Slide 1

Slide 1 text

Hardening II SU チームカムイ (11) 報告書 2019/07/05 斎藤 祐一郎 (@koemu)

Slide 2

Slide 2 text

TL;DR 私達は一人ひとりが専門家として、最善を尽くせるた めの準備をし、スピード感を持って戦い抜きました。 ➔ ロールの明確化 誰が何をしているかお互いが理解し、素早い 意思決定が行えるチームでした。 ➔ Hardening OSSの開発と実戦運用 今回の為に開発した監視・運用ツールを投入 しスピード感ある対処ができました。 ➔ マーケットプレイスの活用 特に人的リソースにはROIが高いと判断し、 惜しみなく投資を行いました。 2

Slide 3

Slide 3 text

チームの自己紹介 3

Slide 4

Slide 4 text

メンバー一覧 (左から) ● 曽谷 祐一 (@sotani) ((株)メルカリ セキュリティ) ● 杉江 彩(@rougelecca) (ネットワークエンジニア) ● 斎藤 祐一郎 (@koemu) ((株)メルカリ バックエンドエンジニア) ● 伊佐 大佑(@dajo) (琉球大学) ● 澤田 一樹 (@sekai67) ((株)メルカリ SRE) ● 戸谷 洋介 (@ytotti) ((株)ラック) 4

Slide 5

Slide 5 text

準備 僕らは… この日のために2ヶ月間準 備してきました 5

Slide 6

Slide 6 text

3つのキーポイント ● 過去の出題内容を振り返る ● ロールの明確化 ● 準備と定例MTG 6

Slide 7

Slide 7 text

過去の出題内容を振り返る 出場経験者である@rougeleccaさんから共有を受けた。 ● 過去の出題内容 ● その際に誰がどのように動いたのか ● 事前準備の重要さ ● マーケットプレイスの重要さと活用方法 ● 遅刻しない!!!!! 7

Slide 8

Slide 8 text

ロールの明確化 距離もあり、本職の業務をよく知らない者同士が札幌に集結 して戦うにあたって、備えたこと。 ● 過去の大会を通じて必要なロールの定義。 ● 本職の業務を踏まえたロールの割り当て。 ● 決まったロールをもとに、事前に情報収集。 8

Slide 9

Slide 9 text

準備と定例MTG 1週間に1回 30分、Zoomを使ってオンライン定例MTG。 それ以外はSlackでコミュニケーション。 資料はGoogle Driveで共有。 ● まずはお互いを知る ● 事前準備の進捗 ○ 調査レポート (脆弱性など) ○ テンプレ整備 (CS, 法務, 労務, etc…) ● 資料の読み合わせ 9

Slide 10

Slide 10 text

体制・情報共有など 組織運営に関すること みんなは 上下関係のない、 プロフェッショナル 集団として。 10

Slide 11

Slide 11 text

3つのポイント ● ロール ● チーム内でのコミュニケーション ● 対外コミュニケーション 11

Slide 12

Slide 12 text

ロール ● @sekai67: SRE ● @sotani: レポーター, 渉外 ● @ytotti: 脆弱性切り分け ● @rougelecca: CS, HCA連絡 ● @dajo: 販売管理 ● @koemu: インシデントコマンダー (対外的にはリーダー) 12

Slide 13

Slide 13 text

チーム内でのコミュニケーション ● レポーターにレポートを集約。作業をタイムラインで振り返られる。 ● ロールの近い者同士が近くに座って、スッと寄って話せる。 ● テキストベースのものはすぐにSlackで共有。 ● インシデントコマンダーが決断に責任を負う。 ○ 複数の攻撃を受けたときの優先度を決める。 ○ 経済条件の意思決定を行う。 ○ 時間制限を決める。 ○ 基本、作業は行わない。 ● 意見の対立はなかった。皆が背景を理解し、納得して仕事した。 13

Slide 14

Slide 14 text

対外コミュニケーション 連合間のコミュニケーション ● 定例MTG (2時間おき) ○ チーム間で困っていることを言い合い、スポットで情報を融通。 ○ 前日に呼びかけて決めた。 全体のコミュニケーション ● HCA: 提供された情報を逐次共有できる体制 ● JPCERT: 情報漏えいが確認された際の通報 14

Slide 15

Slide 15 text

インシデントレスポンス 15

Slide 16

Slide 16 text

flos: 本大会向け 運用・監視OSS @sekai67さんが夜なべして作った、 Linux/Windowsサーバ 監視・運用OSS ● 死活監視 ● ログ・プロセスビュー ● コマンド一括送信 ● 自動バックアップ リポジトリ: https://github.com/kaz/flos 16

Slide 17

Slide 17 text

事象への向き合い方 想定とはどうか ● 売上に直結する障害から、順次対処していく。 ● 事前に調べていた脆弱性、特にRCEはだいたい来ていた。 ● 一番の想定外はWindowsの「花」→MPのツールで対策(後述) 渉外対応 ● 隠さない、すぐに言う。 ● 関係各所への報告は迅速にできたと考えている。 17

Slide 18

Slide 18 text

ビジネス価値向上の 取り組み ビジネス GMVがあがってなんぼの もの 18

Slide 19

Slide 19 text

GMVのグロースに向けて ● まずは商品名・商品画像を差し替えるところからスタート。 ● 人気のある商品を中心に、値上げを実施。GMVにインパ クトがあったことを確認。 ○ ただし、初動が遅かったのが悔やまれる。 19

Slide 20

Slide 20 text

公式サイトの整備 ● WIPページの整備 ○ NECさんに委託(後述) ○ テンプレの準備が功を奏した ○ メールフォームも動いた 20

Slide 21

Slide 21 text

事故発生時への向き合い方 ● 売上に直結する障害から順に潰す。 ○ サービス停止は最優先。 ○ 「疑い」レベルは、すでに施した対策でカバーできるの であれば一旦置いておく。 21

Slide 22

Slide 22 text

マーケットプレイス 活用の試み GO BOLDに お金で解決できることは、 お金で解決する。 22

Slide 23

Slide 23 text

購入した製品/サービス ● NEC様 勝つための助っ人派遣ソリューション 2時間 2,000万円 ● Cisco 様 シスコなまらセキュアセット 2,000万円 ● トレンドマイクロ様 IRどうでしょう 500万円 購入の方針 ● 買えない後悔より、高くても買って後悔。 ● ROIは高いはずとチームで決断したものをGO BOLDに買いに行った。 23

Slide 24

Slide 24 text

NEC様 勝つための助っ人派遣 ● Linuxサーバ全てにiptablesの設定を依頼。 ○ 初期段階に設定できたため、マルウェアの通信やバインドシェルの実行 がかなり遮断できた。 ● 公式サイトの整備を依頼。 ○ 手が回っていないところだったので、大変助かりました。 ○ テンプレはこちらで用意していたので、連絡もスムーズでした。 お世話になりました! めっちゃROIが高かったです。2,000万出してよかった。 24

Slide 25

Slide 25 text

Cisco 様 シスコなまらセキュアセット ● シグネチャレベルで防げる通信の遮断には軒並み成功。 ○ より高度な攻撃への対処に集中することができた。 ● レポーティングを通じて、どのような攻撃が到達しているか理解を深めること ができた。 ● 設定等がうまく行っていないと、声をかけてくださったのはありがたかった。 どうもありがとうございました! 25

Slide 26

Slide 26 text

トレンドマイクロ様 IRどうでしょう ● Cisco様のIPSソリューションとかぶっている部分があったので、使わない部分 を値下げいただけた。 ● Windows端末のマルウェア・ウィルスに対する防御を施すことができた。 ● インストールに手間取った際、お声がけいただきサポートいただけた。 どうもありがとうございました! 26

Slide 27

Slide 27 text

総括 27

Slide 28

Slide 28 text

Hardening参加のメリット ● @koemu: 意思決定者は常に知見を高め、周りを見回し、よく話を聞き、そし て心の健康を保ち決断する大切さを理解した。 ● @sekai67: 本物の攻撃とその防御の難しさを、身を以て知った。 ● @sotani: インシデント対応の筋トレ。事前の準備の大切さとその必要性の ジャスティフィケーションを身を持って知る。 ● @ytotti: 自社の考え方に縛られずに、いろいろな経営的観点、技術的観点、 人材的観点に触れることができる。 ● @rougelecca: 自分の力量が可視化されるので、今後どう活かすかを明確化 できた。 ● @dajo: 技術だけじゃない総合力の必要性を知った。 28

Slide 29

Slide 29 text

明日以降どう活かすか ● @koemu: 本番障害でも笑顔でいる、それが仲間の救いになるはず。 ● @sekai67: 当たり前を見直す、疑う。障害に対する心構え。 ● @sotani: 自社のインシデントの準備 ● @ytotti: オフライン状態でのセキュリティ対策は、非常に技術力がつくという 知見を得たので明日以降普段から考慮しながらすごす。 ● @rougelecca: 身近にある攻撃がビジネスに響くことを社内で布教していく。 攻撃と防御を棚卸する。 ● @dajo: 問題の早期対応を意識する。 29

Slide 30

Slide 30 text

今後のイベントに向けての提案 ● @koemu: 運営のみなさまがもっと煽っていくスタイルが良いです。 ● @sekai67: もっと絶望感を。 ● @sotani: 社長=チームリーダーなのか?あたりのたてつけがわかりにくかっ た。そしてわかりにくいまま始まっちゃった。のはいまいちだったが、それ以外 は、いろんな意味でちょうどよかった。 ● @ytotti: 攻撃のタイミングでモニターや音声を用いた演出がもっとあってもい いと思った。 ● @rougelecca: 役員会議や記者会見がモニターで流し見状態だったので本格 的に危機感が感じられるともっと良い。 ● @dajo: 競技中の飲酒許可 30

Slide 31

Slide 31 text

おわりに 31

Slide 32

Slide 32 text

改めて TL;DR 私達は一人ひとりが専門家として、最善を尽くせるた めの準備をし、スピード感を持って戦い抜きました。 ➔ ロールの明確化 誰が何をしているかお互いが理解し、素早い 意思決定が行えるチームでした。 ➔ Hardening OSSの開発と実戦運用 今回の為に開発した監視・運用ツールを投入 しスピード感ある対処ができました。 ➔ マーケットプレイスの活用 特に人的リソースにはROIが高いと判断し、 惜しみなく投資を行いました。 32

Slide 33

Slide 33 text

謝辞 チームメンバー一同、このような機会に恵まれ、大変 感謝し、そして学びがありました。 ➔ 運営のみなさま 素晴らしい大会を用意いただきありがとうござ いました。 ➔ スポンサー・MPのみなさま 素晴らしい機材・サービス・環境の提供をあり がとうございました。 ➔ 参加者のみなさま たのしかったですね!またお会いしましょ う!! 33

Slide 34

Slide 34 text

おわり 34