「Hardening Projectから学ぶインシデント対応の勘所」ツイートまとめ

堂前@IIJ @IIJ_doumae

次のセッションは、サービスオペレーション本部 セキュリティ情報統括室 シニアエンジニア 根岸　征史より、「Hardening Projectから学ぶインシデント対応の勘所」★動画配信中→ bit.ly/iij_tw2015_live #iij_tw2015

堂前@IIJ @IIJ_doumae

Hardening ProjectはIIJのサービスではない。WASフォーラムが主催していて、IIJも協力している。私(根岸)も実行委員として参加している。実行委員の立場から紹介したい。★動画配信中→ bit.ly/iij_tw2015_live #iij_tw2015

堂前@IIJ @IIJ_doumae

自己紹介。IIJグループ内のインシデント対応を行うチーム(CSIRT)に所属している。IIJのCSIRTは2001年から活動している。私(根岸)はそれ以外に社外でも活動をしている。★動画配信中→ bit.ly/iij_tw2015_live #iij_tw2015

堂前@IIJ @IIJ_doumae

Hardening Project「実践的な堅牢か技術の価値を最大化する」守るということにフォーカスしたセキュリティ協議。参加者はチームを組んでインシデント対応を行う。2012年から開始。★動画配信中→ bit.ly/iij_tw2015_live #iij_tw2015

堂前@IIJ @IIJ_doumae

守る対象のシステムも進化している。技術だけでなく、チームマネジメントや顧客対応の技術なども含まれている。一昨年まではIIJの神保町オフィスで開催していた。昨年から沖縄で開催。ちょうど先週開催した★動画配信中→ bit.ly/iij_tw2015_live #iij_tw2015

堂前@IIJ @IIJ_doumae

今回の様子。1チーム10人。エンジニア以外にも顧客対応の人や学生もいた。当日会場に集合してStarBSDに構築した仮想のECショップを守る。8時間耐久。★動画配信中→ bit.ly/iij_tw2015_live #iij_tw2015

堂前@IIJ @IIJ_doumae

運営側がECサイトの運営を様々に妨害する。それを回避してどうやってECサイトを守り続けるかを競う。今年から「プロフェッショナルサポート」という仕組みを入れた。チーム外の専門家に支援を依頼できる。★動画配信中→ bit.ly/iij_tw2015_live #iij_tw2015

堂前@IIJ @IIJ_doumae

各チームは架空の会社の社員となる。社長は外に出ていて、社長と連絡を取りながら対応をするという設定。運営側が社長として状況把握したり、アドバイスしたりする。★動画配信中→ bit.ly/iij_tw2015_live #iij_tw2015

堂前@IIJ @IIJ_doumae

最終的にECサイトを守り続けて、より多い売り上げを上げた人が勝利。★動画配信中→ bit.ly/iij_tw2015_live #iij_tw2015

堂前@IIJ @IIJ_doumae

類似のイベントとしてCTFというのがあるが、CTFは仮想環境を防衛しつつ、相手の環境を攻撃する。相手を攻撃するのがメインの演習。 それ以外に官公庁系の演習や、重要インフラ事業者の演習などもある。★動画配信中→ bit.ly/iij_tw2015_live #iij_tw2015

堂前@IIJ @IIJ_doumae

Hardeningではチーム毎に競い合う「競技」という側面と、攻撃や妨害を防ぐという演習の側面がある。国内でオープンに参加できるこのようなイベントは少ない。★動画配信中→ bit.ly/iij_tw2015_live #iij_tw2015

堂前@IIJ @IIJ_doumae

単に競技を行うだけでは学びが少ない。1日目はHardening Dayとして8時間耐久競技を行う。2日目はSoftening Dayとして各チームがどのような対応を行ったか振り返る。学びの日。★動画配信中→ bit.ly/iij_tw2015_live #iij_tw2015

堂前@IIJ @IIJ_doumae

それ以外に、WASNight「共有の場」というのもを行っている。優秀な参加者に知見を共有してもらう。参加者以外にも知見を共有。★動画配信中→ bit.ly/iij_tw2015_live #iij_tw2015

堂前@IIJ @IIJ_doumae

MINI Hardening Project。参加者有志が立ち上げた初心者向けの競技イベント。時間は3時間と短縮版。今年はすでに4回開催している。同じようなイベントを参加者が企画したりも。★動画配信中→ bit.ly/iij_tw2015_live #iij_tw2015

堂前@IIJ @IIJ_doumae

MINI Hardening Projectを運営しているのは根岸の同僚。IIJとしてこちらのイベントも支援している。 ★動画配信中→ bit.ly/iij_tw2015_live #iij_tw2015

堂前@IIJ @IIJ_doumae

どのような気づきがあるのかの紹介。先週実施したH10VCの競技環境。30台弱のサーバで構成されたシステム。WebサーバやADなど企業にありがちなシステムを模倣したもの。★動画配信中→ bit.ly/iij_tw2015_live #iij_tw2015

堂前@IIJ @IIJ_doumae

各チームは何をするのか？ECサイトであり企業のWebサイトなので、安定稼働が第一。ECサイトの稼働による売り上げを最大化することも重要。パフォーマンスチューニングも必要。★動画配信中→ bit.ly/iij_tw2015_live #iij_tw2015

堂前@IIJ @IIJ_doumae

システムに存在する脆弱性を見つけて、パッチを当てたりの対応が必要。顧客情報を漏洩させないような対策も。外部のサービスを使うことも出来る。そしてお客様への対応も協議の一環として行う。 ★動画配信中→ bit.ly/iij_tw2015_live #iij_tw2015

堂前@IIJ @IIJ_doumae

情報が漏洩した、サイトが止まった。お詫びや告知などの対応もインシデント対応の一環。そういった対応力、ステークホルダーとのコミュニケーション能力。それらの対応を行うためのマネジメント能力を含む。★動画配信中→ bit.ly/iij_tw2015_live #iij_tw2015

堂前@IIJ @IIJ_doumae

運営側が演じている「社長」とのやりとりの例。チームによっては第一報から細かく報告していたりする。これを見るとマネジメントがうまく回っていることがわかる。実際このチームは優勝した。★動画配信中→ bit.ly/iij_tw2015_live #iij_tw2015

堂前@IIJ @IIJ_doumae

売り上げ推移のグラフ。インシデントが発生してもうまくリカバリすればお客様が戻ってきて売り上げが向上するというようになっている。★動画配信中→ bit.ly/iij_tw2015_live #iij_tw2015

堂前@IIJ @IIJ_doumae

今回は標的型攻撃もシナリオ取り入れた。外部から「不審な通信が発生している」という連絡が届く。実際にこのようなケースはある。それを模した。そもそもどこに連絡が来るか？というところから。★動画配信中→ bit.ly/iij_tw2015_live #iij_tw2015

堂前@IIJ @IIJ_doumae

外部との通信は何だ？と解析。標的型攻撃では感染したクライアントが外部と通信して情報を漏洩したり新たなマルウェアをダウンロードするようなコマンドを受け取る。それをどうやって検出するか。★動画配信中→ bit.ly/iij_tw2015_live #iij_tw2015

堂前@IIJ @IIJ_doumae

何をするか。緊急対策本部の立ち上げ、感染端末の特定、Firewallなどの調査、マルウェア倦怠の保全、調査などなど。自分たちで調査できなければ外部に依頼する。感染源の特定、被害範囲の調査。★動画配信中→ bit.ly/iij_tw2015_live #iij_tw2015