SlideShare a Scribd company logo

The concept of mini hardening

M
Masahiro Tabata

2017/1/11 WASNight 2017 Kick-Off@六本木SuperDeluxeで発表した資料の公開版です。 ミニハードニングのコンセプトをまとめました。 キーワードは「カジュアル!」

Technology
1 of 16
Download to read offline
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. The CONCEPT of MINI HARDENING Akira Sasayama/ Masahiro Tabata @ MINI Hardening Staff
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. MINI Hardening とは • Hardening Project から派生したミニプロジェクト – 2014年 の Hardening 10 Evolutions イベントにおいて、   アンカンファレンスの成果として発足 • カジュアルにHardeningを体験 – MINI Hardeningでは半日程度でHardening競技や振り返り   まで体験できる • 過去の実績 – 6回競技を開催 142名参加(延べ人数)  
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 競技の概要 • 11:00 競技説明 • 12:00 競技スタート • 15:30 競技終了 (休憩10分) • 15:40 (特別講義)Miraiボット解説 @mkobayashi • 16:20 MINI Softening (振り返り) • 16:50 模範解答、評価のフィードバック、表彰 • 17:20 撮影・片付け・撤収・移動 • 18:00 飲み会
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 競技風景
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. スタッフ紹介 俺たち5人合わせて「SORAMAME5!」
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. CONCEPT for MINI Hardening セキュリティインシデントをカジュアルに体験 参加者にカジュアルを 環境をカジュアルに カジュアル : 気軽にくつろいだ感じ Staffもカジュアルに ・誰でも参加可能 ・チーム力で対応 ・訓練・胆力・現場力 ・実践力向上 ・目線を上げてもらう ・振り返り・気づき 想定参加者: 新人CSIRT担当者 ・基礎対応 ・沖縄の練習に ・肩慣らし ・どこでも開催可能 ・シナリオ通りの攻撃 ・クラウド活用 ・攻撃はシンプル ・テンプレ活用 ・リモートより参加 ・得意分野で貢献 ・自由な活動 ・強力なサポート
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 具体的にどう体験してもらうか • 情報漏洩事故 • Anonymous(?)
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 具体的にどう体験してもらうか • 報告書提出 • 社長の依頼• サーバダウン
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 体験した結果 ・振り返っていただき自チームがどうすべきだったか、 他チームの意見を踏まえてどんなことが必要だったか 考えていただきます ・SORAMAME5側の攻撃内容・脆弱性に関するレポートも ・評価結果もレポート 何がよかったのか
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 実はこんな楽しみも すべて WASForum や OWASP よりご提供いただいております。 この場をかりて、改めて御礼申し上げます。 • 優勝チームプレゼント • おやつ
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 興味があれば是非応募ください 近々WASForumサイト上に MINI Hardening専用サイト を公開予定です。 まずはCONNPASS上でMINI Hardening Projectの メンバーになり通知を受け取れるようにしてください。 ◆CONNPASS https://minihardening.connpass.com/
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 【閑話休題】競技の質問タイムの一コマ 参加者からのとある質問 「Linuxサーバはインターネットつながらないんですか?」 「アップデート用サーバは用意してないんですか?」   → 回答「そういう競技なんです。m(*- -*)m・スイマセーン」 過去の挑戦者たちの事例 初級→パッケージを探してきてパッチを当てた 中級→コンパイルした 上級→踏み台経由で無理やりアップデートした!!! (スパイク) そういうのが好きなんだよ。俺は。 (ジェット)難しいどころの話じゃない。そんなの無理だ!     バットも持たずに野球をやるようなもんだ。 『カウボーイビバップ  #SESSION9 「ジャミング・ウィズ・エドワード」』より引用 ※スタンドアロンになった軍事衛星をハッキングするため、直接ケーブルを  つなぐという無茶な作戦のやりとり 実際の方法は こちら参照
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 最後にもう一度CONCEPT 「セキュリティインシデントをカジュアルに体験」   なぜこのコンセプトが重要か?
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. マイルドな修羅場に身を投じよう! 死なない程度の修羅場こそが飛躍的な 成長を促すことが証明されている! 本家Hardening Project → 精神と時の部屋 MINI Hardening → カリン塔もしくはミスターポポの修行 「ストレッチな環境が人を育てる」 @及川卓也 (元Microsoft , 元google、現qiita プロダクトマネージャ ) http://www.slideshare.net/takoratta/civictechhack-code-for-japan-summit-2016
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 今後の展開など ・2017年3,4回の実施を予定 ・東京以外の開催も検討中  - #1.3大阪開催@ロックオンの実績  - 「ぜひ長野でも開催を!」とすでに要望アリ 引き続き開催希望があればスタッフまで♪ ・AppSec EU @ベルファスト(アイルランド)で 競技コンセプト発表に申請中( @TSB_KZK) ・他のhardeing開催団体とコラボ or 対戦!
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 以上、ご清聴ありがとうございました

Recommended

PWNの超入門 大和セキュリティ神戸 2018-03-25
PWNの超入門 大和セキュリティ神戸 2018-03-25PWNの超入門 大和セキュリティ神戸 2018-03-25
PWNの超入門 大和セキュリティ神戸 2018-03-25
Isaac Mathis
 
XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
XSSフィルターを利用したXSS攻撃 by Masato KinugawaXSSフィルターを利用したXSS攻撃 by Masato Kinugawa
XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
CODE BLUE
 
セキュリティの都市伝説を暴く
セキュリティの都市伝説を暴くセキュリティの都市伝説を暴く
セキュリティの都市伝説を暴く
Hiroshi Tokumaru
 
【Unite Tokyo 2019】ライブエンターテイメントにおけるUnity
【Unite Tokyo 2019】ライブエンターテイメントにおけるUnity【Unite Tokyo 2019】ライブエンターテイメントにおけるUnity
【Unite Tokyo 2019】ライブエンターテイメントにおけるUnity
UnityTechnologiesJapan002
 
FridaによるAndroidアプリの動的解析とフッキングの基礎
FridaによるAndroidアプリの動的解析とフッキングの基礎FridaによるAndroidアプリの動的解析とフッキングの基礎
FridaによるAndroidアプリの動的解析とフッキングの基礎
ken_kitahara
 
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
Hiroshi Tokumaru
 
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
Kuniyasu Suzaki
 
AWSとAzureとGCPの脆弱性診断実施の為の比較
AWSとAzureとGCPの脆弱性診断実施の為の比較AWSとAzureとGCPの脆弱性診断実施の為の比較
AWSとAzureとGCPの脆弱性診断実施の為の比較
kmrr
 

Recommended

PWNの超入門 大和セキュリティ神戸 2018-03-25
PWNの超入門 大和セキュリティ神戸 2018-03-25PWNの超入門 大和セキュリティ神戸 2018-03-25
PWNの超入門 大和セキュリティ神戸 2018-03-25
Isaac Mathis
 
XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
XSSフィルターを利用したXSS攻撃 by Masato KinugawaXSSフィルターを利用したXSS攻撃 by Masato Kinugawa
XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
CODE BLUE
 
セキュリティの都市伝説を暴く
セキュリティの都市伝説を暴くセキュリティの都市伝説を暴く
セキュリティの都市伝説を暴く
Hiroshi Tokumaru
 
【Unite Tokyo 2019】ライブエンターテイメントにおけるUnity
【Unite Tokyo 2019】ライブエンターテイメントにおけるUnity【Unite Tokyo 2019】ライブエンターテイメントにおけるUnity
【Unite Tokyo 2019】ライブエンターテイメントにおけるUnity
UnityTechnologiesJapan002
 
FridaによるAndroidアプリの動的解析とフッキングの基礎
FridaによるAndroidアプリの動的解析とフッキングの基礎FridaによるAndroidアプリの動的解析とフッキングの基礎
FridaによるAndroidアプリの動的解析とフッキングの基礎
ken_kitahara
 
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
Hiroshi Tokumaru
 
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
Kuniyasu Suzaki
 
AWSとAzureとGCPの脆弱性診断実施の為の比較
AWSとAzureとGCPの脆弱性診断実施の為の比較AWSとAzureとGCPの脆弱性診断実施の為の比較
AWSとAzureとGCPの脆弱性診断実施の為の比較
kmrr
 
私にとってのテスト
私にとってのテスト私にとってのテスト
私にとってのテスト
Takuto Wada
 
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
tobaru_yuta
 
スマホゲームのチート手法とその対策 [DeNA TechCon 2019]
スマホゲームのチート手法とその対策 [DeNA TechCon 2019]スマホゲームのチート手法とその対策 [DeNA TechCon 2019]
スマホゲームのチート手法とその対策 [DeNA TechCon 2019]
DeNA
 
ドメイン駆動設計 基本を理解する
ドメイン駆動設計 基本を理解するドメイン駆動設計 基本を理解する
ドメイン駆動設計 基本を理解する
増田 亨
 
概念モデリング再入門 + DDD
概念モデリング再入門 + DDD概念モデリング再入門 + DDD
概念モデリング再入門 + DDD
Hiroshima JUG
 
全日本<label>要素マークアップ検定
全日本<label>要素マークアップ検定全日本<label>要素マークアップ検定
全日本<label>要素マークアップ検定
Hiroshi Kawada
 
Datadog による Container の監視について
Datadog による Container の監視についてDatadog による Container の監視について
Datadog による Container の監視について
Masaya Aoyama
 
5分でわかるクリーンアーキテクチャ
5分でわかるクリーンアーキテクチャ5分でわかるクリーンアーキテクチャ
5分でわかるクリーンアーキテクチャ
Kenji Tanaka
 
WebAssemblyのWeb以外のことぜんぶ話す
WebAssemblyのWeb以外のことぜんぶ話すWebAssemblyのWeb以外のことぜんぶ話す
WebAssemblyのWeb以外のことぜんぶ話す
Takaya Saeki
 
Riderはいいぞ!
Riderはいいぞ!Riderはいいぞ!
Riderはいいぞ!
UnityTechnologiesJapan002
 
チームをワークさせるために 最も大事なコミュニケーション 意識していますか? - XP祭り2017
チームをワークさせるために 最も大事なコミュニケーション 意識していますか? - XP祭り2017チームをワークさせるために 最も大事なコミュニケーション 意識していますか? - XP祭り2017
チームをワークさせるために 最も大事なコミュニケーション 意識していますか? - XP祭り2017
Koichi Yoshida
 
No skk, no life.
No skk, no life.No skk, no life.
No skk, no life.
digitalghost
 
ゲームエンジニアのためのデータベース設計
ゲームエンジニアのためのデータベース設計ゲームエンジニアのためのデータベース設計
ゲームエンジニアのためのデータベース設計
sairoutine
 
DSPでgolangの屍を超えた話 (オレシカナイト Vol.2)
DSPでgolangの屍を超えた話 (オレシカナイト Vol.2)DSPでgolangの屍を超えた話 (オレシカナイト Vol.2)
DSPでgolangの屍を超えた話 (オレシカナイト Vol.2)
Yuki Katada
 
「実践ドメイン駆動設計」社内読書会まとめ ~IDDD本難民に捧げる1章から7章~
「実践ドメイン駆動設計」社内読書会まとめ ~IDDD本難民に捧げる1章から7章~「実践ドメイン駆動設計」社内読書会まとめ ~IDDD本難民に捧げる1章から7章~
「実践ドメイン駆動設計」社内読書会まとめ ~IDDD本難民に捧げる1章から7章~
A AOKI
 
backlogsでもCI/CDする夢を見る
backlogsでもCI/CDする夢を見るbacklogsでもCI/CDする夢を見る
backlogsでもCI/CDする夢を見る
Takeru Maehara
 
JUCEではじめるVST/AUプラグイン開発@NoMaps2017
JUCEではじめるVST/AUプラグイン開発@NoMaps2017JUCEではじめるVST/AUプラグイン開発@NoMaps2017
JUCEではじめるVST/AUプラグイン開発@NoMaps2017
Tatsuya Shiozawa
 
文脈を操る美しきZenjectプロジェクトからの眺め 〜Contextの扱い方と活用方法〜
文脈を操る美しきZenjectプロジェクトからの眺め 〜Contextの扱い方と活用方法〜文脈を操る美しきZenjectプロジェクトからの眺め 〜Contextの扱い方と活用方法〜
文脈を操る美しきZenjectプロジェクトからの眺め 〜Contextの扱い方と活用方法〜
Mikito Yoshiya
 
シナリオテストについて考えてみる
シナリオテストについて考えてみるシナリオテストについて考えてみる
シナリオテストについて考えてみる
tef-do
 
徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ
Hiroshi Tokumaru
 
今だからこそ振り返ろう!OWASP Top 10
今だからこそ振り返ろう!OWASP Top 10今だからこそ振り返ろう!OWASP Top 10
今だからこそ振り返ろう!OWASP Top 10
Daiki Ichinose
 
テストエンジニアと組織構造 @Cybozu
テストエンジニアと組織構造 @Cybozuテストエンジニアと組織構造 @Cybozu
テストエンジニアと組織構造 @Cybozu
Jumpei Miyata
 

More Related Content

What's hot

「実践ドメイン駆動設計」社内読書会まとめ ~IDDD本難民に捧げる1章から7章~
「実践ドメイン駆動設計」社内読書会まとめ ~IDDD本難民に捧げる1章から7章~「実践ドメイン駆動設計」社内読書会まとめ ~IDDD本難民に捧げる1章から7章~
「実践ドメイン駆動設計」社内読書会まとめ ~IDDD本難民に捧げる1章から7章~
A AOKI
 

What's hot (20)

私にとってのテスト
私にとってのテスト私にとってのテスト
私にとってのテスト
 
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
 
スマホゲームのチート手法とその対策 [DeNA TechCon 2019]
スマホゲームのチート手法とその対策 [DeNA TechCon 2019]スマホゲームのチート手法とその対策 [DeNA TechCon 2019]
スマホゲームのチート手法とその対策 [DeNA TechCon 2019]
 
ドメイン駆動設計 基本を理解する
ドメイン駆動設計 基本を理解するドメイン駆動設計 基本を理解する
ドメイン駆動設計 基本を理解する
 
概念モデリング再入門 + DDD
概念モデリング再入門 + DDD概念モデリング再入門 + DDD
概念モデリング再入門 + DDD
 
全日本<label>要素マークアップ検定
全日本<label>要素マークアップ検定全日本<label>要素マークアップ検定
全日本<label>要素マークアップ検定
 
Datadog による Container の監視について
Datadog による Container の監視についてDatadog による Container の監視について
Datadog による Container の監視について
 
5分でわかるクリーンアーキテクチャ
5分でわかるクリーンアーキテクチャ5分でわかるクリーンアーキテクチャ
5分でわかるクリーンアーキテクチャ
 
WebAssemblyのWeb以外のことぜんぶ話す
WebAssemblyのWeb以外のことぜんぶ話すWebAssemblyのWeb以外のことぜんぶ話す
WebAssemblyのWeb以外のことぜんぶ話す
 
Riderはいいぞ!
Riderはいいぞ!Riderはいいぞ!
Riderはいいぞ!
 
チームをワークさせるために 最も大事なコミュニケーション 意識していますか? - XP祭り2017
チームをワークさせるために 最も大事なコミュニケーション 意識していますか? - XP祭り2017チームをワークさせるために 最も大事なコミュニケーション 意識していますか? - XP祭り2017
チームをワークさせるために 最も大事なコミュニケーション 意識していますか? - XP祭り2017
 
No skk, no life.
No skk, no life.No skk, no life.
No skk, no life.
 
ゲームエンジニアのためのデータベース設計
ゲームエンジニアのためのデータベース設計ゲームエンジニアのためのデータベース設計
ゲームエンジニアのためのデータベース設計
 
DSPでgolangの屍を超えた話 (オレシカナイト Vol.2)
DSPでgolangの屍を超えた話 (オレシカナイト Vol.2)DSPでgolangの屍を超えた話 (オレシカナイト Vol.2)
DSPでgolangの屍を超えた話 (オレシカナイト Vol.2)
 
「実践ドメイン駆動設計」社内読書会まとめ ~IDDD本難民に捧げる1章から7章~
「実践ドメイン駆動設計」社内読書会まとめ ~IDDD本難民に捧げる1章から7章~「実践ドメイン駆動設計」社内読書会まとめ ~IDDD本難民に捧げる1章から7章~
「実践ドメイン駆動設計」社内読書会まとめ ~IDDD本難民に捧げる1章から7章~
 
backlogsでもCI/CDする夢を見る
backlogsでもCI/CDする夢を見るbacklogsでもCI/CDする夢を見る
backlogsでもCI/CDする夢を見る
 
JUCEではじめるVST/AUプラグイン開発@NoMaps2017
JUCEではじめるVST/AUプラグイン開発@NoMaps2017JUCEではじめるVST/AUプラグイン開発@NoMaps2017
JUCEではじめるVST/AUプラグイン開発@NoMaps2017
 
文脈を操る美しきZenjectプロジェクトからの眺め 〜Contextの扱い方と活用方法〜
文脈を操る美しきZenjectプロジェクトからの眺め 〜Contextの扱い方と活用方法〜文脈を操る美しきZenjectプロジェクトからの眺め 〜Contextの扱い方と活用方法〜
文脈を操る美しきZenjectプロジェクトからの眺め 〜Contextの扱い方と活用方法〜
 
シナリオテストについて考えてみる
シナリオテストについて考えてみるシナリオテストについて考えてみる
シナリオテストについて考えてみる
 
徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ
 

Viewers also liked

DevOpsとか言う前にAWSエンジニアに知ってほしいアプリケーションのこと
DevOpsとか言う前にAWSエンジニアに知ってほしいアプリケーションのことDevOpsとか言う前にAWSエンジニアに知ってほしいアプリケーションのこと
DevOpsとか言う前にAWSエンジニアに知ってほしいアプリケーションのこと
Terui Masashi
 
俺、Hardeningで何やったっけ? いや、沖縄で何やったっけ?
俺、Hardeningで何やったっけ? いや、沖縄で何やったっけ?俺、Hardeningで何やったっけ? いや、沖縄で何やったっけ?
俺、Hardeningで何やったっけ? いや、沖縄で何やったっけ?
Typhon 666
 
Security issue201312
Security issue201312Security issue201312
Security issue201312
Riotaro OKADA
 
アクセス解析システムの裏側 (公開用)
アクセス解析システムの裏側 (公開用)アクセス解析システムの裏側 (公開用)
アクセス解析システムの裏側 (公開用)
shunsuke Mikami
 

Viewers also liked (20)

今だからこそ振り返ろう!OWASP Top 10
今だからこそ振り返ろう!OWASP Top 10今だからこそ振り返ろう!OWASP Top 10
今だからこそ振り返ろう!OWASP Top 10
 
テストエンジニアと組織構造 @Cybozu
テストエンジニアと組織構造 @Cybozuテストエンジニアと組織構造 @Cybozu
テストエンジニアと組織構造 @Cybozu
 
サイバー考古学@ささみ 2017.2.20
サイバー考古学@ささみ 2017.2.20サイバー考古学@ささみ 2017.2.20
サイバー考古学@ささみ 2017.2.20
 
最近のストリーム処理事情振り返り
最近のストリーム処理事情振り返り最近のストリーム処理事情振り返り
最近のストリーム処理事情振り返り
 
DevOpsとか言う前にAWSエンジニアに知ってほしいアプリケーションのこと
DevOpsとか言う前にAWSエンジニアに知ってほしいアプリケーションのことDevOpsとか言う前にAWSエンジニアに知ってほしいアプリケーションのこと
DevOpsとか言う前にAWSエンジニアに知ってほしいアプリケーションのこと
 
サバフェス表彰式Lt+α
サバフェス表彰式Lt+αサバフェス表彰式Lt+α
サバフェス表彰式Lt+α
 
俺、Hardeningで何やったっけ? いや、沖縄で何やったっけ?
俺、Hardeningで何やったっけ? いや、沖縄で何やったっけ?俺、Hardeningで何やったっけ? いや、沖縄で何やったっけ?
俺、Hardeningで何やったっけ? いや、沖縄で何やったっけ?
 
Security issue201312
Security issue201312Security issue201312
Security issue201312
 
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
 
CakePHP Console Application 拡張Tips
CakePHP Console Application 拡張TipsCakePHP Console Application 拡張Tips
CakePHP Console Application 拡張Tips
 
実"戦"CakePHP Plugin
実"戦"CakePHP Plugin実"戦"CakePHP Plugin
実"戦"CakePHP Plugin
 
15分でCakePHPを始める方法(Nseg 2013-11-09 )
15分でCakePHPを始める方法(Nseg 2013-11-09 )15分でCakePHPを始める方法(Nseg 2013-11-09 )
15分でCakePHPを始める方法(Nseg 2013-11-09 )
 
ARPスプーフィングによる中間者攻撃
ARPスプーフィングによる中間者攻撃ARPスプーフィングによる中間者攻撃
ARPスプーフィングによる中間者攻撃
 
XML と PHP のイケナイ関係 (セキュリティ的な意味で) -Introduction of XXE attack and XML Bomb with...
XML と PHP のイケナイ関係 (セキュリティ的な意味で) -Introduction of XXE attack and XML Bomb with...XML と PHP のイケナイ関係 (セキュリティ的な意味で) -Introduction of XXE attack and XML Bomb with...
XML と PHP のイケナイ関係 (セキュリティ的な意味で) -Introduction of XXE attack and XML Bomb with...
 
8時間耐久CakePHP2 勉強会
8時間耐久CakePHP2 勉強会8時間耐久CakePHP2 勉強会
8時間耐久CakePHP2 勉強会
 
アクセス解析システムの裏側 (公開用)
アクセス解析システムの裏側 (公開用)アクセス解析システムの裏側 (公開用)
アクセス解析システムの裏側 (公開用)
 
ログ勉 Vol.1
ログ勉 Vol.1ログ勉 Vol.1
ログ勉 Vol.1
 
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
 
セキュリティとAI
 -最後にヘヴィメタルとAI-
セキュリティとAI
 -最後にヘヴィメタルとAI-セキュリティとAI
 -最後にヘヴィメタルとAI-
セキュリティとAI
 -最後にヘヴィメタルとAI-
 
8時間耐久PHPUnitの教室
8時間耐久PHPUnitの教室8時間耐久PHPUnitの教室
8時間耐久PHPUnitの教室
 

The concept of mini hardening

  • 1. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. The CONCEPT of MINI HARDENING Akira Sasayama/ Masahiro Tabata @ MINI Hardening Staff
  • 2. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. MINI Hardening とは • Hardening Project から派生したミニプロジェクト – 2014年 の Hardening 10 Evolutions イベントにおいて、   アンカンファレンスの成果として発足 • カジュアルにHardeningを体験 – MINI Hardeningでは半日程度でHardening競技や振り返り   まで体験できる • 過去の実績 – 6回競技を開催 142名参加(延べ人数)  
  • 3. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 競技の概要 • 11:00 競技説明 • 12:00 競技スタート • 15:30 競技終了 (休憩10分) • 15:40 (特別講義)Miraiボット解説 @mkobayashi • 16:20 MINI Softening (振り返り) • 16:50 模範解答、評価のフィードバック、表彰 • 17:20 撮影・片付け・撤収・移動 • 18:00 飲み会
  • 4. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 競技風景
  • 5. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. スタッフ紹介 俺たち5人合わせて「SORAMAME5!」
  • 6. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. CONCEPT for MINI Hardening セキュリティインシデントをカジュアルに体験 参加者にカジュアルを 環境をカジュアルに カジュアル : 気軽にくつろいだ感じ Staffもカジュアルに ・誰でも参加可能 ・チーム力で対応 ・訓練・胆力・現場力 ・実践力向上 ・目線を上げてもらう ・振り返り・気づき 想定参加者: 新人CSIRT担当者 ・基礎対応 ・沖縄の練習に ・肩慣らし ・どこでも開催可能 ・シナリオ通りの攻撃 ・クラウド活用 ・攻撃はシンプル ・テンプレ活用 ・リモートより参加 ・得意分野で貢献 ・自由な活動 ・強力なサポート
  • 7. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 具体的にどう体験してもらうか • 情報漏洩事故 • Anonymous(?)
  • 8. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 具体的にどう体験してもらうか • 報告書提出 • 社長の依頼• サーバダウン
  • 9. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 体験した結果 ・振り返っていただき自チームがどうすべきだったか、 他チームの意見を踏まえてどんなことが必要だったか 考えていただきます ・SORAMAME5側の攻撃内容・脆弱性に関するレポートも ・評価結果もレポート 何がよかったのか
  • 10. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 実はこんな楽しみも すべて WASForum や OWASP よりご提供いただいております。 この場をかりて、改めて御礼申し上げます。 • 優勝チームプレゼント • おやつ
  • 11. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 興味があれば是非応募ください 近々WASForumサイト上に MINI Hardening専用サイト を公開予定です。 まずはCONNPASS上でMINI Hardening Projectの メンバーになり通知を受け取れるようにしてください。 ◆CONNPASS https://minihardening.connpass.com/
  • 12. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 【閑話休題】競技の質問タイムの一コマ 参加者からのとある質問 「Linuxサーバはインターネットつながらないんですか?」 「アップデート用サーバは用意してないんですか?」   → 回答「そういう競技なんです。m(*- -*)m・スイマセーン」 過去の挑戦者たちの事例 初級→パッケージを探してきてパッチを当てた 中級→コンパイルした 上級→踏み台経由で無理やりアップデートした!!! (スパイク) そういうのが好きなんだよ。俺は。 (ジェット)難しいどころの話じゃない。そんなの無理だ!     バットも持たずに野球をやるようなもんだ。 『カウボーイビバップ  #SESSION9 「ジャミング・ウィズ・エドワード」』より引用 ※スタンドアロンになった軍事衛星をハッキングするため、直接ケーブルを  つなぐという無茶な作戦のやりとり 実際の方法は こちら参照
  • 13. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 最後にもう一度CONCEPT 「セキュリティインシデントをカジュアルに体験」   なぜこのコンセプトが重要か?
  • 14. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. マイルドな修羅場に身を投じよう! 死なない程度の修羅場こそが飛躍的な 成長を促すことが証明されている! 本家Hardening Project → 精神と時の部屋 MINI Hardening → カリン塔もしくはミスターポポの修行 「ストレッチな環境が人を育てる」 @及川卓也 (元Microsoft , 元google、現qiita プロダクトマネージャ ) http://www.slideshare.net/takoratta/civictechhack-code-for-japan-summit-2016
  • 15. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 今後の展開など ・2017年3,4回の実施を予定 ・東京以外の開催も検討中  - #1.3大阪開催@ロックオンの実績  - 「ぜひ長野でも開催を!」とすでに要望アリ 引き続き開催希望があればスタッフまで♪ ・AppSec EU @ベルファスト(アイルランド)で 競技コンセプト発表に申請中( @TSB_KZK) ・他のhardeing開催団体とコラボ or 対戦!
  • 16. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 以上、ご清聴ありがとうございました