SlideShare ist ein Scribd-Unternehmen logo

The concept of mini hardening

M
Masahiro Tabata

2017/1/11 WASNight 2017 Kick-Off@六本木SuperDeluxeで発表した資料の公開版です。 ミニハードニングのコンセプトをまとめました。 キーワードは「カジュアル!」

Technologie
1 von 16
Downloaden Sie, um offline zu lesen
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. The CONCEPT of MINI HARDENING Akira Sasayama/ Masahiro Tabata @ MINI Hardening Staff
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. MINI Hardening とは • Hardening Project から派生したミニプロジェクト – 2014年 の Hardening 10 Evolutions イベントにおいて、   アンカンファレンスの成果として発足 • カジュアルにHardeningを体験 – MINI Hardeningでは半日程度でHardening競技や振り返り   まで体験できる • 過去の実績 – 6回競技を開催 142名参加(延べ人数)  
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 競技の概要 • 11:00 競技説明 • 12:00 競技スタート • 15:30 競技終了 (休憩10分) • 15:40 (特別講義)Miraiボット解説 @mkobayashi • 16:20 MINI Softening (振り返り) • 16:50 模範解答、評価のフィードバック、表彰 • 17:20 撮影・片付け・撤収・移動 • 18:00 飲み会
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 競技風景
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. スタッフ紹介 俺たち5人合わせて「SORAMAME5!」
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. CONCEPT for MINI Hardening セキュリティインシデントをカジュアルに体験 参加者にカジュアルを 環境をカジュアルに カジュアル : 気軽にくつろいだ感じ Staffもカジュアルに ・誰でも参加可能 ・チーム力で対応 ・訓練・胆力・現場力 ・実践力向上 ・目線を上げてもらう ・振り返り・気づき 想定参加者: 新人CSIRT担当者 ・基礎対応 ・沖縄の練習に ・肩慣らし ・どこでも開催可能 ・シナリオ通りの攻撃 ・クラウド活用 ・攻撃はシンプル ・テンプレ活用 ・リモートより参加 ・得意分野で貢献 ・自由な活動 ・強力なサポート
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 具体的にどう体験してもらうか • 情報漏洩事故 • Anonymous(?)
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 具体的にどう体験してもらうか • 報告書提出 • 社長の依頼• サーバダウン
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 体験した結果 ・振り返っていただき自チームがどうすべきだったか、 他チームの意見を踏まえてどんなことが必要だったか 考えていただきます ・SORAMAME5側の攻撃内容・脆弱性に関するレポートも ・評価結果もレポート 何がよかったのか
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 実はこんな楽しみも すべて WASForum や OWASP よりご提供いただいております。 この場をかりて、改めて御礼申し上げます。 • 優勝チームプレゼント • おやつ
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 興味があれば是非応募ください 近々WASForumサイト上に MINI Hardening専用サイト を公開予定です。 まずはCONNPASS上でMINI Hardening Projectの メンバーになり通知を受け取れるようにしてください。 ◆CONNPASS https://minihardening.connpass.com/
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 【閑話休題】競技の質問タイムの一コマ 参加者からのとある質問 「Linuxサーバはインターネットつながらないんですか?」 「アップデート用サーバは用意してないんですか?」   → 回答「そういう競技なんです。m(*- -*)m・スイマセーン」 過去の挑戦者たちの事例 初級→パッケージを探してきてパッチを当てた 中級→コンパイルした 上級→踏み台経由で無理やりアップデートした!!! (スパイク) そういうのが好きなんだよ。俺は。 (ジェット)難しいどころの話じゃない。そんなの無理だ!     バットも持たずに野球をやるようなもんだ。 『カウボーイビバップ  #SESSION9 「ジャミング・ウィズ・エドワード」』より引用 ※スタンドアロンになった軍事衛星をハッキングするため、直接ケーブルを  つなぐという無茶な作戦のやりとり 実際の方法は こちら参照
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 最後にもう一度CONCEPT 「セキュリティインシデントをカジュアルに体験」   なぜこのコンセプトが重要か?
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. マイルドな修羅場に身を投じよう! 死なない程度の修羅場こそが飛躍的な 成長を促すことが証明されている! 本家Hardening Project → 精神と時の部屋 MINI Hardening → カリン塔もしくはミスターポポの修行 「ストレッチな環境が人を育てる」 @及川卓也 (元Microsoft , 元google、現qiita プロダクトマネージャ ) http://www.slideshare.net/takoratta/civictechhack-code-for-japan-summit-2016
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 今後の展開など ・2017年3,4回の実施を予定 ・東京以外の開催も検討中  - #1.3大阪開催@ロックオンの実績  - 「ぜひ長野でも開催を!」とすでに要望アリ 引き続き開催希望があればスタッフまで♪ ・AppSec EU @ベルファスト(アイルランド)で 競技コンセプト発表に申請中( @TSB_KZK) ・他のhardeing開催団体とコラボ or 対戦!
Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 以上、ご清聴ありがとうございました

Empfohlen

Re: ゼロから始める監視設計
Re: ゼロから始める監視設計Re: ゼロから始める監視設計
Re: ゼロから始める監視設計
Masahito Zembutsu
 
脆弱性管理の自動化への取り組み
脆弱性管理の自動化への取り組み脆弱性管理の自動化への取り組み
脆弱性管理の自動化への取り組み
Takuya Tezuka
 
kintoneの開発プロセスとプロジェクト管理ツール
kintoneの開発プロセスとプロジェクト管理ツールkintoneの開発プロセスとプロジェクト管理ツール
kintoneの開発プロセスとプロジェクト管理ツール
Yuki Okada
 
Hinemosミッションクリティカル機能アーキテクチャとその信頼性
Hinemosミッションクリティカル機能アーキテクチャとその信頼性Hinemosミッションクリティカル機能アーキテクチャとその信頼性
Hinemosミッションクリティカル機能アーキテクチャとその信頼性
Hinemos
 
20200708サーバーレスでのAPI管理の考え方
20200708サーバーレスでのAPI管理の考え方20200708サーバーレスでのAPI管理の考え方
20200708サーバーレスでのAPI管理の考え方
Amazon Web Services Japan
 
実環境にTerraform導入したら驚いた
実環境にTerraform導入したら驚いた実環境にTerraform導入したら驚いた
実環境にTerraform導入したら驚いた
Akihiro Kuwano
 
Istioサービスメッシュ入門
Istioサービスメッシュ入門Istioサービスメッシュ入門
Istioサービスメッシュ入門
Yoichi Kawasaki
 
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
NTT DATA Technology & Innovation
 

Empfohlen

Re: ゼロから始める監視設計
Re: ゼロから始める監視設計Re: ゼロから始める監視設計
Re: ゼロから始める監視設計
Masahito Zembutsu
 
脆弱性管理の自動化への取り組み
脆弱性管理の自動化への取り組み脆弱性管理の自動化への取り組み
脆弱性管理の自動化への取り組み
Takuya Tezuka
 
kintoneの開発プロセスとプロジェクト管理ツール
kintoneの開発プロセスとプロジェクト管理ツールkintoneの開発プロセスとプロジェクト管理ツール
kintoneの開発プロセスとプロジェクト管理ツール
Yuki Okada
 
Hinemosミッションクリティカル機能アーキテクチャとその信頼性
Hinemosミッションクリティカル機能アーキテクチャとその信頼性Hinemosミッションクリティカル機能アーキテクチャとその信頼性
Hinemosミッションクリティカル機能アーキテクチャとその信頼性
Hinemos
 
20200708サーバーレスでのAPI管理の考え方
20200708サーバーレスでのAPI管理の考え方20200708サーバーレスでのAPI管理の考え方
20200708サーバーレスでのAPI管理の考え方
Amazon Web Services Japan
 
実環境にTerraform導入したら驚いた
実環境にTerraform導入したら驚いた実環境にTerraform導入したら驚いた
実環境にTerraform導入したら驚いた
Akihiro Kuwano
 
Istioサービスメッシュ入門
Istioサービスメッシュ入門Istioサービスメッシュ入門
Istioサービスメッシュ入門
Yoichi Kawasaki
 
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
NTT DATA Technology & Innovation
 
Amazon SageMaker で始める機械学習
Amazon SageMaker で始める機械学習Amazon SageMaker で始める機械学習
Amazon SageMaker で始める機械学習
Amazon Web Services Japan
 
マイクロサービス化デザインパターン - #AWSDevDay Tokyo 2018
マイクロサービス化デザインパターン - #AWSDevDay Tokyo 2018マイクロサービス化デザインパターン - #AWSDevDay Tokyo 2018
マイクロサービス化デザインパターン - #AWSDevDay Tokyo 2018
Yusuke Suzuki
 
AWS における サーバーレスの基礎からチューニングまで
AWS における サーバーレスの基礎からチューニングまでAWS における サーバーレスの基礎からチューニングまで
AWS における サーバーレスの基礎からチューニングまで
崇之 清水
 
ニワトリでもわかるECS入門
ニワトリでもわかるECS入門ニワトリでもわかるECS入門
ニワトリでもわかるECS入門
Yoshiki Kobayashi
 
Swagger ではない OpenAPI Specification 3.0 による API サーバー開発
Swagger ではない OpenAPI Specification 3.0 による API サーバー開発Swagger ではない OpenAPI Specification 3.0 による API サーバー開発
Swagger ではない OpenAPI Specification 3.0 による API サーバー開発
Yahoo!デベロッパーネットワーク
 
DevOps with Database on AWS
DevOps with Database on AWSDevOps with Database on AWS
DevOps with Database on AWS
Amazon Web Services Japan
 
Keycloak入門
Keycloak入門Keycloak入門
Keycloak入門
Hiroyuki Wada
 
OAuth 2.0 Web Messaging Response Mode - OpenID Summit Tokyo 2015
OAuth 2.0 Web Messaging Response Mode - OpenID Summit Tokyo 2015OAuth 2.0 Web Messaging Response Mode - OpenID Summit Tokyo 2015
OAuth 2.0 Web Messaging Response Mode - OpenID Summit Tokyo 2015
Toru Yamaguchi
 
Spring Boot の Web アプリケーションを Docker に載せて AWS ECS で動かしている話
Spring Boot の Web アプリケーションを Docker に載せて AWS ECS で動かしている話Spring Boot の Web アプリケーションを Docker に載せて AWS ECS で動かしている話
Spring Boot の Web アプリケーションを Docker に載せて AWS ECS で動かしている話
JustSystems Corporation
 
SpringBootTest入門
SpringBootTest入門SpringBootTest入門
SpringBootTest入門
Yahoo!デベロッパーネットワーク
 
なぜ「マイクロサービス“化”」が必要なのか
なぜ「マイクロサービス“化”」が必要なのかなぜ「マイクロサービス“化”」が必要なのか
なぜ「マイクロサービス“化”」が必要なのか
Yusuke Suzuki
 
NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話
Hitachi, Ltd. OSS Solution Center.
 
GoとDDDでモバイルオーダープラットフォームを 型安全に作り直した話
GoとDDDでモバイルオーダープラットフォームを 型安全に作り直した話GoとDDDでモバイルオーダープラットフォームを 型安全に作り直した話
GoとDDDでモバイルオーダープラットフォームを 型安全に作り直した話
Takuya Kikuchi
 
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
Riotaro OKADA
 
Verrazzanoご紹介
Verrazzanoご紹介Verrazzanoご紹介
Verrazzanoご紹介
オラクルエンジニア通信
 
Consumer Driven Contractsで REST API/マイクロサービスをテスト #m3tech
Consumer Driven Contractsで REST API/マイクロサービスをテスト #m3techConsumer Driven Contractsで REST API/マイクロサービスをテスト #m3tech
Consumer Driven Contractsで REST API/マイクロサービスをテスト #m3tech
Toshiaki Maki
 
AWSにおけるバッチ処理の ベストプラクティス - Developers.IO Meetup 05
AWSにおけるバッチ処理の ベストプラクティス - Developers.IO Meetup 05AWSにおけるバッチ処理の ベストプラクティス - Developers.IO Meetup 05
AWSにおけるバッチ処理の ベストプラクティス - Developers.IO Meetup 05
都元ダイスケ Miyamoto
 
AWSメンテナンス ElastiCache編
AWSメンテナンス ElastiCache編AWSメンテナンス ElastiCache編
AWSメンテナンス ElastiCache編
Serverworks Co.,Ltd.
 
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのことマルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのこと
Amazon Web Services Japan
 
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するKeycloakでAPI認可に入門する
KeycloakでAPI認可に入門する
Hitachi, Ltd. OSS Solution Center.
 
今だからこそ振り返ろう!OWASP Top 10
今だからこそ振り返ろう!OWASP Top 10今だからこそ振り返ろう!OWASP Top 10
今だからこそ振り返ろう!OWASP Top 10
Daiki Ichinose
 
テストエンジニアと組織構造 @Cybozu
テストエンジニアと組織構造 @Cybozuテストエンジニアと組織構造 @Cybozu
テストエンジニアと組織構造 @Cybozu
Jumpei Miyata
 

Weitere ähnliche Inhalte

Was ist angesagt?

「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
Riotaro OKADA
 
Consumer Driven Contractsで REST API/マイクロサービスをテスト #m3tech
Consumer Driven Contractsで REST API/マイクロサービスをテスト #m3techConsumer Driven Contractsで REST API/マイクロサービスをテスト #m3tech
Consumer Driven Contractsで REST API/マイクロサービスをテスト #m3tech
Toshiaki Maki
 
AWSにおけるバッチ処理の ベストプラクティス - Developers.IO Meetup 05
AWSにおけるバッチ処理の ベストプラクティス - Developers.IO Meetup 05AWSにおけるバッチ処理の ベストプラクティス - Developers.IO Meetup 05
AWSにおけるバッチ処理の ベストプラクティス - Developers.IO Meetup 05
都元ダイスケ Miyamoto
 

Was ist angesagt? (20)

Amazon SageMaker で始める機械学習
Amazon SageMaker で始める機械学習Amazon SageMaker で始める機械学習
Amazon SageMaker で始める機械学習
 
マイクロサービス化デザインパターン - #AWSDevDay Tokyo 2018
マイクロサービス化デザインパターン - #AWSDevDay Tokyo 2018マイクロサービス化デザインパターン - #AWSDevDay Tokyo 2018
マイクロサービス化デザインパターン - #AWSDevDay Tokyo 2018
 
AWS における サーバーレスの基礎からチューニングまで
AWS における サーバーレスの基礎からチューニングまでAWS における サーバーレスの基礎からチューニングまで
AWS における サーバーレスの基礎からチューニングまで
 
ニワトリでもわかるECS入門
ニワトリでもわかるECS入門ニワトリでもわかるECS入門
ニワトリでもわかるECS入門
 
Swagger ではない OpenAPI Specification 3.0 による API サーバー開発
Swagger ではない OpenAPI Specification 3.0 による API サーバー開発Swagger ではない OpenAPI Specification 3.0 による API サーバー開発
Swagger ではない OpenAPI Specification 3.0 による API サーバー開発
 
DevOps with Database on AWS
DevOps with Database on AWSDevOps with Database on AWS
DevOps with Database on AWS
 
Keycloak入門
Keycloak入門Keycloak入門
Keycloak入門
 
OAuth 2.0 Web Messaging Response Mode - OpenID Summit Tokyo 2015
OAuth 2.0 Web Messaging Response Mode - OpenID Summit Tokyo 2015OAuth 2.0 Web Messaging Response Mode - OpenID Summit Tokyo 2015
OAuth 2.0 Web Messaging Response Mode - OpenID Summit Tokyo 2015
 
Spring Boot の Web アプリケーションを Docker に載せて AWS ECS で動かしている話
Spring Boot の Web アプリケーションを Docker に載せて AWS ECS で動かしている話Spring Boot の Web アプリケーションを Docker に載せて AWS ECS で動かしている話
Spring Boot の Web アプリケーションを Docker に載せて AWS ECS で動かしている話
 
SpringBootTest入門
SpringBootTest入門SpringBootTest入門
SpringBootTest入門
 
なぜ「マイクロサービス“化”」が必要なのか
なぜ「マイクロサービス“化”」が必要なのかなぜ「マイクロサービス“化”」が必要なのか
なぜ「マイクロサービス“化”」が必要なのか
 
NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話
 
GoとDDDでモバイルオーダープラットフォームを 型安全に作り直した話
GoとDDDでモバイルオーダープラットフォームを 型安全に作り直した話GoとDDDでモバイルオーダープラットフォームを 型安全に作り直した話
GoとDDDでモバイルオーダープラットフォームを 型安全に作り直した話
 
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
 
Verrazzanoご紹介
Verrazzanoご紹介Verrazzanoご紹介
Verrazzanoご紹介
 
Consumer Driven Contractsで REST API/マイクロサービスをテスト #m3tech
Consumer Driven Contractsで REST API/マイクロサービスをテスト #m3techConsumer Driven Contractsで REST API/マイクロサービスをテスト #m3tech
Consumer Driven Contractsで REST API/マイクロサービスをテスト #m3tech
 
AWSにおけるバッチ処理の ベストプラクティス - Developers.IO Meetup 05
AWSにおけるバッチ処理の ベストプラクティス - Developers.IO Meetup 05AWSにおけるバッチ処理の ベストプラクティス - Developers.IO Meetup 05
AWSにおけるバッチ処理の ベストプラクティス - Developers.IO Meetup 05
 
AWSメンテナンス ElastiCache編
AWSメンテナンス ElastiCache編AWSメンテナンス ElastiCache編
AWSメンテナンス ElastiCache編
 
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのことマルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのこと
 
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するKeycloakでAPI認可に入門する
KeycloakでAPI認可に入門する
 

Andere mochten auch

DevOpsとか言う前にAWSエンジニアに知ってほしいアプリケーションのこと
DevOpsとか言う前にAWSエンジニアに知ってほしいアプリケーションのことDevOpsとか言う前にAWSエンジニアに知ってほしいアプリケーションのこと
DevOpsとか言う前にAWSエンジニアに知ってほしいアプリケーションのこと
Terui Masashi
 
俺、Hardeningで何やったっけ? いや、沖縄で何やったっけ?
俺、Hardeningで何やったっけ? いや、沖縄で何やったっけ?俺、Hardeningで何やったっけ? いや、沖縄で何やったっけ?
俺、Hardeningで何やったっけ? いや、沖縄で何やったっけ?
Typhon 666
 
Security issue201312
Security issue201312Security issue201312
Security issue201312
Riotaro OKADA
 
アクセス解析システムの裏側 (公開用)
アクセス解析システムの裏側 (公開用)アクセス解析システムの裏側 (公開用)
アクセス解析システムの裏側 (公開用)
shunsuke Mikami
 

Andere mochten auch (20)

今だからこそ振り返ろう!OWASP Top 10
今だからこそ振り返ろう!OWASP Top 10今だからこそ振り返ろう!OWASP Top 10
今だからこそ振り返ろう!OWASP Top 10
 
テストエンジニアと組織構造 @Cybozu
テストエンジニアと組織構造 @Cybozuテストエンジニアと組織構造 @Cybozu
テストエンジニアと組織構造 @Cybozu
 
サイバー考古学@ささみ 2017.2.20
サイバー考古学@ささみ 2017.2.20サイバー考古学@ささみ 2017.2.20
サイバー考古学@ささみ 2017.2.20
 
最近のストリーム処理事情振り返り
最近のストリーム処理事情振り返り最近のストリーム処理事情振り返り
最近のストリーム処理事情振り返り
 
DevOpsとか言う前にAWSエンジニアに知ってほしいアプリケーションのこと
DevOpsとか言う前にAWSエンジニアに知ってほしいアプリケーションのことDevOpsとか言う前にAWSエンジニアに知ってほしいアプリケーションのこと
DevOpsとか言う前にAWSエンジニアに知ってほしいアプリケーションのこと
 
サバフェス表彰式Lt+α
サバフェス表彰式Lt+αサバフェス表彰式Lt+α
サバフェス表彰式Lt+α
 
俺、Hardeningで何やったっけ? いや、沖縄で何やったっけ?
俺、Hardeningで何やったっけ? いや、沖縄で何やったっけ?俺、Hardeningで何やったっけ? いや、沖縄で何やったっけ?
俺、Hardeningで何やったっけ? いや、沖縄で何やったっけ?
 
Security issue201312
Security issue201312Security issue201312
Security issue201312
 
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
 
CakePHP Console Application 拡張Tips
CakePHP Console Application 拡張TipsCakePHP Console Application 拡張Tips
CakePHP Console Application 拡張Tips
 
実"戦"CakePHP Plugin
実"戦"CakePHP Plugin実"戦"CakePHP Plugin
実"戦"CakePHP Plugin
 
15分でCakePHPを始める方法(Nseg 2013-11-09 )
15分でCakePHPを始める方法(Nseg 2013-11-09 )15分でCakePHPを始める方法(Nseg 2013-11-09 )
15分でCakePHPを始める方法(Nseg 2013-11-09 )
 
ARPスプーフィングによる中間者攻撃
ARPスプーフィングによる中間者攻撃ARPスプーフィングによる中間者攻撃
ARPスプーフィングによる中間者攻撃
 
XML と PHP のイケナイ関係 (セキュリティ的な意味で) -Introduction of XXE attack and XML Bomb with...
XML と PHP のイケナイ関係 (セキュリティ的な意味で) -Introduction of XXE attack and XML Bomb with...XML と PHP のイケナイ関係 (セキュリティ的な意味で) -Introduction of XXE attack and XML Bomb with...
XML と PHP のイケナイ関係 (セキュリティ的な意味で) -Introduction of XXE attack and XML Bomb with...
 
8時間耐久CakePHP2 勉強会
8時間耐久CakePHP2 勉強会8時間耐久CakePHP2 勉強会
8時間耐久CakePHP2 勉強会
 
アクセス解析システムの裏側 (公開用)
アクセス解析システムの裏側 (公開用)アクセス解析システムの裏側 (公開用)
アクセス解析システムの裏側 (公開用)
 
ログ勉 Vol.1
ログ勉 Vol.1ログ勉 Vol.1
ログ勉 Vol.1
 
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
 
セキュリティとAI
 -最後にヘヴィメタルとAI-
セキュリティとAI
 -最後にヘヴィメタルとAI-セキュリティとAI
 -最後にヘヴィメタルとAI-
セキュリティとAI
 -最後にヘヴィメタルとAI-
 
8時間耐久PHPUnitの教室
8時間耐久PHPUnitの教室8時間耐久PHPUnitの教室
8時間耐久PHPUnitの教室
 

Kürzlich hochgeladen

Kürzlich hochgeladen (11)

業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
 
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
 
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
 
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイスLoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
 
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
 
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
 
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
 
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
 
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
 
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
 
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアルLoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
 

The concept of mini hardening

  • 1. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. The CONCEPT of MINI HARDENING Akira Sasayama/ Masahiro Tabata @ MINI Hardening Staff
  • 2. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. MINI Hardening とは • Hardening Project から派生したミニプロジェクト – 2014年 の Hardening 10 Evolutions イベントにおいて、   アンカンファレンスの成果として発足 • カジュアルにHardeningを体験 – MINI Hardeningでは半日程度でHardening競技や振り返り   まで体験できる • 過去の実績 – 6回競技を開催 142名参加(延べ人数)  
  • 3. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 競技の概要 • 11:00 競技説明 • 12:00 競技スタート • 15:30 競技終了 (休憩10分) • 15:40 (特別講義)Miraiボット解説 @mkobayashi • 16:20 MINI Softening (振り返り) • 16:50 模範解答、評価のフィードバック、表彰 • 17:20 撮影・片付け・撤収・移動 • 18:00 飲み会
  • 4. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 競技風景
  • 5. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. スタッフ紹介 俺たち5人合わせて「SORAMAME5!」
  • 6. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. CONCEPT for MINI Hardening セキュリティインシデントをカジュアルに体験 参加者にカジュアルを 環境をカジュアルに カジュアル : 気軽にくつろいだ感じ Staffもカジュアルに ・誰でも参加可能 ・チーム力で対応 ・訓練・胆力・現場力 ・実践力向上 ・目線を上げてもらう ・振り返り・気づき 想定参加者: 新人CSIRT担当者 ・基礎対応 ・沖縄の練習に ・肩慣らし ・どこでも開催可能 ・シナリオ通りの攻撃 ・クラウド活用 ・攻撃はシンプル ・テンプレ活用 ・リモートより参加 ・得意分野で貢献 ・自由な活動 ・強力なサポート
  • 7. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 具体的にどう体験してもらうか • 情報漏洩事故 • Anonymous(?)
  • 8. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 具体的にどう体験してもらうか • 報告書提出 • 社長の依頼• サーバダウン
  • 9. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 体験した結果 ・振り返っていただき自チームがどうすべきだったか、 他チームの意見を踏まえてどんなことが必要だったか 考えていただきます ・SORAMAME5側の攻撃内容・脆弱性に関するレポートも ・評価結果もレポート 何がよかったのか
  • 10. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 実はこんな楽しみも すべて WASForum や OWASP よりご提供いただいております。 この場をかりて、改めて御礼申し上げます。 • 優勝チームプレゼント • おやつ
  • 11. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 興味があれば是非応募ください 近々WASForumサイト上に MINI Hardening専用サイト を公開予定です。 まずはCONNPASS上でMINI Hardening Projectの メンバーになり通知を受け取れるようにしてください。 ◆CONNPASS https://minihardening.connpass.com/
  • 12. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 【閑話休題】競技の質問タイムの一コマ 参加者からのとある質問 「Linuxサーバはインターネットつながらないんですか?」 「アップデート用サーバは用意してないんですか?」   → 回答「そういう競技なんです。m(*- -*)m・スイマセーン」 過去の挑戦者たちの事例 初級→パッケージを探してきてパッチを当てた 中級→コンパイルした 上級→踏み台経由で無理やりアップデートした!!! (スパイク) そういうのが好きなんだよ。俺は。 (ジェット)難しいどころの話じゃない。そんなの無理だ!     バットも持たずに野球をやるようなもんだ。 『カウボーイビバップ  #SESSION9 「ジャミング・ウィズ・エドワード」』より引用 ※スタンドアロンになった軍事衛星をハッキングするため、直接ケーブルを  つなぐという無茶な作戦のやりとり 実際の方法は こちら参照
  • 13. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 最後にもう一度CONCEPT 「セキュリティインシデントをカジュアルに体験」   なぜこのコンセプトが重要か?
  • 14. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. マイルドな修羅場に身を投じよう! 死なない程度の修羅場こそが飛躍的な 成長を促すことが証明されている! 本家Hardening Project → 精神と時の部屋 MINI Hardening → カリン塔もしくはミスターポポの修行 「ストレッチな環境が人を育てる」 @及川卓也 (元Microsoft , 元google、現qiita プロダクトマネージャ ) http://www.slideshare.net/takoratta/civictechhack-code-for-japan-summit-2016
  • 15. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 今後の展開など ・2017年3,4回の実施を予定 ・東京以外の開催も検討中  - #1.3大阪開催@ロックオンの実績  - 「ぜひ長野でも開催を!」とすでに要望アリ 引き続き開催希望があればスタッフまで♪ ・AppSec EU @ベルファスト(アイルランド)で 競技コンセプト発表に申請中( @TSB_KZK) ・他のhardeing開催団体とコラボ or 対戦!
  • 16. Copyright © 2015-2017 MINI Hardening Project All Rights Reserved. 以上、ご清聴ありがとうございました