概要

先日 GMO 様主催の DevSecOpsThon 2023 に参加したので、大まかな流れと参加した感想について残しておきたいと思います。問題の解説については筆者の技術力によりあまり解説はしていないのですが、他の参加者様も記事を書かれているのでそちらを参照いただければと思います。

DevSecOpsThon とは

DevOps については皆様お聞きしたことがあるのではないのでしょうか。DevOps とは開発担当と運用担当が密接に連携・協力し合い、スムーズかつスピーディーに開発し運用するという考え方です。CI/CD、クラウドなどを用いて効率よく開発を行っていきます。

そしてこれを拡張した、手法やツールを使う際にセキュリティに配慮するという DevSecOps という考え方があり、DevSecOpsThon はまさにこの DevSecOps、つまり完全性や可用性を脅かす攻撃や過失に関する問題をマラソンのように何度も解いていってインフラエンジニアの体験をするということがコンセプトになっています。

イベントの流れ

イベントは２日間に分けて行われて、ほとんどの時間は課題に取り組んでおりました。難易度は、インフラの運用経験がないと難しく感じるような問題が多かったです。実際に自宅サーバーを持っていたり、実際の業務などに携わっている人は非常に戦力となっておりました。
他には GMO 様に関しての会社説明会であったり、小倉の就職についての紹介があったりと課題を解く時間以外も非常に勉強になりました。

イベント以外ですと、宿泊は近くの TangaTable と言うホステルで止まりました。筆者は他の宿泊者と同じ部屋に泊まるドミトリー式の部屋だったのですが、中は本当に綺麗で、一定のプライバシーも保たれたので、相部屋とは言っても全く苦にはなりませんでした。

また、イベントが始まる前に小倉周辺を周ってきたのですが、小倉城周辺で買い物や公園で休んだりすることができて非常に楽しかったです。北九州に足を運んでみることをお勧めします！（宣伝）

出題内容

全部で 10問出題され、以下のような問題が出題されました。

• ウェブサイトが正しく表示されません。原因を究明して改善してください。
• ブルートフォース攻撃がされています。攻撃元を特定してこの通信を防いでください。（正規のユーザの通信は維持してください）
• 元々のサーバーの wordpress とデータベースの環境を別のサーバーに移行してください。

全ての課題を終えてから各チームがそれぞれ学んだことと、それを受けて今後頑張りたいことを発表しました。上で記述したように運用経験がないと解くことが難しい問題が何問かございました。

感想

３日間本当に楽しくてあっという間に時間が過ぎてしまいました。
筆者はあまりインフラに関する経験が少なかったので、分からないことも多かったのですが、チームメンバーのおかげでさらに理解を深めることができました。今まではアプリケーションやソフトウェア単体での実装や使用は多かったのですが全てを一貫してやったことが少なかったため自分の技術が足りないと感じたところがありました。それで今後は自分で一からサーバーを立ててみること、そしてそれに模擬的に攻撃を仕掛けることで防御側の知識を身につけることを目標にしています。

興味のある方はぜひ参加することをお勧めいたします。改めましてここに運営の方々とチームの方々に感謝を表します。