MINI Hardening#3.5 @OWASP関西を開催してきた
開催報告
12/14 MINI Hardening#3.5@OWASP関西をパナソニックのワンダーラボさんで開催してきました!
minihardening.connpass.com
8月末、アジア最大のセキュリティカンファレンスHITCON CMTでMINI Hardeningを開催させていただき、若干燃え尽き気味でした。
(8月の台湾 HITCON CMTの様子はMBSDブログをご覧ください!)
MINI Hardening with HITCON イベントレポート | MBSD Blog
しかし!仮想通貨市場をシミュレーションしたバージョン3のフィナーレにふさわしい大会にしたい!という思いがあり、実は9月から準備を始めておりました。
MINI Hardeningとは
毎度おなじみですがMINI Hardeningの説明ですが
「カジュアルにセキュリティインシデントを体験!」をコンセプトにした競技形式のイベントです。
3,4名でチームを組み、ECサイトの管理者となって様々なサイバー攻撃やセキュリティインシデントから3時間サーバを守りぬく、というルールになっています。
詳しくお知りになりたい方は昔発表したコンセプト資料をご覧ください。
新要素×2はじめました
最後の大会にふさわしい盛り上がりにするため、あらたに2つのことに挑戦しました。
競技時間を3時間から5時間に延長
3時間では環境の把握だけでサーバの堅牢化する時間がない!という意見が過去のアンケートでも多くありました。
そこで実験として2時間延長すればやられて終わりじゃなくもっと対応できるのでは、と考え今回は5時間に決まりました。
オンライン開催
その場に行かないと参加できないMINI Hardeningだったので、オンライン開催はぜひとも実施したい施策でした。
幸いHardening競技に理解のあるメンバーのみなさんが全国にいたのでOWASPチャプターに声をかけることができました。
最終的に福島、仙台、名古屋、沖縄から参加していただきました。
これはもはや戦国時代!
そして直接参加依頼の連絡をくれた完全オンラインチームも参加が決まり、全国14チームの同時開催が実現しました。
パナソニックワンダーラボさん最高!
台湾HITCON CMT終了後、9月頭に次は地方開催だー!と意気込み大阪といえばOWASP関西の森田さんに相談したところ、超快諾いただきました!
しかも行きたかったパナソニック株式会社さんのワンダーラボでの開催が決まったのでした。
Wonder LAB Osaka - 技術・デザイン - 企業情報 - Panasonic
実際に行ってみたらまず街がすべてパナソニック!西三荘駅を降りると見渡す限りパナソニックのビル一色!
ワンダーラボはデザイン思考の基地のようなクリエイティブを刺激する素敵空間でした。
ここで仕事ができたら最高だろうな、って思うような充実した設備。
しかも運営をお手伝いしてくれたOWASP関西チーム 森田さん、松本さんたちをはじめメンバーのホスピタリティがすごい!
5時間の競技時間の間、スタッフは競技運営に専念することができました。
(画面はこのためにわざわざ作っていただいたコラボステッカー!)
ネット配信や可視化ツールも準備万端!
もともと競技環境はAWS上に構築しているためオンラインは問題ないのですが、競技風景やスコアボード、可視化ツールなどをどうしようかアイデアを出し合いました。
そこでやはり時代はyoutuberということでネット配信について明るい運営メンバーの松本さんにライブ中継をお願いしました。
あとでオンライン参加のみなさんに聞いたところ、配信は特に問題なかったよー、楽しめましたー、ということなので一安心でした。
そして噂の8vanaの初実戦投入もありました。
github.com
5時間の攻防で気が付いたとても大切なこと
競技時間を延ばしたことで私自身も驚いたことがありました。
MINI Hardeningは「インシデントをカジュアルに体験!」をコンセプトに競技運営をしています。
初めて自分がハッキングされた時にどう感じ、どう対応できるかあるいはできないか、ということを肌で感じてもらうことに価値があると思っていました。
しかし、競技時間を5時間にしたことによりサーバを攻撃された後にほとんどのチームが復旧までできていました。
これはインシデントを体験する以上に復旧できたことまでに自信をもって競技を終えることができたという証明でもあります。
参加された方は実感がないかもしれませんが、しっかりと最後まであきらめずに対応を行えていた、ということに自信をもってもらっていいと思います。(自分でやったらここまでできる気がしない(汗))
全国対決、栄冠は誰の手に?
5時間の競技の後、各チームの1番若いメンバーから振り返りのあと、お待ちかねのインシデント解説。 バージョン3の最後、ということですべてのインシデントに使用された脆弱性および対応方法が詳細に解説されました。 やはり参加者の関心も高くみなさん真剣に聞き入っていました。
最終的な順位は・・・総合優勝ではオンライン参加の平成特別枠チームになりました!
その場で表彰とはなりませんでしたが、おめでとうございます!
そして大阪会場のトップは総合4位のDチームにヒーローインタビューをしていただきました。
おやつタイムや懇親会も楽しみました。
競技中は頭を使う!ということで今回も本家HardeningProjectを運営しているWAS Forumさんからおやつとして「東京ばなな」をいただきました!
(OWASP福島でも東京ばななを食べていたらしい)
懇親会もパナソニックワンダーラボ内で開催し、参加者&スタッフで交流を深めることができました。
参加者の悔しさや充実した生の意見が聞けて本当に嬉しかったです。
そして、なんと併設キッチンで作り立てのタコスをいただくことができました。
これがめっちゃ美味しかった!
写真を撮り損ねたことだけが残念です。
バージョン3の完全終了のお知らせ、そして・・・
昨年9月に始まったMINIHardening バージョン3もフィニッシュです。
すべてを始まる前の世界に戻しました。
— マサ 12/14MINI Hardening@大阪Panasonicワンダーラボ (@delphinz) 2019年12月17日
さよならバージョン3競技環境。
私たちは前に進みます。#minihardening pic.twitter.com/2R8IXxBl5d
自分でも環境構築のコードを書き始め、3人から始まったスタッフも最終的に8人まで増えました。
技術書展のネタになったり、いつの間にやら台湾に行くことになったりと目まぐるしく状況が変化したものの充実した時間でした。
(このあたりの振り返りはどこかでまとめます)
そして、バージョン4への歩みもすでに始まっています。
興味ある人たちはぜひ運営の参加にも手を挙げていただきたいです。
いつでも門戸は開いていますのでお気軽にご連絡お待ちしております。
2020のスタートは沖縄から!
いよいよ2020年1月24日の本家Hardening Projectの開催も迫ってまいりました。
募集は終わっていますが、配信やtwitterで盛り上がりをチェックしよう!
