SECCON 2015 併催カンファレンスで、SECCON 大阪大会の結果報告を行いました。 http://2015.seccon.jp/conference.html

1. 隠れたインシデントを
見つけ出す！
SECCON大阪大会結果からみるCSIRT対応について
1/30/2016 1
SECCON 実行委員
伊藤 彰嗣

2. SECCON 2015 大阪大会
CSIRT におけるインシデント対応に求められる
スキルを学び、競う大会
1/30/2016 2
http://2015.seccon.jp/osaka-csirt-challenge.html

3. SECCON 大阪大会 - 予選 -
1/30/2016 3
申込み人数 ３６ チーム １０５ 名
概要 CSIRT の窓口対応における初動対応について、
具体事例に関する回答を提出いただきました。
サイト改ざん 情報漏えい PC 紛失
不正な通信 リスト型攻撃

4. 課題の審査結果
点数 評価 チーム数
５ 回答内容が必要十分である 6
４ 回答内容に不足が無く、誤りもない 7
３ 回答内容が不足している。
もしくは、回答に誤りがある。
15
２ 回答内容が不足し、回答に誤りがある。 5
１ 回答内容がフォーマットにあっていない。 3
1/30/2016 4

5. 上位チームの解答例（サイト改ざん）
1/30/2016 5
原因
• 内部犯行
• 第三者の攻撃
• フィッシングサイト
• マルバタイジング
• ドメイン乗っ取り
• 誤報告
初動対応
• ヒアリング
• 安全な環境から
サイトにアクセス
• Virustotal の活用
• エスカレーション
• 関係機関への連絡
調査
• 他サイトの調査
• アクセスログの調査
• マルウェア設置方法
• マルウェア解析
• 情報漏えい有無確認

6. 上位チームの回答
1/30/2016 6
• 効率良く初動対応することができる
断片的な事実から多様な原因を想定
• 同時並行的に実行する作業について優先順位付けが明確
• 自社の CSIRT を想定した実践的な内容
「初動対応」と「調査」対応を分離
• お客様データへの被害、個人情報流出有無 など
「連絡基準」が明確に定められている

7. SECCON 大阪大会 - 本選 -
1/30/2016 7
開催日時 2015 年 11 月 8 日（日）
会場 グランフロント大阪 ナレッジキャピタル
（タワーC 10 F慶應大阪シティキャンパス）
参加人数 １５ チーム ５９ 名
主催 SECCON 実行委員会
日本ネットワークセキュリティ協会（JNSA）
協力 奈良先端科学技術大学院大学
トレンドマイクロ株式会社
概要 CSIRT演習をテーマにしたオフラインの競技大会
- インシデント体験ボードゲーム

8. プレーヤーの目的
8
ある企業内で発生する
情報セキュリティインシデントを解決すること

9. 断片的な事実
1/30/2016 9

10. 有効な対策を選択
1/30/2016 10

11. ゲームの流れ
11
• ３ラウンド終了後、会社を存続させる
ことが出来れば勝利となります。
ゲーム終了後に、インシデント対応に関する
プレゼンを実施いただき、優勝チームを決定

12. 当日の様子
1/30/2016 12

13. 最終プレゼンの様子
1/30/2016 13

14. 最終審査結果
順位 チーム名 分析 対策 プレゼン 総合点
1 nw 8 6 6 20
2 Binja 6 3 7 16
3 bremen 2 6 2 10
4 GTJ 4 0 5 9
5 indo8 2 0 3 5
1/30/2016 14

15. 優勝チーム nw
1/30/2016 15
WriteUP：http://d.hatena.ne.jp/ozakira/20151108

16. 参加者へのアンケート結果
アンケート項目 点数（５点満点）
総合満足度 4.12
ゲームのできばえ 3.75
自分がファシリテータを
やってみたいと思うか
3.24
自社でやってみたいか 3.86
優勝チームの選出方法に
納得感はあったか
4.36
1/30/2016 16
全体としては参加者の方に満足いただけた

17. まとめ
1/30/2016 17
• CSIRT演習をテーマにしたオフラインの競技大会を開催
SECCON 2015 大阪大会
• 普段からチーム内で訓練することが重要
断片的な事実から全体を推測する