The concept of mini hardening
- 1. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved.
The CONCEPT
of MINI
HARDENING
Akira Sasayama/ Masahiro Tabata
@ MINI Hardening Staff
- 2. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved.
MINI Hardening とは
• Hardening Project から派生したミニプロジェクト
– 2014年 の Hardening 10 Evolutions イベントにおいて、
アンカンファレンスの成果として発足
• カジュアルにHardeningを体験
– MINI Hardeningでは半日程度でHardening競技や振り返り
まで体験できる
• 過去の実績
– 6回競技を開催 142名参加(延べ人数)
- 3. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved.
競技の概要
• 11:00 競技説明
• 12:00 競技スタート
• 15:30 競技終了 (休憩10分)
• 15:40 (特別講義)Miraiボット解説 @mkobayashi
• 16:20 MINI Softening (振り返り)
• 16:50 模範解答、評価のフィードバック、表彰
• 17:20 撮影・片付け・撤収・移動
• 18:00 飲み会
- 6. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved.
CONCEPT for MINI Hardening
セキュリティインシデントをカジュアルに体験
参加者にカジュアルを 環境をカジュアルに
カジュアル : 気軽にくつろいだ感じ
Staffもカジュアルに
・誰でも参加可能
・チーム力で対応
・訓練・胆力・現場力
・実践力向上
・目線を上げてもらう
・振り返り・気づき
想定参加者:
新人CSIRT担当者
・基礎対応
・沖縄の練習に
・肩慣らし
・どこでも開催可能
・シナリオ通りの攻撃
・クラウド活用
・攻撃はシンプル
・テンプレ活用
・リモートより参加
・得意分野で貢献
・自由な活動
・強力なサポート
- 7. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved.
具体的にどう体験してもらうか
• 情報漏洩事故 • Anonymous(?)
- 8. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved.
具体的にどう体験してもらうか
• 報告書提出 • 社長の依頼• サーバダウン
- 9. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved.
体験した結果
・振り返っていただき自チームがどうすべきだったか、
他チームの意見を踏まえてどんなことが必要だったか
考えていただきます
・SORAMAME5側の攻撃内容・脆弱性に関するレポートも
・評価結果もレポート 何がよかったのか
- 10. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved.
実はこんな楽しみも
すべて WASForum や OWASP よりご提供いただいております。
この場をかりて、改めて御礼申し上げます。
• 優勝チームプレゼント • おやつ
- 11. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved.
興味があれば是非応募ください
近々WASForumサイト上に
MINI Hardening専用サイト
を公開予定です。
まずはCONNPASS上でMINI Hardening Projectの
メンバーになり通知を受け取れるようにしてください。
◆CONNPASS
https://minihardening.connpass.com/
- 12. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved.
【閑話休題】競技の質問タイムの一コマ
参加者からのとある質問
「Linuxサーバはインターネットつながらないんですか?」
「アップデート用サーバは用意してないんですか?」
→ 回答「そういう競技なんです。m(*- -*)m・スイマセーン」
過去の挑戦者たちの事例
初級→パッケージを探してきてパッチを当てた
中級→コンパイルした
上級→踏み台経由で無理やりアップデートした!!!
(スパイク) そういうのが好きなんだよ。俺は。
(ジェット)難しいどころの話じゃない。そんなの無理だ!
バットも持たずに野球をやるようなもんだ。
『カウボーイビバップ #SESSION9 「ジャミング・ウィズ・エドワード」』より引用
※スタンドアロンになった軍事衛星をハッキングするため、直接ケーブルを
つなぐという無茶な作戦のやりとり
実際の方法は
こちら参照
- 13. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved.
最後にもう一度CONCEPT
「セキュリティインシデントをカジュアルに体験」
なぜこのコンセプトが重要か?
- 14. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved.
マイルドな修羅場に身を投じよう!
死なない程度の修羅場こそが飛躍的な
成長を促すことが証明されている!
本家Hardening Project
→ 精神と時の部屋
MINI Hardening
→ カリン塔もしくはミスターポポの修行
「ストレッチな環境が人を育てる」 @及川卓也
(元Microsoft , 元google、現qiita プロダクトマネージャ )
http://www.slideshare.net/takoratta/civictechhack-code-for-japan-summit-2016
- 15. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved.
今後の展開など
・2017年3,4回の実施を予定
・東京以外の開催も検討中
- #1.3大阪開催@ロックオンの実績
- 「ぜひ長野でも開催を!」とすでに要望アリ
引き続き開催希望があればスタッフまで♪
・AppSec EU @ベルファスト(アイルランド)で
競技コンセプト発表に申請中( @TSB_KZK)
・他のhardeing開催団体とコラボ or 対戦!