セキュリティ！ゲームで学習やってみナイト/OWASP_Kansai_20180612Game

Transcript

1. OWASP Kansai 2018-06-12 #owaspkansai セキュリティ！ ゲームで学習やってみナイト OWASP NIGHT

2. OWASP Kansai 2018-06-12 #owaspkansai OWASP - Open Web Application Security

   Project OWASPは、ウェブアプリケーションセキュ リティをとりまく課題を解決することを目 的とする、国際的なオープンなコミュニ ティです。企業や国境の壁はもちろんのこ と、あらゆる専門知識と経験を持ったスペ シャリスト、またユーザのコラボレーショ ンにより、自由に参加できる開放された活 動を展開しています。 2 同組織の本部は、2001年に設立され、2004年4月21日よりアメリカ合衆国に て政府認定NPOとして組織運営しています。現在、全世界に120以上の個別 テーマのプロジェクト、さらに200以上の拠点にチャプター（支部）があり ます。 OWASPは、企業会員制度、企業スポンサーシップ、個人会員制度による寄 付などによって成りたっています。

3. OWASP Kansai 2018-06-12 #owaspkansai 国内でのOWASPの活動 • OWASP Japan - 2011年より活動。国内全体をカバー

   • 国内には多数のOWASP Local Chapter 秋田 / 仙台 / 名取 / 福島 / 北信越 / 名古屋 / 関西 / 九州 / 沖縄 • OWASP Kansai - 2014年より関西で活動 • 自分たちの直面するWebセキュリティの問題を自分たちの手で解決し たいという思いから活動をスタート • それぞれが自分たちのできることを持ち寄ることで、みんなでWebを よくしていく 3

4. OWASP Kansai 2018-06-12 #owaspkansai セキュリティ・ゲーム・学習とは • ゲームのセキュリティを学ぶ • ゲームでセキュリティを学ぶ 4

5. OWASP Kansai 2018-06-12 #owaspkansai 本題に入る前に • ゲームのセキュリティを学ぶ • ゲームのクラッキング、チー トを題材にセキュリティの技

   術を競う大会 • 過去問ファイル一式も公開 5 CEDEC SECCON https://2017.seccon.jp/news/seccon-2017-cedec-challenge.html

6. OWASP Kansai 2018-06-12 #owaspkansai • デジタルとアナログ 本題：ゲームでセキュリティを学ぶ 6 ・ボードゲーム ・TRPG

   ・スゴロク ・やられWebアプリ ・CTF（シーティーエフ） ・プログラミング練習(ｵﾝﾗｲﾝｼﾞｬｯｼﾞ) ・タイピング＆CLI練習 デジタル アナログ

7. OWASP Kansai 2018-06-12 #owaspkansai • 必要なもの デジタル アナログ 1人プレイ 人数

   オフラインで多人数 PCやNW回線 Webアプリ 機材 PC不要 カードやボード プロトコルなどNW知識 アプリ設定の知識 プログラミングなどITスキル スキル コミュニケーション力 状況判断力 意思決定力 本題：ゲームでセキュリティを学ぶ 7

8. OWASP Kansai 2018-06-12 #owaspkansai • 得られるもの 本題：ゲームでセキュリティを学ぶ 8 ・マネージメントの経験 ・インシデントに合わせた状況判断

   ・リーダーシップとチームワーク ・成功や失敗に対する反省と分析 ・IT、NWの技術的スキル／知識 ・セキュリティの技術的スキル／知識 ・プログラミングスキル ・正確なキー入力のトレーニング デジタル アナログ

9. OWASP Kansai 2018-06-12 #owaspkansai アナログゲーム学習のメリット • 高価な機材が不要でトライアルが簡単 • プレイヤーに要求される基礎知識やスキルが少ない •

   多人数でプレイできる • 五感をフル活用することで学びが定着しやすい 9

10. OWASP Kansai 2018-06-12 #owaspkansai お品書き • 『Malware Containment』 ・講師：JNSA教育部会 長谷川

    長一さん http://www.jnsa.org/edu/secgame/malcon/malcon.html • 『インシデント対応ボードゲーム』 ・講師：トレンドマイクロ 今 佑輔さん https://www.trendmicro.com/ja_jp/security-intelligence/research- reports/learning.html 10

11. OWASP Kansai 2018-06-12 #owaspkansai お品書き 11 • 『Malware Containment』 ・講師：JNSA教育部会

    長谷川 長一さん http://www.jnsa.org/edu/secgame/malcon/malcon.html • 『インシデント対応ボードゲーム』 ・講師：トレンドマイクロ 今 佑輔さん https://www.trendmicro.com/ja_jp/security-intelligence/research- reports/learning.html • 実はOWASPにもボードゲームが！ • OWASP『蛇とはしご』 https://www.owasp.org/index.php/OWASP_ Snakes_and_Ladders

12. OWASP Kansai 2018-06-12 #owaspkansai スケジュール 12 チーム分け マルコン 詳細ルール説明 ﾄﾚﾝﾄﾞﾏｲｸﾛ

    詳細ルール説明 第一回 プレイ開始 第二回 プレイ開始 振り返り 第一回 プレイ開始 第二回 プレイ開始 振り返り 5名 × ４ チーム 6名 × 3 チーム 19:20 21:00 終了

13. OWASP Kansai 2018-06-12 #owaspkansai 本日のゴール • ゲームに勝って、自チームのセキュリティをしっかり守る • ゲームに負けても、敗因を分析し改善策を考える •

    現実世界にもつながる教訓を持ち帰る • さらに、次はあなたがファシリテータとして 自分の組織や周囲の人を巻き込んでゲーム学習をしてみましょう 13

14. OWASP Kansai 2018-06-12 #owaspkansai 付録：OWASPとゲーム • ゲームでセキュリティ • OWASP 蛇とはしご

    • スゴロクをしながらセキュリティTOP１０リスクを学べる • https://www.owasp.org/index.php/OWASP_Snakes_and_Ladders • プレイ人数：２－６人 • WebアプリTOP10(2013) • MobileアプリTOP10(2013) • ゲームのセキュリティ • OWASP GSF（Game Security Framework） Project • ビデオゲームにおける攻撃者の目的とその防御などについての議論 • https://www.owasp.org/index.php/OWASP_Game_Security_Framework_Project • おすすめやられアプリ • BadLibrary • 初めて脆弱性を探すのに最適な、小さくて簡単に動かせる脆弱なサンプルWebアプリ • https://owasp-kansai.doorkeeper.jp/events/72652