4/21(土)に行われたHardening Zeroという全く新しいセキュリティイベントに参加し、三井物産セキュアディレクション賞をいただきました。
HardeningZero_MBSD賞



▼イベントの概要
ざっくり説明すると以下になります。
  • 全8チームによるチーム対抗戦
  • 1チームは2〜6人
  • 競技時間は8時間
  • 各チームはとあるECサイトの運営を委託される
  • 委託されたECサイトにはたくさんの脆弱性がある
  • 各チームは発見した脆弱性を必要に応じて修正する
  • 運営側が仕込んだインシデントが不定期に発生する
  • 競技終了後に4つの観点(売上、技術、顧客対応、インシデント対応)から採点される
参加者にはセキュリティ競技界隈では著名な方が多数いたらしく、軽くアウェー感を感じていたのは内緒です。


▼方針は「当たり前のことをやる」
このイベント自体が初めてであり、かつ僕らのチームのメンバーはセキュリティ競技に参加するのは全員初めてということで、競技対策というよりは普段当たり前にやってることをそのままやるという方針で挑みました。


▼メンバーと役割
僕らのチームは4名で参加し、以下のような役割で対応しました。
  • @makoga とりまとめ
  • @ajiyoshi プログラマ
  • @masaki925 インフラエンジニア
  • @Akiyah ECサイト管理者
各役割1人ずついれば何とかなるよねと思っていたのですが、思ったよりひどいサイトだったのでめっちゃ忙しかったですw
ただそのおかげ(?)で表彰式や懇親会では「4人であれだけ対応できたのはスゴイですね」と実行委員からお褒めの言葉をいただきました。:)


▼かんばんで情報共有
事前に決めてたわけではないのですが、当日@Akiyahが模造紙と付箋を持ってきてくれたので、会社で慣れ親しんだかんばんで円滑な情報共有ができました。
HardeningDay20120421

「チームで戦っている感じがすごく伝わってきました」や、「競技中に他のチームから見えるところに張り出すなんて斬新ですねw」など、他チームや実行委員からも好評でした。:D


▼競技の結果
ちょっとミスって売上はいまいちでしたが、それ以外は良い結果を残せたと思います。
Sales:                       511,728
Technical Merit:         1,700   1位
Customer Impression: 2,100   1位
Incident Response:     2,200   2位
HardeningZero_参加証明書

実は最初の途中結果発表では総合7位だったので午前中は少し焦ってました。まあ単なるイベントだしそんなに頑張らなくてもいいよねなんてことが頭をかすめましたが、メンバー全員が自ら考え、自ら動いたおかげで後半巻き返しができました。諦めたらそこで試合終了ですよね。


▼まとめ
Webサービスを堅牢にするためには、様々な視点と技術力が必要です。また、限られたリソースでどこから対応していくかのバランスをとることも重要です。
それらに対し自分たちがどのくらいできるのかを試してみるにはとても良いイベントと感じました。
秋くらいにはHardening Oneが開催されると聞いています。少しでも興味もたれた方がいれば、ぜひチャレンジして欲しいと思います。