Upgrade to Pro — share decks privately, control downloads, hide ads and more …

「『ビジネス』を護るサイバーセキュリティデイズ」 ​ MicroHardeningの体験談

Avatar for Yasuhiro Matsuda Yasuhiro Matsuda
March 27, 2023
Technology
0
34

「『ビジネス』を護るサイバーセキュリティデイズ」 ​ MicroHardeningの体験談

みんなのCSIRT 2023年3月にて発表した資料です

Avatar for Yasuhiro Matsuda

Yasuhiro Matsuda

March 27, 2023
Tweet

More Decks by Yasuhiro Matsuda

See All by Yasuhiro Matsuda
いしかわ暮らしセミナー~知って安心!移住とお金講座~
Avatar for Yasuhiro Matsuda matyuda
0
66
AI活用ワークショップ
Avatar for Yasuhiro Matsuda matyuda
0
85
AIを活用した広報と事業計画を一気に学ぶワークショップ
Avatar for Yasuhiro Matsuda matyuda
0
68
AWSを活用したAIサービス開発(フルバージョン)
Avatar for Yasuhiro Matsuda matyuda
0
83
AWSを活用したAIサービス開発
Avatar for Yasuhiro Matsuda matyuda
0
74
マーケティング実践とデジタル活用
Avatar for Yasuhiro Matsuda matyuda
0
160
カンタンAI活用術
Avatar for Yasuhiro Matsuda matyuda
0
130
スタートアップ企業の支援のあり方
Avatar for Yasuhiro Matsuda matyuda
0
65
利益を生まない情報セキュリティとバックアップに投資する重要性
Avatar for Yasuhiro Matsuda matyuda
0
130

Other Decks in Technology

See All in Technology
251029 JAWS-UG AI/ML 退屈なことはQDevにやらせよう
Avatar for Kenshiro Ota otakensh
0
190
DSPy入門
Avatar for TomuHirata tomehirata
6
890
InsightX 会社説明資料/ Company deck
Avatar for InsightX insightx
0
200
AIを使ってテストを楽にする
Avatar for KNOWLEDGE WORK / 株式会社ナレッジワーク kworkdev
PRO
0
420
AIとの協業で実現!レガシーコードをKotlinらしく生まれ変わらせる実践ガイド
Avatar for ZOZO Developers zozotech
PRO
2
330
The Twin Mandate of Observability
Avatar for Charity Majors charity
1
170
dbtとAIエージェントを組み合わせて見えたデータ調査の新しい形
Avatar for 10xinc 10xinc
7
1.8k
ラスベガスの歩き方 2025年版(re:Invent 事前勉強会)
Avatar for JunjiKoide junjikoide
0
930
AI時代の発信活動 ~技術者として認知してもらうための発信法~ / 20251028 Masaki Okuda
Avatar for SHIFT EVOLVE shift_evolve
PRO
1
140
次世代のメールプロトコルの斜め読み
Avatar for HIRANO Yoshitaka hirachan
3
380
書籍『実践 Apache Iceberg』の歩き方
Avatar for Satoru Ishikawa ishikawa_satoru
0
470
Playwrightで始めるUI自動テスト入門
Avatar for とことんDevOps devops_vtj
0
140

Featured

See All Featured
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
37
2.6k
Typedesign – Prime Four
Avatar for Hannes Fritz hannesfritz
42
2.9k
Why Our Code Smells
Avatar for Brandon Keepers bkeepers
PRO
340
57k
Keith and Marios Guide to Fast Websites
Avatar for Keith Pitt keithpitt
412
23k
What’s in a name? Adding method to the madness
Avatar for Product Marketing Alliance productmarketing
PRO
24
3.7k
Building Adaptive Systems
Avatar for Chris Keathley keathley
44
2.8k
Site-Speed That Sticks
Avatar for Harry Roberts csswizardry
13
940
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
Avatar for Eileen M. Uchitelle eileencodes
140
34k
Reflections from 52 weeks, 52 projects
Avatar for Jefferson Lam jeffersonlam
355
21k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
48
9.7k
Distributed Sagas: A Protocol for Coordinating Microservices
Avatar for Caitie McCaffrey caitiem20
333
22k
GitHub's CSS Performance
Avatar for Jon Rohan jonrohan
1032
470k

Transcript

  1. 「『ビジネス』を護るサイバーセキュリティデイズ」 MicroHardeningの体験談 2023/03/27 松田 康宏

  2. 自己紹介 松田 康宏(まつだやすひろ) (所属) イースト株式会社 (仕事) AWSを活用したインフラエンジニア (士業資格) ・安全確保支援士 ・ファイナンシャル・プランニング技能士

    2級(AFP) ・中小企業診断士(2023年5月登録予定) ※いずれも業務独占資格ではなく名称独占資格 (主な活動) ・JAWS-UG 金沢支部コアメンバー ・中学校のPTA会長

  3. 本日持ち帰っていただきたいこと ・MicroHardeningの概要がわかるようになる ・サイト運営を行う上でのセキュリティ面での考慮事項を理解できるようになる ・インシデントハンドリングについての考慮事項を理解できるようになる

  4. 「『ビジネス』を護るサイバーセキュリティデイズ2023」の概要

  5. MicroHardeningの概要 仮想のショッピングサイトの運営管理者となり、クローラーによるネットショッピングの可用性を保証するゲームイベ ントで45分×3セットで行われた。 タイムテーブル イベント 13:00~14:00 事前説明 14:00~14:45 1セット目 14:45~15:15

    振り返り・休憩・準備 15:15~16:00 2セット目 16:00~16:30 振り返り・休憩・準備 16:30~17:15 3セット目

  6. イベントの評価方式

  7. イベントの評価内容

  8. ショッピングサイトの概要 3商品の取り扱いがあるショッピングサイトで、一覧画面とレビューが掲載された詳細画面で構成 されているよくありそうなECサイト。

  9. スコアの推移(サイバーセキュリティデイズ2022 3セット目) クローラーによって順次ショッピングが行われるため、システム障害が発生していなければ22万点 に向かって右肩上がりになるようなグラフとなる。

  10. サイバーセキュリティデイズ2022の成績 2022ではゲスト参加していたチームの中で最もスコアが高く、セットを経験するごとにスコアとSLA、 防御点を高めることができた(チーム3,10,11は事務局特別枠のため表彰対象外)。

  11. サイバーセキュリティデイズ2023の成績 2023では2022の経験値を活かして119,780点のスコアを出すことができたが、誤った事前設定を行なっ てしまったことによって、SLAを高められなかった。

  12. ECサイトのサービス構成と発生したイベント ・Apache ・Nignx ・MariaDB ・PostgreSQL ・EC-CUBE ・Wordpress ・GroupSession ・Unbound(DNSサービス) ・dovecot(メールサービス)

    ・Proftpd(FTP) ・アプリケーションの脆弱性をついた商品価格の改ざん ・レビューの書き込み機能の脆弱性をついたCSRF(クロスサイトリ クエストフォージェリ)攻撃 ・Webサーバの設定ミスをついたバックドア攻撃 ・DNSサービスプロセスの強制終了 ・FWのリモート操作による通信遮断 等・・・ 古いバージョンのアプリケーションで構成されているようなものや、パスワードがユーザ名と同じ、英 文字だけで構成されているなどによって対策をしなければすぐに攻撃されてしまう。

  13. 参加して重要だと感じたこと ・コンソールを見るだけではなくビジネスも見る →2023年で優秀賞をとれた理由は「何もできないと言われた工大生にサイトの見回りを お願いした」こと ・恒久対策と暫定対策を分ける

  14. オンラインとオフラインの違い オンライン(2022) オフライン(2023) 参加メンバー セキュリティに精通した方1名 企業在籍者2名 情シスの方1名 金沢工大の方2名 参加した場所 自宅

    金沢商工会議所 最高スコア(最大218,140) 117,015(3回目) 119,780(2回目) 最高SLA(最大100%) 87%(3回目) 77%(2回目) 防御点(最大28) 3(3回目) 10(3回目) コミュニケーション やりにくい やりやすい 自分の役割 セキュリティに精通した方と分担 しながらの作業 他のメンバーにお願いするこ とをしつつ、主体的に作業 いずれも初対面だったため、参加メンバーの考え方、スキルを意識しながら自分の役割を変化させるこ とが重要

  15. 参加して見えた課題 エンジニアリングの基礎をできるようにする ・作業プロセスの記録 対応メモを残すことができた https://docs.google.com/document/d/1HGy1MSR9aNUbFnBB2 ri2LWAux2V6d-HF0gf2IF6Z2r0/edit?usp=sharing 参考)他チームでの工夫(2022年) Scrapboxを活用したノート https://scrapbox.io/mhv2-rcc/ ・作業内容の共有に心がける

    画面共有 声出ししている 顔出ししている(2022年の時に は意識できていた) ・元に戻すことができる準備を意識する バックアップは取れているか? ・サービス稼働状況の調査を素早く できるようにする ・不審ログに関する調査 何を確認すれば良いか?

  16. さいごに #サイバーセキュリティは全員参加