この記事は マイナビ Advent Calendar 2020 12月9日の記事です。

概要

2020年11月13日から14日にかけて開催されたHardening 2020 H3DXにチーム「おにぎりまみれ」のメンバーとして参加し、チームとしてグランプリ優勝を獲得しました。

H3DXとは？

Hardeningとはチームに託されたウェブサイト(例えばEコマースサイト)を、ビジネス目的をふまえ、降りかかるあらゆる障害や攻撃に対して、考えうる手だてを尽くしてセキュリティ対応を実施しつつ、ビジネス成果が最大化するよう調整する力を競う競技です。

規模の大きな大会が WASForum Hardening Project実行委員会の主催で年1回ペースで開催されており、今回はコロナ禍の影響で初めてのオンライン開催となりました。

参加のいきさつ

私はIT系のコンテストイベントに興味があり競技プログラミングやCTFなどに多く参加していました。会社でセキュリティマネジメント業務にも従事していることもあり、Micro Hardeningや328 Hardeningなど規模の小さいHardeningも何回か参加経験がありました。

9月中旬にH3DXの開催アナウンスが公開されたことを受けて、会社でセキュリティメンバーに声を掛けて同じチームとしてエントリーすることになりました。

本番まで

10月に無事参加が決定し、振り分けられたチームでの競技への準備が開始をしました。
準備から本番までは同じチームメンバーののみぞうさんのSoftning Dayでの発表が詳しいです。

https://www.youtube.com/watch?v=pz34w3_SJdo&t=2167s

競技当日 ～ Hardening Day

競技当日は技術部門のメンバーとして、ECサイトのサーバーの運用を担当しました。担当のサーバーのパスワード再設定やミドルウェアの設定確認などです。

業務でLinuxサーバーの運用は慣れているため事前の不安はありませんでした。しかし競技ではかなり苦労しました。システム規模が大きく多種のアプリケーションが稼働していたことと、普段使い慣れた運用ツールが利用できなかったことが原因です。今回のシステム環境は外部インターネットとは隔離され、環境へのアクセスもApache Guacamoleの利用に限定されていました。標準的なSSHクライアントやSaaSサービスは利用できませんでした。

技術担当としてできたことは以下の2点ほどです。

1. WEBサーバーが定期的に落ちる現象に対して、対処療法として1秒ごとにWEBサーバーをスタートするスクリプトを設置
2. 事前に設置されていたバックアップスクリプトの不備からデータバックアップファイルが外部流出したインシデントに対して、無効化と原因調査と影響範囲調査と報告

振り返り

今回のH3DXは私が初めて経験した大規模なHardening大会になります。「ビジネス成果を最大化」するためにはCEOを中心とした経営陣と技術部門・販売部門など現場の総合的なチーム力が必要となります。これは戦術的なセキュリティオペレーションが必要とされた小規模なHardningとはまったく性質が異なるものでした。

幸いにもチームメンバーの活躍で今回は優勝することができました。チームメンバーの皆様ありがとうございました。次回大会にもまた参加し今回の経験を生かしてより活躍できるよう頑張りたいと思います。

最後に素晴らしい大会を開いていただいた運営関係者の皆様、スポンサーの皆様に感謝いたします。