今年のHardeningが始動したようで、キックオフがあった。その中でMicro Hardening v2が開催されそこに参加したので参加レポート。
いつも通り取り掛かりが遅い。はい。

Micro Hardeningとは

Micro HardeningはHardeningのMicro版で、Hardening競技をコンパクトにしたものである。詳しくはこちらを参照。

同様のものにMINI Hardeningがあるが、MINIと違うのは、Microでは45分の競技を複数回繰り返すことである。繰り返しに際して、防御対象のサーバの設定や攻撃内容、攻撃タイミングは全て同じである。このため、1回目の反省を生かして2回目、2回目の反省を生かして3回目と挑戦でき、防御の質が高まっていくことが期待できる。

Micro Hardeningに参加して

今回は（も？）防御対象はネットショップのサービスであり、攻撃を防ぎつつ売り上げを上げていくことが目的であった。競技参加者は80人ほどで、4～6人で1チームとなり全部で18チームあった。私のチーム(Team3)は最終セットでは下から2番目という結果に終わった。

防御点は高い水準を維持していたにも関わらずスコアは低かった。これは、ブロックできなかった攻撃に重大なものがあったか、もしくはSLAを下げてしまったことが原因と考えられる。極端な話をすると、サーバをダウンさせてしまえば全ての攻撃を防ぐことが可能だが、それではサービスの継続ができないため本来の目的である売り上げが上がらなくなるという本末転倒に陥ってしまう。防御一辺倒ではダメだということである。

3セット目が2セット目よりスコアもSLAも低くなってしまっていたのは、攻撃を防ぐ目的である設定をしたところ、サービスに影響を与えてしまったことが原因と思われる。ここでも防御だけではダメだということがわかる。

競技に参加して感じたのは、サービスの健全性を監視するのは難しいということである。ネットショップのたった1つの商品のページに改ざんがあってもなかなか気づくことは難しい。健全性チェックのために何かしら監視プロセスを動かすのがいいのだろうけど、当日知ったネットショップの監視をするのは結構骨が折れる話である。

また、チームでやるというのは初めての体験で、一人でやるのとは違う難しさがあった。私のチームは事前に連絡を取って打ち合わせをしたりして、うまくやっていた方ではないかと思うが、当日作業に手間取っていたところをうまくカバーできなかったといった反省点はある。

振り返り会の開催

競技が終わった後、どういう攻撃があったんだろう？どう防御すればよかったんだろう？ということを確認したかったため、複数のチームから当日のログをもらって分析し、「ログから見る攻撃履歴」をテーマとして振り返り会を開催した。

攻撃内容についてはMicro Hardeningのネタバレになってしまうためここでは公開しないが、それ以外にいくつか知見が得られた。

一つは正常時の記録や作業記録としてスクリーンショットを取っておくべきということ。取っておいて困ることはないので事あるごとに取っておこう。

また、何かしらの処置を施したら、期待通りになっているか確認をすること。競技の際、サーバのアクセス制御をしていたのだが、実際にはちゃんとできていなかったという反省がある。あるチームではスキャンツールを使って攻撃の余地が残っていないか確認していた。実世界においては当然対策後にそれが正しく機能しているかチェックをするわけで、競技だからといって疎かにしてはいけないのである。

振り返り会を開催したことで、あそこはこうすればよかった、もっとやるべきことがあった、などの反省点が明らかになり、次はうまくやるぞという意識が強くなった。またやりたい。

まとめ

Micro Hardeningも楽しいものであった。振り返り会の開催により、またMicro Hardeningをやりたい欲が湧き、Hardening本選を経験したい欲がより強くなった。Hardening本選の申し込みは8/10までなので皆申し込もう。私もこれから申し込む。