Upgrade to Pro — share decks privately, control downloads, hide ads and more …

「『ビジネス』を護るサイバーセキュリティデイズ」 ​ MicroHardeningの体験談

Avatar for Yasuhiro Matsuda Yasuhiro Matsuda
March 27, 2023
Technology
43
0

「『ビジネス』を護るサイバーセキュリティデイズ」 ​ MicroHardeningの体験談

みんなのCSIRT 2023年3月にて発表した資料です

Avatar for Yasuhiro Matsuda

Yasuhiro Matsuda

March 27, 2023

More Decks by Yasuhiro Matsuda

See All by Yasuhiro Matsuda
生成AI活用セミナー
Avatar for Yasuhiro Matsuda matyuda
0
37
中小企業だからこそ狙われる現実を知る
Avatar for Yasuhiro Matsuda matyuda
0
190
現場で活かす生成AI実践セミナー「広報×AI活用」編
Avatar for Yasuhiro Matsuda matyuda
0
410
いしかわ暮らしセミナー~知って安心!移住とお金講座~
Avatar for Yasuhiro Matsuda matyuda
0
220
AI活用ワークショップ
Avatar for Yasuhiro Matsuda matyuda
0
330
AIを活用した広報と事業計画を一気に学ぶワークショップ
Avatar for Yasuhiro Matsuda matyuda
0
290
AWSを活用したAIサービス開発(フルバージョン)
Avatar for Yasuhiro Matsuda matyuda
0
120
AWSを活用したAIサービス開発
Avatar for Yasuhiro Matsuda matyuda
0
220
マーケティング実践とデジタル活用
Avatar for Yasuhiro Matsuda matyuda
0
400

Other Decks in Technology

See All in Technology
APIテストとは?
Avatar for 草薙昭彦 nagix
0
160
速さだけじゃない! VoidZero ツールが移行先に選ばれる理由
Avatar for mizdra mizdra
PRO
6
680
AIガバナンス実践 - 生成AIコネクタのデータ漏洩リスクと実務対策
Avatar for 西岡 賢一郎 (Kenichiro Nishioka) knishioka
0
140
「使われるデータ基盤」を目指してデータアナリストとワークショップをやった話
Avatar for jackojacko_ jackojacko_
2
930
JEP 522 Deep Dive - G1 GC同期コスト削減によるスループット向上を徹底検証&解説
Avatar for Daishi Tabata tabatad
1
350
Cloud Run のアップデート 触ってみる&紹介
Avatar for Gre212 gre212
0
240
ITエンジニアを取り巻く環境とキャリアパス / A career path for Japanese IT engineers
Avatar for 高玉 広和 / TAKATAMA Hirokazu takatama
4
1.8k
イベントで大活躍する電子ペーパー名札 〜その3〜 / ビジュアルプログラミングIoTLT vol.23
Avatar for you(@youtoy) you
PRO
0
160
Kaggle未経験社員をメダリストに育てる「AIドラゴン桜」
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
0
650
なぜハノーバーメッセに行くべきなのか 〜初参加だから語れること〜
Avatar for 田中 聖也 tanakaseiya
0
180
類似画像検索モデルの開発ノウハウ
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
4
1k
Oracle AI Database@Azure:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
6
1.8k

Featured

See All Featured
Speed Design
Avatar for Sergey Chernyshev sergeychernyshev
33
1.8k
Lightning talk: Run Django tests with GitHub Actions
Avatar for Sarah Abderemane sabderemane
0
190
The Power of CSS Pseudo Elements
Avatar for Geoffrey Crofte geoffreycrofte
82
6.3k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
28
3.5k
Applied NLP in the Age of Generative AI
Avatar for Ines Montani inesmontani
PRO
4
2.3k
Future Trends and Review - Lecture 12 - Web Technologies (1019888BNR)
Avatar for Beat Signer signer
PRO
0
3.6k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
Avatar for panda_program panda_program
122
22k
Redefining SEO in the New Era of Traffic Generation
Avatar for Szymon Słowik szymonslowik
1
320
For a Future-Friendly Web
Avatar for Brad Frost brad_frost
183
10k
Reality Check: Gamification 10 Years Later
Avatar for Sebastian Deterding codingconduct
0
2.2k
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
Avatar for Tammy Everts tammyeverts
11
930
Dealing with People You Can't Stand - Big Design 2015
Avatar for Cassini Nazir cassininazir
367
27k

Transcript

  1. 「『ビジネス』を護るサイバーセキュリティデイズ」 MicroHardeningの体験談 2023/03/27 松田 康宏

  2. 自己紹介 松田 康宏(まつだやすひろ) (所属) イースト株式会社 (仕事) AWSを活用したインフラエンジニア (士業資格) ・安全確保支援士 ・ファイナンシャル・プランニング技能士

    2級(AFP) ・中小企業診断士(2023年5月登録予定) ※いずれも業務独占資格ではなく名称独占資格 (主な活動) ・JAWS-UG 金沢支部コアメンバー ・中学校のPTA会長

  3. 本日持ち帰っていただきたいこと ・MicroHardeningの概要がわかるようになる ・サイト運営を行う上でのセキュリティ面での考慮事項を理解できるようになる ・インシデントハンドリングについての考慮事項を理解できるようになる

  4. 「『ビジネス』を護るサイバーセキュリティデイズ2023」の概要

  5. MicroHardeningの概要 仮想のショッピングサイトの運営管理者となり、クローラーによるネットショッピングの可用性を保証するゲームイベ ントで45分×3セットで行われた。 タイムテーブル イベント 13:00~14:00 事前説明 14:00~14:45 1セット目 14:45~15:15

    振り返り・休憩・準備 15:15~16:00 2セット目 16:00~16:30 振り返り・休憩・準備 16:30~17:15 3セット目

  6. イベントの評価方式

  7. イベントの評価内容

  8. ショッピングサイトの概要 3商品の取り扱いがあるショッピングサイトで、一覧画面とレビューが掲載された詳細画面で構成 されているよくありそうなECサイト。

  9. スコアの推移(サイバーセキュリティデイズ2022 3セット目) クローラーによって順次ショッピングが行われるため、システム障害が発生していなければ22万点 に向かって右肩上がりになるようなグラフとなる。

  10. サイバーセキュリティデイズ2022の成績 2022ではゲスト参加していたチームの中で最もスコアが高く、セットを経験するごとにスコアとSLA、 防御点を高めることができた(チーム3,10,11は事務局特別枠のため表彰対象外)。

  11. サイバーセキュリティデイズ2023の成績 2023では2022の経験値を活かして119,780点のスコアを出すことができたが、誤った事前設定を行なっ てしまったことによって、SLAを高められなかった。

  12. ECサイトのサービス構成と発生したイベント ・Apache ・Nignx ・MariaDB ・PostgreSQL ・EC-CUBE ・Wordpress ・GroupSession ・Unbound(DNSサービス) ・dovecot(メールサービス)

    ・Proftpd(FTP) ・アプリケーションの脆弱性をついた商品価格の改ざん ・レビューの書き込み機能の脆弱性をついたCSRF(クロスサイトリ クエストフォージェリ)攻撃 ・Webサーバの設定ミスをついたバックドア攻撃 ・DNSサービスプロセスの強制終了 ・FWのリモート操作による通信遮断 等・・・ 古いバージョンのアプリケーションで構成されているようなものや、パスワードがユーザ名と同じ、英 文字だけで構成されているなどによって対策をしなければすぐに攻撃されてしまう。

  13. 参加して重要だと感じたこと ・コンソールを見るだけではなくビジネスも見る →2023年で優秀賞をとれた理由は「何もできないと言われた工大生にサイトの見回りを お願いした」こと ・恒久対策と暫定対策を分ける

  14. オンラインとオフラインの違い オンライン(2022) オフライン(2023) 参加メンバー セキュリティに精通した方1名 企業在籍者2名 情シスの方1名 金沢工大の方2名 参加した場所 自宅

    金沢商工会議所 最高スコア(最大218,140) 117,015(3回目) 119,780(2回目) 最高SLA(最大100%) 87%(3回目) 77%(2回目) 防御点(最大28) 3(3回目) 10(3回目) コミュニケーション やりにくい やりやすい 自分の役割 セキュリティに精通した方と分担 しながらの作業 他のメンバーにお願いするこ とをしつつ、主体的に作業 いずれも初対面だったため、参加メンバーの考え方、スキルを意識しながら自分の役割を変化させるこ とが重要

  15. 参加して見えた課題 エンジニアリングの基礎をできるようにする ・作業プロセスの記録 対応メモを残すことができた https://docs.google.com/document/d/1HGy1MSR9aNUbFnBB2 ri2LWAux2V6d-HF0gf2IF6Z2r0/edit?usp=sharing 参考)他チームでの工夫(2022年) Scrapboxを活用したノート https://scrapbox.io/mhv2-rcc/ ・作業内容の共有に心がける

    画面共有 声出ししている 顔出ししている(2022年の時に は意識できていた) ・元に戻すことができる準備を意識する バックアップは取れているか? ・サービス稼働状況の調査を素早く できるようにする ・不審ログに関する調査 何を確認すれば良いか?

  16. さいごに #サイバーセキュリティは全員参加