4/21(土)に行われたHardening Zeroという全く新しいセキュリティイベントに参加し、三井物産セキュアディレクション賞をいただきました。
▼イベントの概要
ざっくり説明すると以下になります。
- 全8チームによるチーム対抗戦
- 1チームは2〜6人
- 競技時間は8時間
- 各チームはとあるECサイトの運営を委託される
- 委託されたECサイトにはたくさんの脆弱性がある
- 各チームは発見した脆弱性を必要に応じて修正する
- 運営側が仕込んだインシデントが不定期に発生する
- 競技終了後に4つの観点(売上、技術、顧客対応、インシデント対応)から採点される
参加者にはセキュリティ競技界隈では著名な方が多数いたらしく、軽くアウェー感を感じていたのは内緒です。
▼方針は「当たり前のことをやる」
このイベント自体が初めてであり、かつ僕らのチームのメンバーはセキュリティ競技に参加するのは全員初めてということで、競技対策というよりは普段当たり前にやってることをそのままやるという方針で挑みました。
▼メンバーと役割
僕らのチームは4名で参加し、以下のような役割で対応しました。
- @makoga とりまとめ
- @ajiyoshi プログラマ
- @masaki925 インフラエンジニア
- @Akiyah ECサイト管理者
各役割1人ずついれば何とかなるよねと思っていたのですが、思ったよりひどいサイトだったのでめっちゃ忙しかったですw
ただそのおかげ(?)で表彰式や懇親会では「4人であれだけ対応できたのはスゴイですね」と実行委員からお褒めの言葉をいただきました。:)
▼かんばんで情報共有
事前に決めてたわけではないのですが、当日@Akiyahが模造紙と付箋を持ってきてくれたので、会社で慣れ親しんだかんばんで円滑な情報共有ができました。
▼競技の結果
ちょっとミスって売上はいまいちでしたが、それ以外は良い結果を残せたと思います。
Sales: 511,728
Technical Merit: 1,700 1位
Technical Merit: 1,700 1位
Customer Impression: 2,100 1位
Incident Response: 2,200 2位
実は最初の途中結果発表では総合7位だったので午前中は少し焦ってました。まあ単なるイベントだしそんなに頑張らなくてもいいよねなんてことが頭をかすめましたが、メンバー全員が自ら考え、自ら動いたおかげで後半巻き返しができました。諦めたらそこで試合終了ですよね。
▼まとめ
Webサービスを堅牢にするためには、様々な視点と技術力が必要です。また、限られたリソースでどこから対応していくかのバランスをとることも重要です。
それらに対し自分たちがどのくらいできるのかを試してみるにはとても良いイベントと感じました。
秋くらいにはHardening Oneが開催されると聞いています。少しでも興味もたれた方がいれば、ぜひチャレンジして欲しいと思います。