Upgrade to Pro — share decks privately, control downloads, hide ads and more …

「『ビジネス』を護るサイバーセキュリティデイズ」 ​ MicroHardeningの体験談

Avatar for Yasuhiro Matsuda Yasuhiro Matsuda
March 27, 2023
Technology
0
30

「『ビジネス』を護るサイバーセキュリティデイズ」 ​ MicroHardeningの体験談

みんなのCSIRT 2023年3月にて発表した資料です
Avatar for Yasuhiro Matsuda

Yasuhiro Matsuda

March 27, 2023
Tweet

More Decks by Yasuhiro Matsuda

See All by Yasuhiro Matsuda
いしかわ暮らしセミナー~知って安心!移住とお金講座~
Avatar for Yasuhiro Matsuda matyuda
0
39
AI活用ワークショップ
Avatar for Yasuhiro Matsuda matyuda
0
48
AIを活用した広報と事業計画を一気に学ぶワークショップ
Avatar for Yasuhiro Matsuda matyuda
0
46
AWSを活用したAIサービス開発(フルバージョン)
Avatar for Yasuhiro Matsuda matyuda
0
61
AWSを活用したAIサービス開発
Avatar for Yasuhiro Matsuda matyuda
0
55
マーケティング実践とデジタル活用
Avatar for Yasuhiro Matsuda matyuda
0
110
カンタンAI活用術
Avatar for Yasuhiro Matsuda matyuda
0
100
スタートアップ企業の支援のあり方
Avatar for Yasuhiro Matsuda matyuda
0
52
利益を生まない情報セキュリティとバックアップに投資する重要性
Avatar for Yasuhiro Matsuda matyuda
0
110

Other Decks in Technology

See All in Technology
本が全く読めなかった過去の自分へ
Avatar for ゲンシュン genshun9
0
630
Yamla: Rustでつくるリアルタイム性を追求した機械学習基盤 / Yamla: A Rust-Based Machine Learning Platform Pursuing Real-Time Capabilities
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
4
150
BrainPadプログラミングコンテスト記念LT会2025_社内イベント&問題解説
Avatar for BrainPad brainpadpr
1
170
Node-RED × MCP 勉強会 vol.1
Avatar for 1ft-seabass 1ftseabass
PRO
0
170
マーケットプレイス版Oracle WebCenter Content For OCI
Avatar for oracle4engineer oracle4engineer
PRO
3
920
Witchcraft for Memory
Avatar for pocke pocke
1
580
KubeCon + CloudNativeCon Japan 2025 Recap
Avatar for Ren ren510dev
1
220
2025-06-26 GitHub CopilotとAI駆動開発:実践と導入のリアル
Avatar for 河内崇 fl_kawachi
1
140
mrubyと micro-ROSが繋ぐロボットの世界
Avatar for Katsuhiko Kageyama kishima
2
360
Should Our Project Join the CNCF? (Japanese Recap)
Avatar for whywaita whywaita
PRO
0
240
生成AIで小説を書くためにプロンプトの制約や原則について学ぶ / prompt-engineering-for-ai-fiction
Avatar for nwiizo nwiizo
4
2.8k
Geminiとv0による高速プロトタイピング
Avatar for Shinya Masadome(東京AI祭) shinya337
0
110

Featured

See All Featured
The Psychology of Web Performance [Beyond Tellerrand 2023]
Avatar for Tammy Everts tammyeverts
48
2.9k
XXLCSS - How to scale CSS and keep your sanity
Avatar for Zaharenia Atzitzikaki sugarenia
248
1.3M
Adopting Sorbet at Scale
Avatar for Ufuk Kayserilioglu ufuk
77
9.4k
Optimising Largest Contentful Paint
Avatar for Harry Roberts csswizardry
37
3.3k
JavaScript: Past, Present, and Future - NDC Porto 2020
Avatar for David Neal reverentgeek
48
5.4k
Imperfection Machines: The Place of Print at Facebook
Avatar for Scott Boms scottboms
267
13k
A designer walks into a library…
Avatar for Paul Jervis Heath pauljervisheath
207
24k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
26
2.9k
Practical Orchestrator
Avatar for Shlomi Noach shlominoach
188
11k
Put a Button on it: Removing Barriers to Going Fast.
Avatar for kastner kastner
60
3.9k
KATA
Avatar for Megan Lloyd mclloyd
30
14k
Build your cross-platform service in a week with App Engine
Avatar for Jose L jlugia
231
18k

Transcript

  1. 「『ビジネス』を護るサイバーセキュリティデイズ」 MicroHardeningの体験談 2023/03/27 松田 康宏

  2. 自己紹介 松田 康宏(まつだやすひろ) (所属) イースト株式会社 (仕事) AWSを活用したインフラエンジニア (士業資格) ・安全確保支援士 ・ファイナンシャル・プランニング技能士

    2級(AFP) ・中小企業診断士(2023年5月登録予定) ※いずれも業務独占資格ではなく名称独占資格 (主な活動) ・JAWS-UG 金沢支部コアメンバー ・中学校のPTA会長

  3. 本日持ち帰っていただきたいこと ・MicroHardeningの概要がわかるようになる ・サイト運営を行う上でのセキュリティ面での考慮事項を理解できるようになる ・インシデントハンドリングについての考慮事項を理解できるようになる

  4. 「『ビジネス』を護るサイバーセキュリティデイズ2023」の概要

  5. MicroHardeningの概要 仮想のショッピングサイトの運営管理者となり、クローラーによるネットショッピングの可用性を保証するゲームイベ ントで45分×3セットで行われた。 タイムテーブル イベント 13:00~14:00 事前説明 14:00~14:45 1セット目 14:45~15:15

    振り返り・休憩・準備 15:15~16:00 2セット目 16:00~16:30 振り返り・休憩・準備 16:30~17:15 3セット目

  6. イベントの評価方式

  7. イベントの評価内容

  8. ショッピングサイトの概要 3商品の取り扱いがあるショッピングサイトで、一覧画面とレビューが掲載された詳細画面で構成 されているよくありそうなECサイト。

  9. スコアの推移(サイバーセキュリティデイズ2022 3セット目) クローラーによって順次ショッピングが行われるため、システム障害が発生していなければ22万点 に向かって右肩上がりになるようなグラフとなる。

  10. サイバーセキュリティデイズ2022の成績 2022ではゲスト参加していたチームの中で最もスコアが高く、セットを経験するごとにスコアとSLA、 防御点を高めることができた(チーム3,10,11は事務局特別枠のため表彰対象外)。

  11. サイバーセキュリティデイズ2023の成績 2023では2022の経験値を活かして119,780点のスコアを出すことができたが、誤った事前設定を行なっ てしまったことによって、SLAを高められなかった。

  12. ECサイトのサービス構成と発生したイベント ・Apache ・Nignx ・MariaDB ・PostgreSQL ・EC-CUBE ・Wordpress ・GroupSession ・Unbound(DNSサービス) ・dovecot(メールサービス)

    ・Proftpd(FTP) ・アプリケーションの脆弱性をついた商品価格の改ざん ・レビューの書き込み機能の脆弱性をついたCSRF(クロスサイトリ クエストフォージェリ)攻撃 ・Webサーバの設定ミスをついたバックドア攻撃 ・DNSサービスプロセスの強制終了 ・FWのリモート操作による通信遮断 等・・・ 古いバージョンのアプリケーションで構成されているようなものや、パスワードがユーザ名と同じ、英 文字だけで構成されているなどによって対策をしなければすぐに攻撃されてしまう。

  13. 参加して重要だと感じたこと ・コンソールを見るだけではなくビジネスも見る →2023年で優秀賞をとれた理由は「何もできないと言われた工大生にサイトの見回りを お願いした」こと ・恒久対策と暫定対策を分ける

  14. オンラインとオフラインの違い オンライン(2022) オフライン(2023) 参加メンバー セキュリティに精通した方1名 企業在籍者2名 情シスの方1名 金沢工大の方2名 参加した場所 自宅

    金沢商工会議所 最高スコア(最大218,140) 117,015(3回目) 119,780(2回目) 最高SLA(最大100%) 87%(3回目) 77%(2回目) 防御点(最大28) 3(3回目) 10(3回目) コミュニケーション やりにくい やりやすい 自分の役割 セキュリティに精通した方と分担 しながらの作業 他のメンバーにお願いするこ とをしつつ、主体的に作業 いずれも初対面だったため、参加メンバーの考え方、スキルを意識しながら自分の役割を変化させるこ とが重要

  15. 参加して見えた課題 エンジニアリングの基礎をできるようにする ・作業プロセスの記録 対応メモを残すことができた https://docs.google.com/document/d/1HGy1MSR9aNUbFnBB2 ri2LWAux2V6d-HF0gf2IF6Z2r0/edit?usp=sharing 参考)他チームでの工夫(2022年) Scrapboxを活用したノート https://scrapbox.io/mhv2-rcc/ ・作業内容の共有に心がける

    画面共有 声出ししている 顔出ししている(2022年の時に は意識できていた) ・元に戻すことができる準備を意識する バックアップは取れているか? ・サービス稼働状況の調査を素早く できるようにする ・不審ログに関する調査 何を確認すれば良いか?

  16. さいごに #サイバーセキュリティは全員参加