今回、Panasonic WonderLabで開催されたMINI Hardening Project #3.5@OWASP Kansaiに参加しました。
「詳細な競技内容は発信禁止」とのことなので詳細は書けませんが一般的な話として。
- 脆弱性のあるソフトウェアのアップデート
- 不必要なサービスは止める
- バックアップ大事、リストアまで確認すべし
- 余計な権限は付けない、必要の無いユーザーは消す
- パスワードは簡単なものにしない、出来れば接続制限も
- ファイアウォール無効ダメ、出来ればOutboundも制限する
こういった「普通やろ?」と思われる事柄が、Hardeningでは身をもって体験できます。
体で覚える情報セキュリティ(インシデントレスポンス)といったところでしょうか。
今回は競技時間も長かったため、約5時間サービスがダウンしたり、改ざんされたり「コレ放っておくとヤバイ!」な事象が次々起こるのをひたすら捌き続ける(捌けるとは言っていない)感じでした。
私はLinuxの操作と一部のCMSなら少しは自分で動けたのですが、知らない分野(特にアプリケーション)がよわよわなので課題が山積み…というかLinuxすら最近Docker/Kubernetesばかり触っているため、Linux力の低下を実感しました。
次々と事件が起きるためオペレーションミスや判断ミスも多々発生し、悔しいことも多いですが、それも含めて色々と良い経験になりました。
以上、Hardeningはインシデントレスポンスという珍しいイベントを体験できる、楽しく学べる貴重な勉強会だと思います。サーバーを構築・管理する人には強くおすすめします。
出来れば最初はMicroHardening、次にMiniHardening、そして本家Hardening Projectのステップが望ましいとは思います。ただ、開催自体がそんなに多くはないのでお近くの地域で開催されていたら思い切って飛び込むと良いと思います。
最後に、OWASP Kansai・MINI Hardening Projectの運営の皆様、ありがとうございました。