はじめに
Hardeningというイベントをご存知でしょうか。
WASForumさんが運営するセキュリティ体験型イベントの名称で、
一言でいうと"いきなりシステムを引き渡されて、今から攻撃するからセキュリティを高めて守ってみせろ"
というものです。
2017/3/26の"Mini Hardening #2.1"に初めて参加し、大変貴重な経験を得ることができたため、簡単にレポートします。
(本家Hardningが2日に渡って開催されるのに対し、Mini Hardeningは1日で終わります)
具体的な流れ
- 10:30 会場受付開始
- 11:00 ハードニング競技説明開始
- 12:00 ハードニング競技スタート
- 15:00 ハードニング終了・休憩
- 15:30 競技の振り返り(注釈 ソフトニングとも言う)
- 16:30 片付け
- 17:00 懇親会
※実際の競技は3時間です。始まってしまうとあっという間に過ぎてしまいます。
何を得ることができるのか
「それは仲間です!!」と言いたいところですが、エンジニアとして成長に繋がったと感じたポイントを挙げます。
(実際に仲間も得られます)
- ハッキングされたという経験を得られる
- 普段扱うシステムが如何に守られているか/守られていないかを新しい目線で見られるようになる
- 己のスキル不足を痛切に感じ、向上心を揺さぶられる
- 基本動作の大切さに思い出す
- 個人でなくチームとして動く大切さを学べる
箇条書きにしてしまうと、あっさり終わってしまいますが、特にこれだと思うものにコメントします。
今の時代、自分が"直接"扱うシステムをハッキングされた経験を持つエンジニアはどれだけいるでしょうか?
セキュリティを専門とする企業や部署などに所属しない限り、そういった機会を得ることはなかなか無いと思います。
Hardeningでは、ノーリスク(ここ大事)でその貴重な経験得ることができます。
私が参加した際は、通常の担当者が急病や出張で不在のため、緊急でアサインされたスーパーエンジニア(orz)としてシステムを引き継ぐ設定でした。
そしてシステム把握の苦しみと、見通しがつかない脆弱性と戦ううちに、攻撃者のハッキングが容赦なく襲ってくるのです。
気がつけば「rootアカウントが乗っ取られ」「アプリケーション(この時はWordpress)がまるごと削除され」サービスを継続できなくなっていました。
「システムオールレッド!!!!」な状況に愕然とし、屈辱に塗れながらタイムアップを迎えることになりました。
これも私も含めた参加者の多くが感じたことです。
インフラエンジニアの立場であれば自分が携わるシステムの構成を理解しており、
開発者であれば自分のアプリケーションを深く把握しているでしょう。
そして襲い来るインシデントを前に、FWがあり、IPS/IDSが動作し、監視ソフトウェアが問題を通知する仕組みを渇望することになります。失って分かる大切さというやつです。
そして競技終了後、WASForumのメンバーによる解説を聞き、今の自分が関わるシステムに足りないモノを見つめ直すことになります。
最後に
Mini Hardeningはセキュリティ初心者でも楽しめる素晴らしいイベントです。
参加しただけで一皮向けた気になります(個人の感想ですが)
専門家である必要はありません。
エンジニアとして、少しでもセキュリティに興味があれば参加する資格があります。
ぜひ、Web Application Security Forum – WASForumの仮想ハッカー達にやられてみては如何でしょうか。