SlideShare une entreprise Scribd logo

The concept of mini hardening

M
Masahiro Tabata

2017/1/11 WASNight 2017 Kick-Off@六本木SuperDeluxeで発表した資料の公開版です。 ミニハードニングのコンセプトをまとめました。 キーワードは「カジュアル!」

Technologie
1  sur  16
Télécharger pour lire hors ligne
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. The CONCEPT of MINI HARDENING Akira Sasayama/ Masahiro Tabata @ MINI Hardening Staff
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. MINI Hardening とは • Hardening Project から派生したミニプロジェクト – 2014年 の Hardening 10 Evolutions イベントにおいて、   アンカンファレンスの成果として発足 • カジュアルにHardeningを体験 – MINI Hardeningでは半日程度でHardening競技や振り返り   まで体験できる • 過去の実績 – 6回競技を開催 142名参加(延べ人数)  
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 競技の概要 • 11:00 競技説明 • 12:00 競技スタート • 15:30 競技終了 (休憩10分) • 15:40 (特別講義)Miraiボット解説 @mkobayashi • 16:20 MINI Softening (振り返り) • 16:50 模範解答、評価のフィードバック、表彰 • 17:20 撮影・片付け・撤収・移動 • 18:00 飲み会
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 競技風景
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. スタッフ紹介 俺たち5人合わせて「SORAMAME5!」
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. CONCEPT for MINI Hardening セキュリティインシデントをカジュアルに体験 参加者にカジュアルを 環境をカジュアルに カジュアル : 気軽にくつろいだ感じ Staffもカジュアルに ・誰でも参加可能 ・チーム力で対応 ・訓練・胆力・現場力 ・実践力向上 ・目線を上げてもらう ・振り返り・気づき 想定参加者: 新人CSIRT担当者 ・基礎対応 ・沖縄の練習に ・肩慣らし ・どこでも開催可能 ・シナリオ通りの攻撃 ・クラウド活用 ・攻撃はシンプル ・テンプレ活用 ・リモートより参加 ・得意分野で貢献 ・自由な活動 ・強力なサポート
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 具体的にどう体験してもらうか • 情報漏洩事故 • Anonymous(?)
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 具体的にどう体験してもらうか • 報告書提出 • 社長の依頼• サーバダウン
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 体験した結果 ・振り返っていただき自チームがどうすべきだったか、 他チームの意見を踏まえてどんなことが必要だったか 考えていただきます ・SORAMAME5側の攻撃内容・脆弱性に関するレポートも ・評価結果もレポート 何がよかったのか
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 実はこんな楽しみも すべて WASForum や OWASP よりご提供いただいております。 この場をかりて、改めて御礼申し上げます。 • 優勝チームプレゼント • おやつ
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 興味があれば是非応募ください 近々WASForumサイト上に MINI Hardening専用サイト を公開予定です。 まずはCONNPASS上でMINI Hardening Projectの メンバーになり通知を受け取れるようにしてください。 ◆CONNPASS https://minihardening.connpass.com/
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 【閑話休題】競技の質問タイムの一コマ 参加者からのとある質問 「Linuxサーバはインターネットつながらないんですか?」 「アップデート用サーバは用意してないんですか?」   → 回答「そういう競技なんです。m(*- -*)m・スイマセーン」 過去の挑戦者たちの事例 初級→パッケージを探してきてパッチを当てた 中級→コンパイルした 上級→踏み台経由で無理やりアップデートした!!! (スパイク) そういうのが好きなんだよ。俺は。 (ジェット)難しいどころの話じゃない。そんなの無理だ!     バットも持たずに野球をやるようなもんだ。 『カウボーイビバップ  #SESSION9 「ジャミング・ウィズ・エドワード」』より引用 ※スタンドアロンになった軍事衛星をハッキングするため、直接ケーブルを  つなぐという無茶な作戦のやりとり 実際の方法は こちら参照
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 最後にもう一度CONCEPT 「セキュリティインシデントをカジュアルに体験」   なぜこのコンセプトが重要か?
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. マイルドな修羅場に身を投じよう! 死なない程度の修羅場こそが飛躍的な 成長を促すことが証明されている! 本家Hardening Project → 精神と時の部屋 MINI Hardening → カリン塔もしくはミスターポポの修行 「ストレッチな環境が人を育てる」 @及川卓也 (元Microsoft , 元google、現qiita プロダクトマネージャ ) http://www.slideshare.net/takoratta/civictechhack-code-for-japan-summit-2016
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 今後の展開など ・2017年3,4回の実施を予定 ・東京以外の開催も検討中  - #1.3大阪開催@ロックオンの実績  - 「ぜひ長野でも開催を!」とすでに要望アリ 引き続き開催希望があればスタッフまで♪ ・AppSec EU @ベルファスト(アイルランド)で 競技コンセプト発表に申請中( @TSB_KZK) ・他のhardeing開催団体とコラボ or 対戦!
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 以上、ご清聴ありがとうございました

Recommandé

Android向けUnity製ゲーム最適化のためのCI/CDと連携した自動プロファイリングシステム
Android向けUnity製ゲーム最適化のためのCI/CDと連携した自動プロファイリングシステムAndroid向けUnity製ゲーム最適化のためのCI/CDと連携した自動プロファイリングシステム
Android向けUnity製ゲーム最適化のためのCI/CDと連携した自動プロファイリングシステムKLab Inc. / Tech
 
Sum awsloft tko-iotloft-10-lt4-may-2020
Sum awsloft tko-iotloft-10-lt4-may-2020Sum awsloft tko-iotloft-10-lt4-may-2020
Sum awsloft tko-iotloft-10-lt4-may-2020Amazon Web Services Japan
 
Appium 2.0 ではじめるモバイルアプリテスト
Appium 2.0 ではじめるモバイルアプリテストAppium 2.0 ではじめるモバイルアプリテスト
Appium 2.0 ではじめるモバイルアプリテストMasayuki Wakizaka
 
LLM+LangChainで特許調査・分析に取り組んでみた
LLM+LangChainで特許調査・分析に取り組んでみたLLM+LangChainで特許調査・分析に取り組んでみた
LLM+LangChainで特許調査・分析に取り組んでみたKunihiroSugiyama1
 
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題Hiroshi Tokumaru
 
PWNの超入門 大和セキュリティ神戸 2018-03-25
PWNの超入門 大和セキュリティ神戸 2018-03-25PWNの超入門 大和セキュリティ神戸 2018-03-25
PWNの超入門 大和セキュリティ神戸 2018-03-25Isaac Mathis
 
Metasploitでペネトレーションテスト
MetasploitでペネトレーションテストMetasploitでペネトレーションテスト
Metasploitでペネトレーションテストsuper_a1ice
 
バグハンターの哀しみ
バグハンターの哀しみバグハンターの哀しみ
バグハンターの哀しみMasato Kinugawa
 

Recommandé

Android向けUnity製ゲーム最適化のためのCI/CDと連携した自動プロファイリングシステム
Android向けUnity製ゲーム最適化のためのCI/CDと連携した自動プロファイリングシステムAndroid向けUnity製ゲーム最適化のためのCI/CDと連携した自動プロファイリングシステム
Android向けUnity製ゲーム最適化のためのCI/CDと連携した自動プロファイリングシステムKLab Inc. / Tech
 
Sum awsloft tko-iotloft-10-lt4-may-2020
Sum awsloft tko-iotloft-10-lt4-may-2020Sum awsloft tko-iotloft-10-lt4-may-2020
Sum awsloft tko-iotloft-10-lt4-may-2020Amazon Web Services Japan
 
Appium 2.0 ではじめるモバイルアプリテスト
Appium 2.0 ではじめるモバイルアプリテストAppium 2.0 ではじめるモバイルアプリテスト
Appium 2.0 ではじめるモバイルアプリテストMasayuki Wakizaka
 
LLM+LangChainで特許調査・分析に取り組んでみた
LLM+LangChainで特許調査・分析に取り組んでみたLLM+LangChainで特許調査・分析に取り組んでみた
LLM+LangChainで特許調査・分析に取り組んでみたKunihiroSugiyama1
 
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題Hiroshi Tokumaru
 
PWNの超入門 大和セキュリティ神戸 2018-03-25
PWNの超入門 大和セキュリティ神戸 2018-03-25PWNの超入門 大和セキュリティ神戸 2018-03-25
PWNの超入門 大和セキュリティ神戸 2018-03-25Isaac Mathis
 
Metasploitでペネトレーションテスト
MetasploitでペネトレーションテストMetasploitでペネトレーションテスト
Metasploitでペネトレーションテストsuper_a1ice
 
バグハンターの哀しみ
バグハンターの哀しみバグハンターの哀しみ
バグハンターの哀しみMasato Kinugawa
 
ドキュメントを作りたくなってしまう魔法のツールSphinx
ドキュメントを作りたくなってしまう魔法のツールSphinxドキュメントを作りたくなってしまう魔法のツールSphinx
ドキュメントを作りたくなってしまう魔法のツールSphinxTakayuki Shimizukawa
 
AWSの共有責任モデル(shared responsibility model)
AWSの共有責任モデル(shared responsibility model)AWSの共有責任モデル(shared responsibility model)
AWSの共有責任モデル(shared responsibility model)Akio Katayama
 
Black Belt Online Seminar Amazon Cognito
Black Belt Online Seminar Amazon CognitoBlack Belt Online Seminar Amazon Cognito
Black Belt Online Seminar Amazon CognitoAmazon Web Services Japan
 
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点 PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点 zaki4649
 
flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!zaki4649
 
最近のやられアプリを試してみた
最近のやられアプリを試してみた最近のやられアプリを試してみた
最近のやられアプリを試してみたzaki4649
 
帰ってきた凄い謎マシン (ARMのDevice Tree話, 2015年6月 東海道らぐ浜松)
帰ってきた凄い謎マシン (ARMのDevice Tree話, 2015年6月 東海道らぐ浜松)帰ってきた凄い謎マシン (ARMのDevice Tree話, 2015年6月 東海道らぐ浜松)
帰ってきた凄い謎マシン (ARMのDevice Tree話, 2015年6月 東海道らぐ浜松)shimadah
 
セキュリティの都市伝説を暴く
セキュリティの都市伝説を暴くセキュリティの都市伝説を暴く
セキュリティの都市伝説を暴くHiroshi Tokumaru
 
XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
XSSフィルターを利用したXSS攻撃 by Masato KinugawaXSSフィルターを利用したXSS攻撃 by Masato Kinugawa
XSSフィルターを利用したXSS攻撃 by Masato KinugawaCODE BLUE
 
技術キャッチアップのための「頑張らない副業」という選択
技術キャッチアップのための「頑張らない副業」という選択技術キャッチアップのための「頑張らない副業」という選択
技術キャッチアップのための「頑張らない副業」という選択賢 秋穂
 
AirLab導入でテストコストの大幅削減と品質向上! 数十台の端末を一斉に全自動テストできる社内DeviceFarmについてご紹介
AirLab導入でテストコストの大幅削減と品質向上! 数十台の端末を一斉に全自動テストできる社内DeviceFarmについてご紹介AirLab導入でテストコストの大幅削減と品質向上! 数十台の端末を一斉に全自動テストできる社内DeviceFarmについてご紹介
AirLab導入でテストコストの大幅削減と品質向上! 数十台の端末を一斉に全自動テストできる社内DeviceFarmについてご紹介KLab Inc. / Tech
 
最近のBurp Suiteについて調べてみた
最近のBurp Suiteについて調べてみた最近のBurp Suiteについて調べてみた
最近のBurp Suiteについて調べてみたzaki4649
 
GoらしいAPIを求める旅路 (Go Conference 2018 Spring)
GoらしいAPIを求める旅路 (Go Conference 2018 Spring)GoらしいAPIを求める旅路 (Go Conference 2018 Spring)
GoらしいAPIを求める旅路 (Go Conference 2018 Spring)lestrrat
 
診断ツールの使い方(Owasp zapの場合)
診断ツールの使い方(Owasp zapの場合)診断ツールの使い方(Owasp zapの場合)
診断ツールの使い方(Owasp zapの場合)shingo inafuku
 
Docker Compose 徹底解説
Docker Compose 徹底解説Docker Compose 徹底解説
Docker Compose 徹底解説Masahito Zembutsu
 
「龍が如くスタジオ」のQAエンジニアリング技術を結集した全自動バグ取りシステム
「龍が如くスタジオ」のQAエンジニアリング技術を結集した全自動バグ取りシステム「龍が如くスタジオ」のQAエンジニアリング技術を結集した全自動バグ取りシステム
「龍が如くスタジオ」のQAエンジニアリング技術を結集した全自動バグ取りシステムSEGADevTech
 
Gui自動テストツール基本
Gui自動テストツール基本Gui自動テストツール基本
Gui自動テストツール基本Tsuyoshi Yumoto
 
初心者向けWebinar AWSで開発環境を構築しよう
初心者向けWebinar AWSで開発環境を構築しよう初心者向けWebinar AWSで開発環境を構築しよう
初心者向けWebinar AWSで開発環境を構築しようAmazon Web Services Japan
 
テスト自動化とアーキテクチャ
テスト自動化とアーキテクチャテスト自動化とアーキテクチャ
テスト自動化とアーキテクチャToru Koido
 
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方Hiroshi Tokumaru
 
今だからこそ振り返ろう!OWASP Top 10
今だからこそ振り返ろう!OWASP Top 10今だからこそ振り返ろう!OWASP Top 10
今だからこそ振り返ろう!OWASP Top 10Daiki Ichinose
 
テストエンジニアと組織構造 @Cybozu
テストエンジニアと組織構造 @Cybozuテストエンジニアと組織構造 @Cybozu
テストエンジニアと組織構造 @CybozuJumpei Miyata
 

Contenu connexe

Tendances

ドキュメントを作りたくなってしまう魔法のツールSphinx
ドキュメントを作りたくなってしまう魔法のツールSphinxドキュメントを作りたくなってしまう魔法のツールSphinx
ドキュメントを作りたくなってしまう魔法のツールSphinxTakayuki Shimizukawa
 
AWSの共有責任モデル(shared responsibility model)
AWSの共有責任モデル(shared responsibility model)AWSの共有責任モデル(shared responsibility model)
AWSの共有責任モデル(shared responsibility model)Akio Katayama
 
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点 PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点 zaki4649
 
flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!zaki4649
 
最近のやられアプリを試してみた
最近のやられアプリを試してみた最近のやられアプリを試してみた
最近のやられアプリを試してみたzaki4649
 
帰ってきた凄い謎マシン (ARMのDevice Tree話, 2015年6月 東海道らぐ浜松)
帰ってきた凄い謎マシン (ARMのDevice Tree話, 2015年6月 東海道らぐ浜松)帰ってきた凄い謎マシン (ARMのDevice Tree話, 2015年6月 東海道らぐ浜松)
帰ってきた凄い謎マシン (ARMのDevice Tree話, 2015年6月 東海道らぐ浜松)shimadah
 
セキュリティの都市伝説を暴く
セキュリティの都市伝説を暴くセキュリティの都市伝説を暴く
セキュリティの都市伝説を暴くHiroshi Tokumaru
 
XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
XSSフィルターを利用したXSS攻撃 by Masato KinugawaXSSフィルターを利用したXSS攻撃 by Masato Kinugawa
XSSフィルターを利用したXSS攻撃 by Masato KinugawaCODE BLUE
 
技術キャッチアップのための「頑張らない副業」という選択
技術キャッチアップのための「頑張らない副業」という選択技術キャッチアップのための「頑張らない副業」という選択
技術キャッチアップのための「頑張らない副業」という選択賢 秋穂
 
AirLab導入でテストコストの大幅削減と品質向上! 数十台の端末を一斉に全自動テストできる社内DeviceFarmについてご紹介
AirLab導入でテストコストの大幅削減と品質向上! 数十台の端末を一斉に全自動テストできる社内DeviceFarmについてご紹介AirLab導入でテストコストの大幅削減と品質向上! 数十台の端末を一斉に全自動テストできる社内DeviceFarmについてご紹介
AirLab導入でテストコストの大幅削減と品質向上! 数十台の端末を一斉に全自動テストできる社内DeviceFarmについてご紹介KLab Inc. / Tech
 
最近のBurp Suiteについて調べてみた
最近のBurp Suiteについて調べてみた最近のBurp Suiteについて調べてみた
最近のBurp Suiteについて調べてみたzaki4649
 
GoらしいAPIを求める旅路 (Go Conference 2018 Spring)
GoらしいAPIを求める旅路 (Go Conference 2018 Spring)GoらしいAPIを求める旅路 (Go Conference 2018 Spring)
GoらしいAPIを求める旅路 (Go Conference 2018 Spring)lestrrat
 
診断ツールの使い方(Owasp zapの場合)
診断ツールの使い方(Owasp zapの場合)診断ツールの使い方(Owasp zapの場合)
診断ツールの使い方(Owasp zapの場合)shingo inafuku
 
「龍が如くスタジオ」のQAエンジニアリング技術を結集した全自動バグ取りシステム
「龍が如くスタジオ」のQAエンジニアリング技術を結集した全自動バグ取りシステム「龍が如くスタジオ」のQAエンジニアリング技術を結集した全自動バグ取りシステム
「龍が如くスタジオ」のQAエンジニアリング技術を結集した全自動バグ取りシステムSEGADevTech
 
Gui自動テストツール基本
Gui自動テストツール基本Gui自動テストツール基本
Gui自動テストツール基本Tsuyoshi Yumoto
 
初心者向けWebinar AWSで開発環境を構築しよう
初心者向けWebinar AWSで開発環境を構築しよう初心者向けWebinar AWSで開発環境を構築しよう
初心者向けWebinar AWSで開発環境を構築しようAmazon Web Services Japan
 
テスト自動化とアーキテクチャ
テスト自動化とアーキテクチャテスト自動化とアーキテクチャ
テスト自動化とアーキテクチャToru Koido
 
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方Hiroshi Tokumaru
 

Tendances (20)

ドキュメントを作りたくなってしまう魔法のツールSphinx
ドキュメントを作りたくなってしまう魔法のツールSphinxドキュメントを作りたくなってしまう魔法のツールSphinx
ドキュメントを作りたくなってしまう魔法のツールSphinx
 
AWSの共有責任モデル(shared responsibility model)
AWSの共有責任モデル(shared responsibility model)AWSの共有責任モデル(shared responsibility model)
AWSの共有責任モデル(shared responsibility model)
 
Black Belt Online Seminar Amazon Cognito
Black Belt Online Seminar Amazon CognitoBlack Belt Online Seminar Amazon Cognito
Black Belt Online Seminar Amazon Cognito
 
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点 PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点
 
flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!
 
最近のやられアプリを試してみた
最近のやられアプリを試してみた最近のやられアプリを試してみた
最近のやられアプリを試してみた
 
帰ってきた凄い謎マシン (ARMのDevice Tree話, 2015年6月 東海道らぐ浜松)
帰ってきた凄い謎マシン (ARMのDevice Tree話, 2015年6月 東海道らぐ浜松)帰ってきた凄い謎マシン (ARMのDevice Tree話, 2015年6月 東海道らぐ浜松)
帰ってきた凄い謎マシン (ARMのDevice Tree話, 2015年6月 東海道らぐ浜松)
 
セキュリティの都市伝説を暴く
セキュリティの都市伝説を暴くセキュリティの都市伝説を暴く
セキュリティの都市伝説を暴く
 
XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
XSSフィルターを利用したXSS攻撃 by Masato KinugawaXSSフィルターを利用したXSS攻撃 by Masato Kinugawa
XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
 
技術キャッチアップのための「頑張らない副業」という選択
技術キャッチアップのための「頑張らない副業」という選択技術キャッチアップのための「頑張らない副業」という選択
技術キャッチアップのための「頑張らない副業」という選択
 
AirLab導入でテストコストの大幅削減と品質向上! 数十台の端末を一斉に全自動テストできる社内DeviceFarmについてご紹介
AirLab導入でテストコストの大幅削減と品質向上! 数十台の端末を一斉に全自動テストできる社内DeviceFarmについてご紹介AirLab導入でテストコストの大幅削減と品質向上! 数十台の端末を一斉に全自動テストできる社内DeviceFarmについてご紹介
AirLab導入でテストコストの大幅削減と品質向上! 数十台の端末を一斉に全自動テストできる社内DeviceFarmについてご紹介
 
最近のBurp Suiteについて調べてみた
最近のBurp Suiteについて調べてみた最近のBurp Suiteについて調べてみた
最近のBurp Suiteについて調べてみた
 
GoらしいAPIを求める旅路 (Go Conference 2018 Spring)
GoらしいAPIを求める旅路 (Go Conference 2018 Spring)GoらしいAPIを求める旅路 (Go Conference 2018 Spring)
GoらしいAPIを求める旅路 (Go Conference 2018 Spring)
 
診断ツールの使い方(Owasp zapの場合)
診断ツールの使い方(Owasp zapの場合)診断ツールの使い方(Owasp zapの場合)
診断ツールの使い方(Owasp zapの場合)
 
Docker Compose 徹底解説
Docker Compose 徹底解説Docker Compose 徹底解説
Docker Compose 徹底解説
 
「龍が如くスタジオ」のQAエンジニアリング技術を結集した全自動バグ取りシステム
「龍が如くスタジオ」のQAエンジニアリング技術を結集した全自動バグ取りシステム「龍が如くスタジオ」のQAエンジニアリング技術を結集した全自動バグ取りシステム
「龍が如くスタジオ」のQAエンジニアリング技術を結集した全自動バグ取りシステム
 
Gui自動テストツール基本
Gui自動テストツール基本Gui自動テストツール基本
Gui自動テストツール基本
 
初心者向けWebinar AWSで開発環境を構築しよう
初心者向けWebinar AWSで開発環境を構築しよう初心者向けWebinar AWSで開発環境を構築しよう
初心者向けWebinar AWSで開発環境を構築しよう
 
テスト自動化とアーキテクチャ
テスト自動化とアーキテクチャテスト自動化とアーキテクチャ
テスト自動化とアーキテクチャ
 
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
 

En vedette

今だからこそ振り返ろう!OWASP Top 10
今だからこそ振り返ろう!OWASP Top 10今だからこそ振り返ろう!OWASP Top 10
今だからこそ振り返ろう!OWASP Top 10Daiki Ichinose
 
テストエンジニアと組織構造 @Cybozu
テストエンジニアと組織構造 @Cybozuテストエンジニアと組織構造 @Cybozu
テストエンジニアと組織構造 @CybozuJumpei Miyata
 
サイバー考古学@ささみ 2017.2.20
サイバー考古学@ささみ 2017.2.20サイバー考古学@ささみ 2017.2.20
サイバー考古学@ささみ 2017.2.20Masahiro Tabata
 
最近のストリーム処理事情振り返り
最近のストリーム処理事情振り返り最近のストリーム処理事情振り返り
最近のストリーム処理事情振り返りSotaro Kimura
 
DevOpsとか言う前にAWSエンジニアに知ってほしいアプリケーションのこと
DevOpsとか言う前にAWSエンジニアに知ってほしいアプリケーションのことDevOpsとか言う前にAWSエンジニアに知ってほしいアプリケーションのこと
DevOpsとか言う前にAWSエンジニアに知ってほしいアプリケーションのことTerui Masashi
 
サバフェス表彰式Lt+α
サバフェス表彰式Lt+αサバフェス表彰式Lt+α
サバフェス表彰式Lt+αKen Gotoh
 
俺、Hardeningで何やったっけ? いや、沖縄で何やったっけ?
俺、Hardeningで何やったっけ? いや、沖縄で何やったっけ?俺、Hardeningで何やったっけ? いや、沖縄で何やったっけ?
俺、Hardeningで何やったっけ? いや、沖縄で何やったっけ?Typhon 666
 
Security issue201312
Security issue201312Security issue201312
Security issue201312Riotaro OKADA
 
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵Riotaro OKADA
 
CakePHP Console Application 拡張Tips
CakePHP Console Application 拡張TipsCakePHP Console Application 拡張Tips
CakePHP Console Application 拡張TipsKenichirou Oyama
 
15分でCakePHPを始める方法(Nseg 2013-11-09 )
15分でCakePHPを始める方法(Nseg 2013-11-09 )15分でCakePHPを始める方法(Nseg 2013-11-09 )
15分でCakePHPを始める方法(Nseg 2013-11-09 )hiro345
 
ARPスプーフィングによる中間者攻撃
ARPスプーフィングによる中間者攻撃ARPスプーフィングによる中間者攻撃
ARPスプーフィングによる中間者攻撃sonickun
 
XML と PHP のイケナイ関係 (セキュリティ的な意味で) -Introduction of XXE attack and XML Bomb with...
XML と PHP のイケナイ関係 (セキュリティ的な意味で) -Introduction of XXE attack and XML Bomb with...XML と PHP のイケナイ関係 (セキュリティ的な意味で) -Introduction of XXE attack and XML Bomb with...
XML と PHP のイケナイ関係 (セキュリティ的な意味で) -Introduction of XXE attack and XML Bomb with...Kousuke Ebihara
 
8時間耐久CakePHP2 勉強会
8時間耐久CakePHP2 勉強会8時間耐久CakePHP2 勉強会
8時間耐久CakePHP2 勉強会Yusuke Ando
 
アクセス解析システムの裏側 (公開用)
アクセス解析システムの裏側 (公開用)アクセス解析システムの裏側 (公開用)
アクセス解析システムの裏側 (公開用)shunsuke Mikami
 
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)Riotaro OKADA
 
セキュリティとAI
 -最後にヘヴィメタルとAI-
セキュリティとAI
 -最後にヘヴィメタルとAI-セキュリティとAI
 -最後にヘヴィメタルとAI-
セキュリティとAI
 -最後にヘヴィメタルとAI-Typhon 666
 
8時間耐久PHPUnitの教室
8時間耐久PHPUnitの教室8時間耐久PHPUnitの教室
8時間耐久PHPUnitの教室Yusuke Ando
 

En vedette (20)

今だからこそ振り返ろう!OWASP Top 10
今だからこそ振り返ろう!OWASP Top 10今だからこそ振り返ろう!OWASP Top 10
今だからこそ振り返ろう!OWASP Top 10
 
テストエンジニアと組織構造 @Cybozu
テストエンジニアと組織構造 @Cybozuテストエンジニアと組織構造 @Cybozu
テストエンジニアと組織構造 @Cybozu
 
サイバー考古学@ささみ 2017.2.20
サイバー考古学@ささみ 2017.2.20サイバー考古学@ささみ 2017.2.20
サイバー考古学@ささみ 2017.2.20
 
最近のストリーム処理事情振り返り
最近のストリーム処理事情振り返り最近のストリーム処理事情振り返り
最近のストリーム処理事情振り返り
 
DevOpsとか言う前にAWSエンジニアに知ってほしいアプリケーションのこと
DevOpsとか言う前にAWSエンジニアに知ってほしいアプリケーションのことDevOpsとか言う前にAWSエンジニアに知ってほしいアプリケーションのこと
DevOpsとか言う前にAWSエンジニアに知ってほしいアプリケーションのこと
 
サバフェス表彰式Lt+α
サバフェス表彰式Lt+αサバフェス表彰式Lt+α
サバフェス表彰式Lt+α
 
俺、Hardeningで何やったっけ? いや、沖縄で何やったっけ?
俺、Hardeningで何やったっけ? いや、沖縄で何やったっけ?俺、Hardeningで何やったっけ? いや、沖縄で何やったっけ?
俺、Hardeningで何やったっけ? いや、沖縄で何やったっけ?
 
Security issue201312
Security issue201312Security issue201312
Security issue201312
 
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
 
CakePHP Console Application 拡張Tips
CakePHP Console Application 拡張TipsCakePHP Console Application 拡張Tips
CakePHP Console Application 拡張Tips
 
実"戦"CakePHP Plugin
実"戦"CakePHP Plugin実"戦"CakePHP Plugin
実"戦"CakePHP Plugin
 
15分でCakePHPを始める方法(Nseg 2013-11-09 )
15分でCakePHPを始める方法(Nseg 2013-11-09 )15分でCakePHPを始める方法(Nseg 2013-11-09 )
15分でCakePHPを始める方法(Nseg 2013-11-09 )
 
ARPスプーフィングによる中間者攻撃
ARPスプーフィングによる中間者攻撃ARPスプーフィングによる中間者攻撃
ARPスプーフィングによる中間者攻撃
 
XML と PHP のイケナイ関係 (セキュリティ的な意味で) -Introduction of XXE attack and XML Bomb with...
XML と PHP のイケナイ関係 (セキュリティ的な意味で) -Introduction of XXE attack and XML Bomb with...XML と PHP のイケナイ関係 (セキュリティ的な意味で) -Introduction of XXE attack and XML Bomb with...
XML と PHP のイケナイ関係 (セキュリティ的な意味で) -Introduction of XXE attack and XML Bomb with...
 
8時間耐久CakePHP2 勉強会
8時間耐久CakePHP2 勉強会8時間耐久CakePHP2 勉強会
8時間耐久CakePHP2 勉強会
 
アクセス解析システムの裏側 (公開用)
アクセス解析システムの裏側 (公開用)アクセス解析システムの裏側 (公開用)
アクセス解析システムの裏側 (公開用)
 
ログ勉 Vol.1
ログ勉 Vol.1ログ勉 Vol.1
ログ勉 Vol.1
 
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
 
セキュリティとAI
 -最後にヘヴィメタルとAI-
セキュリティとAI
 -最後にヘヴィメタルとAI-セキュリティとAI
 -最後にヘヴィメタルとAI-
セキュリティとAI
 -最後にヘヴィメタルとAI-
 
8時間耐久PHPUnitの教室
8時間耐久PHPUnitの教室8時間耐久PHPUnitの教室
8時間耐久PHPUnitの教室
 

The concept of mini hardening

  • 1. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. The CONCEPT of MINI HARDENING Akira Sasayama/ Masahiro Tabata @ MINI Hardening Staff
  • 2. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. MINI Hardening とは • Hardening Project から派生したミニプロジェクト – 2014年 の Hardening 10 Evolutions イベントにおいて、   アンカンファレンスの成果として発足 • カジュアルにHardeningを体験 – MINI Hardeningでは半日程度でHardening競技や振り返り   まで体験できる • 過去の実績 – 6回競技を開催 142名参加(延べ人数)  
  • 3. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 競技の概要 • 11:00 競技説明 • 12:00 競技スタート • 15:30 競技終了 (休憩10分) • 15:40 (特別講義)Miraiボット解説 @mkobayashi • 16:20 MINI Softening (振り返り) • 16:50 模範解答、評価のフィードバック、表彰 • 17:20 撮影・片付け・撤収・移動 • 18:00 飲み会
  • 4. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 競技風景
  • 5. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. スタッフ紹介 俺たち5人合わせて「SORAMAME5!」
  • 6. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. CONCEPT for MINI Hardening セキュリティインシデントをカジュアルに体験 参加者にカジュアルを 環境をカジュアルに カジュアル : 気軽にくつろいだ感じ Staffもカジュアルに ・誰でも参加可能 ・チーム力で対応 ・訓練・胆力・現場力 ・実践力向上 ・目線を上げてもらう ・振り返り・気づき 想定参加者: 新人CSIRT担当者 ・基礎対応 ・沖縄の練習に ・肩慣らし ・どこでも開催可能 ・シナリオ通りの攻撃 ・クラウド活用 ・攻撃はシンプル ・テンプレ活用 ・リモートより参加 ・得意分野で貢献 ・自由な活動 ・強力なサポート
  • 7. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 具体的にどう体験してもらうか • 情報漏洩事故 • Anonymous(?)
  • 8. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 具体的にどう体験してもらうか • 報告書提出 • 社長の依頼• サーバダウン
  • 9. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 体験した結果 ・振り返っていただき自チームがどうすべきだったか、 他チームの意見を踏まえてどんなことが必要だったか 考えていただきます ・SORAMAME5側の攻撃内容・脆弱性に関するレポートも ・評価結果もレポート 何がよかったのか
  • 10. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 実はこんな楽しみも すべて WASForum や OWASP よりご提供いただいております。 この場をかりて、改めて御礼申し上げます。 • 優勝チームプレゼント • おやつ
  • 11. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 興味があれば是非応募ください 近々WASForumサイト上に MINI Hardening専用サイト を公開予定です。 まずはCONNPASS上でMINI Hardening Projectの メンバーになり通知を受け取れるようにしてください。 ◆CONNPASS https://minihardening.connpass.com/
  • 12. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 【閑話休題】競技の質問タイムの一コマ 参加者からのとある質問 「Linuxサーバはインターネットつながらないんですか?」 「アップデート用サーバは用意してないんですか?」   → 回答「そういう競技なんです。m(*- -*)m・スイマセーン」 過去の挑戦者たちの事例 初級→パッケージを探してきてパッチを当てた 中級→コンパイルした 上級→踏み台経由で無理やりアップデートした!!! (スパイク) そういうのが好きなんだよ。俺は。 (ジェット)難しいどころの話じゃない。そんなの無理だ!     バットも持たずに野球をやるようなもんだ。 『カウボーイビバップ  #SESSION9 「ジャミング・ウィズ・エドワード」』より引用 ※スタンドアロンになった軍事衛星をハッキングするため、直接ケーブルを  つなぐという無茶な作戦のやりとり 実際の方法は こちら参照
  • 13. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 最後にもう一度CONCEPT 「セキュリティインシデントをカジュアルに体験」   なぜこのコンセプトが重要か?
  • 14. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. マイルドな修羅場に身を投じよう! 死なない程度の修羅場こそが飛躍的な 成長を促すことが証明されている! 本家Hardening Project → 精神と時の部屋 MINI Hardening → カリン塔もしくはミスターポポの修行 「ストレッチな環境が人を育てる」 @及川卓也 (元Microsoft , 元google、現qiita プロダクトマネージャ ) http://www.slideshare.net/takoratta/civictechhack-code-for-japan-summit-2016
  • 15. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 今後の展開など ・2017年3,4回の実施を予定 ・東京以外の開催も検討中  - #1.3大阪開催@ロックオンの実績  - 「ぜひ長野でも開催を!」とすでに要望アリ 引き続き開催希望があればスタッフまで♪ ・AppSec EU @ベルファスト(アイルランド)で 競技コンセプト発表に申請中( @TSB_KZK) ・他のhardeing開催団体とコラボ or 対戦!
  • 16. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 以上、ご清聴ありがとうございました