Upgrade to Pro — share decks privately, control downloads, hide ads and more …

「『ビジネス』を護るサイバーセキュリティデイズ」 ​ MicroHardeningの体験談

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for Yasuhiro Matsuda Yasuhiro Matsuda
March 27, 2023
Technology
0
35

「『ビジネス』を護るサイバーセキュリティデイズ」 ​ MicroHardeningの体験談

みんなのCSIRT 2023年3月にて発表した資料です

Avatar for Yasuhiro Matsuda

Yasuhiro Matsuda

March 27, 2023
Tweet

More Decks by Yasuhiro Matsuda

See All by Yasuhiro Matsuda
現場で活かす生成AI実践セミナー「広報×AI活用」編
Avatar for Yasuhiro Matsuda matyuda
0
220
いしかわ暮らしセミナー~知って安心!移住とお金講座~
Avatar for Yasuhiro Matsuda matyuda
0
120
AI活用ワークショップ
Avatar for Yasuhiro Matsuda matyuda
0
180
AIを活用した広報と事業計画を一気に学ぶワークショップ
Avatar for Yasuhiro Matsuda matyuda
0
150
AWSを活用したAIサービス開発(フルバージョン)
Avatar for Yasuhiro Matsuda matyuda
0
100
AWSを活用したAIサービス開発
Avatar for Yasuhiro Matsuda matyuda
0
130
マーケティング実践とデジタル活用
Avatar for Yasuhiro Matsuda matyuda
0
230
カンタンAI活用術
Avatar for Yasuhiro Matsuda matyuda
0
200
スタートアップ企業の支援のあり方
Avatar for Yasuhiro Matsuda matyuda
0
81

Other Decks in Technology

See All in Technology
SRE Enabling戦記 - 急成長する組織にSREを浸透させる戦いの歴史
Avatar for Masaki Ishigaki markie1009
0
170
~Everything as Codeを諦めない~ 後からCDK
Avatar for mu7889yoon / Yuta Nakamura mu7889yoon
3
530
AIエージェントを開発しよう!-AgentCore活用の勘所-
Avatar for YukiOgawa yukiogawa
0
190
SREが向き合う大規模リアーキテクチャ 〜信頼性とアジリティの両立〜
Avatar for Kuniaki Moriya zepprix
0
480
ECS障害を例に学ぶ、インシデント対応に備えた AIエージェントの育て方 / How to develop AI agents for incident response with ECS outage
Avatar for iselegant iselegant
4
450
顧客との商談議事録をみんなで読んで顧客解像度を上げよう
Avatar for shibayu36 shibayu36
0
340
22nd ACRi Webinar - 1Finity Tamura-san's slide
Avatar for Nao Sumikawa nao_sumikawa
0
110
Oracle Base Database Service 技術詳細
Avatar for oracle4engineer oracle4engineer
PRO
15
93k
AzureでのIaC - Bicep? Terraform? それ早く言ってよ会議
Avatar for Toru Makabe torumakabe
1
620
私たち準委任PdEは2つのプロダクトに挑戦する ~ソフトウェア、開発支援という”二重”のプロダクトエンジニアリングの実践~ / 20260212 Naoki Takahashi
Avatar for SHIFT EVOLVE shift_evolve
PRO
2
210
配列に見る bash と zsh の違い
Avatar for kazzpapa3 kazzpapa3
3
170
CDK対応したAWS DevOps Agentを試そう_20260201
Avatar for モブエンジニア(Masaki Okuda) masakiokuda
1
440

Featured

See All Featured
Done Done
Avatar for chrislema chrislema
186
16k
The Power of CSS Pseudo Elements
Avatar for Geoffrey Crofte geoffreycrofte
80
6.2k
Beyond borders and beyond the search box: How to win the global "messy middle" with AI-driven SEO
Avatar for David Carrasco davidcarrasco
1
58
Unlocking the hidden potential of vector embeddings in international SEO
Avatar for Frank van Dijk frankvandijk
0
170
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
Avatar for Sam Stephenson sstephenson
162
16k
Designing for Timeless Needs
Avatar for Cassini Nazir cassininazir
0
130
B2B Lead Gen: Tactics, Traps & Triumph
Avatar for Sophie Logan marketingsoph
0
57
Winning Ecommerce Organic Search in an AI Era - #searchnstuff2025
Avatar for Aleyda Solis aleyda
1
1.9k
Code Reviewing Like a Champion
Avatar for maltzj maltzj
527
40k
So, you think you're a good person
Avatar for Per Axbom axbom
PRO
2
1.9k
Faster Mobile Websites
Avatar for Dean Hume deanohume
310
31k
Digital Ethics as a Driver of Design Innovation
Avatar for Per Axbom axbom
PRO
1
190

Transcript

  1. 「『ビジネス』を護るサイバーセキュリティデイズ」 MicroHardeningの体験談 2023/03/27 松田 康宏

  2. 自己紹介 松田 康宏(まつだやすひろ) (所属) イースト株式会社 (仕事) AWSを活用したインフラエンジニア (士業資格) ・安全確保支援士 ・ファイナンシャル・プランニング技能士

    2級(AFP) ・中小企業診断士(2023年5月登録予定) ※いずれも業務独占資格ではなく名称独占資格 (主な活動) ・JAWS-UG 金沢支部コアメンバー ・中学校のPTA会長

  3. 本日持ち帰っていただきたいこと ・MicroHardeningの概要がわかるようになる ・サイト運営を行う上でのセキュリティ面での考慮事項を理解できるようになる ・インシデントハンドリングについての考慮事項を理解できるようになる

  4. 「『ビジネス』を護るサイバーセキュリティデイズ2023」の概要

  5. MicroHardeningの概要 仮想のショッピングサイトの運営管理者となり、クローラーによるネットショッピングの可用性を保証するゲームイベ ントで45分×3セットで行われた。 タイムテーブル イベント 13:00~14:00 事前説明 14:00~14:45 1セット目 14:45~15:15

    振り返り・休憩・準備 15:15~16:00 2セット目 16:00~16:30 振り返り・休憩・準備 16:30~17:15 3セット目

  6. イベントの評価方式

  7. イベントの評価内容

  8. ショッピングサイトの概要 3商品の取り扱いがあるショッピングサイトで、一覧画面とレビューが掲載された詳細画面で構成 されているよくありそうなECサイト。

  9. スコアの推移(サイバーセキュリティデイズ2022 3セット目) クローラーによって順次ショッピングが行われるため、システム障害が発生していなければ22万点 に向かって右肩上がりになるようなグラフとなる。

  10. サイバーセキュリティデイズ2022の成績 2022ではゲスト参加していたチームの中で最もスコアが高く、セットを経験するごとにスコアとSLA、 防御点を高めることができた(チーム3,10,11は事務局特別枠のため表彰対象外)。

  11. サイバーセキュリティデイズ2023の成績 2023では2022の経験値を活かして119,780点のスコアを出すことができたが、誤った事前設定を行なっ てしまったことによって、SLAを高められなかった。

  12. ECサイトのサービス構成と発生したイベント ・Apache ・Nignx ・MariaDB ・PostgreSQL ・EC-CUBE ・Wordpress ・GroupSession ・Unbound(DNSサービス) ・dovecot(メールサービス)

    ・Proftpd(FTP) ・アプリケーションの脆弱性をついた商品価格の改ざん ・レビューの書き込み機能の脆弱性をついたCSRF(クロスサイトリ クエストフォージェリ)攻撃 ・Webサーバの設定ミスをついたバックドア攻撃 ・DNSサービスプロセスの強制終了 ・FWのリモート操作による通信遮断 等・・・ 古いバージョンのアプリケーションで構成されているようなものや、パスワードがユーザ名と同じ、英 文字だけで構成されているなどによって対策をしなければすぐに攻撃されてしまう。

  13. 参加して重要だと感じたこと ・コンソールを見るだけではなくビジネスも見る →2023年で優秀賞をとれた理由は「何もできないと言われた工大生にサイトの見回りを お願いした」こと ・恒久対策と暫定対策を分ける

  14. オンラインとオフラインの違い オンライン(2022) オフライン(2023) 参加メンバー セキュリティに精通した方1名 企業在籍者2名 情シスの方1名 金沢工大の方2名 参加した場所 自宅

    金沢商工会議所 最高スコア(最大218,140) 117,015(3回目) 119,780(2回目) 最高SLA(最大100%) 87%(3回目) 77%(2回目) 防御点(最大28) 3(3回目) 10(3回目) コミュニケーション やりにくい やりやすい 自分の役割 セキュリティに精通した方と分担 しながらの作業 他のメンバーにお願いするこ とをしつつ、主体的に作業 いずれも初対面だったため、参加メンバーの考え方、スキルを意識しながら自分の役割を変化させるこ とが重要

  15. 参加して見えた課題 エンジニアリングの基礎をできるようにする ・作業プロセスの記録 対応メモを残すことができた https://docs.google.com/document/d/1HGy1MSR9aNUbFnBB2 ri2LWAux2V6d-HF0gf2IF6Z2r0/edit?usp=sharing 参考)他チームでの工夫(2022年) Scrapboxを活用したノート https://scrapbox.io/mhv2-rcc/ ・作業内容の共有に心がける

    画面共有 声出ししている 顔出ししている(2022年の時に は意識できていた) ・元に戻すことができる準備を意識する バックアップは取れているか? ・サービス稼働状況の調査を素早く できるようにする ・不審ログに関する調査 何を確認すれば良いか?

  16. さいごに #サイバーセキュリティは全員参加