「『ビジネス』を護るサイバーセキュリティデイズ」 MicroHardeningの体験談 2023/03/27 松田 康宏

自己紹介 松田 康宏（まつだやすひろ） （所属） イースト株式会社 （仕事） AWSを活用したインフラエンジニア （士業資格） ・安全確保支援士 ・ファイナンシャル・プランニング技能士 ２級（AFP） ・中小企業診断士（2023年5月登録予定） ※いずれも業務独占資格ではなく名称独占資格 （主な活動） ・JAWS-UG 金沢支部コアメンバー ・中学校のPTA会長

本日持ち帰っていただきたいこと ・MicroHardeningの概要がわかるようになる ・サイト運営を行う上でのセキュリティ面での考慮事項を理解できるようになる ・インシデントハンドリングについての考慮事項を理解できるようになる

「『ビジネス』を護るサイバーセキュリティデイズ2023」の概要

MicroHardeningの概要 仮想のショッピングサイトの運営管理者となり、クローラーによるネットショッピングの可用性を保証するゲームイベ ントで45分×3セットで行われた。 タイムテーブル イベント 13:00～14:00 事前説明 14:00～14:45 1セット目 14:45～15:15 振り返り・休憩・準備 15:15～16:00 2セット目 16:00～16:30 振り返り・休憩・準備 16:30～17:15 3セット目

イベントの評価方式

イベントの評価内容

ショッピングサイトの概要 ３商品の取り扱いがあるショッピングサイトで、一覧画面とレビューが掲載された詳細画面で構成 されているよくありそうなECサイト。

スコアの推移（サイバーセキュリティデイズ2022 ３セット目） クローラーによって順次ショッピングが行われるため、システム障害が発生していなければ22万点 に向かって右肩上がりになるようなグラフとなる。

サイバーセキュリティデイズ2022の成績 2022ではゲスト参加していたチームの中で最もスコアが高く、セットを経験するごとにスコアとSLA、 防御点を高めることができた（チーム3,10,11は事務局特別枠のため表彰対象外）。

サイバーセキュリティデイズ2023の成績 2023では2022の経験値を活かして119,780点のスコアを出すことができたが、誤った事前設定を行なっ てしまったことによって、SLAを高められなかった。

ECサイトのサービス構成と発生したイベント ・Apache ・Nignx ・MariaDB ・PostgreSQL ・EC-CUBE ・Wordpress ・GroupSession ・Unbound(DNSサービス) ・dovecot(メールサービス) ・Proftpd(FTP) ・アプリケーションの脆弱性をついた商品価格の改ざん ・レビューの書き込み機能の脆弱性をついたCSRF(クロスサイトリ クエストフォージェリ)攻撃 ・Webサーバの設定ミスをついたバックドア攻撃 ・DNSサービスプロセスの強制終了 ・FWのリモート操作による通信遮断 等・・・ 古いバージョンのアプリケーションで構成されているようなものや、パスワードがユーザ名と同じ、英 文字だけで構成されているなどによって対策をしなければすぐに攻撃されてしまう。

参加して重要だと感じたこと ・コンソールを見るだけではなくビジネスも見る →2023年で優秀賞をとれた理由は「何もできないと言われた工大生にサイトの見回りを お願いした」こと ・恒久対策と暫定対策を分ける

オンラインとオフラインの違い オンライン（２０２２） オフライン（２０２３） 参加メンバー セキュリティに精通した方1名 企業在籍者２名 情シスの方1名 金沢工大の方2名 参加した場所 自宅 金沢商工会議所 最高スコア(最大218,140) 117,015(3回目) 119,780(2回目) 最高SLA(最大100%) 87%(3回目) 77%(2回目) 防御点(最大28) 3(3回目) 10(3回目) コミュニケーション やりにくい やりやすい 自分の役割 セキュリティに精通した方と分担 しながらの作業 他のメンバーにお願いするこ とをしつつ、主体的に作業 いずれも初対面だったため、参加メンバーの考え方、スキルを意識しながら自分の役割を変化させるこ とが重要

参加して見えた課題 エンジニアリングの基礎をできるようにする ・作業プロセスの記録 対応メモを残すことができた https://docs.google.com/document/d/1HGy1MSR9aNUbFnBB2 ri2LWAux2V6d-HF0gf2IF6Z2r0/edit?usp=sharing 参考）他チームでの工夫（2022年） Scrapboxを活用したノート https://scrapbox.io/mhv2-rcc/ ・作業内容の共有に心がける 画面共有 声出ししている 顔出ししている（2022年の時に は意識できていた） ・元に戻すことができる準備を意識する バックアップは取れているか？ ・サービス稼働状況の調査を素早く できるようにする ・不審ログに関する調査 何を確認すれば良いか？

さいごに #サイバーセキュリティは全員参加