
Avatar for Josh Pigford shpigford
184
22k

Transcript

  1. 「『ビジネス』を護るサイバーセキュリティデイズ」 MicroHardeningの体験談 2023/03/27 松田 康宏

  2. 自己紹介 松田 康宏(まつだやすひろ) (所属) イースト株式会社 (仕事) AWSを活用したインフラエンジニア (士業資格) ・安全確保支援士 ・ファイナンシャル・プランニング技能士

    2級(AFP) ・中小企業診断士(2023年5月登録予定) ※いずれも業務独占資格ではなく名称独占資格 (主な活動) ・JAWS-UG 金沢支部コアメンバー ・中学校のPTA会長

  3. 本日持ち帰っていただきたいこと ・MicroHardeningの概要がわかるようになる ・サイト運営を行う上でのセキュリティ面での考慮事項を理解できるようになる ・インシデントハンドリングについての考慮事項を理解できるようになる

  4. 「『ビジネス』を護るサイバーセキュリティデイズ2023」の概要

  5. MicroHardeningの概要 仮想のショッピングサイトの運営管理者となり、クローラーによるネットショッピングの可用性を保証するゲームイベ ントで45分×3セットで行われた。 タイムテーブル イベント 13:00~14:00 事前説明 14:00~14:45 1セット目 14:45~15:15

    振り返り・休憩・準備 15:15~16:00 2セット目 16:00~16:30 振り返り・休憩・準備 16:30~17:15 3セット目

  6. イベントの評価方式

  7. イベントの評価内容

  8. ショッピングサイトの概要 3商品の取り扱いがあるショッピングサイトで、一覧画面とレビューが掲載された詳細画面で構成 されているよくありそうなECサイト。

  9. スコアの推移(サイバーセキュリティデイズ2022 3セット目) クローラーによって順次ショッピングが行われるため、システム障害が発生していなければ22万点 に向かって右肩上がりになるようなグラフとなる。

  10. サイバーセキュリティデイズ2022の成績 2022ではゲスト参加していたチームの中で最もスコアが高く、セットを経験するごとにスコアとSLA、 防御点を高めることができた(チーム3,10,11は事務局特別枠のため表彰対象外)。

  11. サイバーセキュリティデイズ2023の成績 2023では2022の経験値を活かして119,780点のスコアを出すことができたが、誤った事前設定を行なっ てしまったことによって、SLAを高められなかった。

  12. ECサイトのサービス構成と発生したイベント ・Apache ・Nignx ・MariaDB ・PostgreSQL ・EC-CUBE ・Wordpress ・GroupSession ・Unbound(DNSサービス) ・dovecot(メールサービス)

    ・Proftpd(FTP) ・アプリケーションの脆弱性をついた商品価格の改ざん ・レビューの書き込み機能の脆弱性をついたCSRF(クロスサイトリ クエストフォージェリ)攻撃 ・Webサーバの設定ミスをついたバックドア攻撃 ・DNSサービスプロセスの強制終了 ・FWのリモート操作による通信遮断 等・・・ 古いバージョンのアプリケーションで構成されているようなものや、パスワードがユーザ名と同じ、英 文字だけで構成されているなどによって対策をしなければすぐに攻撃されてしまう。

  13. 参加して重要だと感じたこと ・コンソールを見るだけではなくビジネスも見る →2023年で優秀賞をとれた理由は「何もできないと言われた工大生にサイトの見回りを お願いした」こと ・恒久対策と暫定対策を分ける

  14. オンラインとオフラインの違い オンライン(2022) オフライン(2023) 参加メンバー セキュリティに精通した方1名 企業在籍者2名 情シスの方1名 金沢工大の方2名 参加した場所 自宅

    金沢商工会議所 最高スコア(最大218,140) 117,015(3回目) 119,780(2回目) 最高SLA(最大100%) 87%(3回目) 77%(2回目) 防御点(最大28) 3(3回目) 10(3回目) コミュニケーション やりにくい やりやすい 自分の役割 セキュリティに精通した方と分担 しながらの作業 他のメンバーにお願いするこ とをしつつ、主体的に作業 いずれも初対面だったため、参加メンバーの考え方、スキルを意識しながら自分の役割を変化させるこ とが重要

  15. 参加して見えた課題 エンジニアリングの基礎をできるようにする ・作業プロセスの記録 対応メモを残すことができた https://docs.google.com/document/d/1HGy1MSR9aNUbFnBB2 ri2LWAux2V6d-HF0gf2IF6Z2r0/edit?usp=sharing 参考)他チームでの工夫(2022年) Scrapboxを活用したノート https://scrapbox.io/mhv2-rcc/ ・作業内容の共有に心がける

    画面共有 声出ししている 顔出ししている(2022年の時に は意識できていた) ・元に戻すことができる準備を意識する バックアップは取れているか? ・サービス稼働状況の調査を素早く できるようにする ・不審ログに関する調査 何を確認すれば良いか?

  16. さいごに #サイバーセキュリティは全員参加