8月末に参加したMINI Hardening Project
参加レポ

はじめまして、あまざけです。シルバーウィーク中、みなさまいかがお過ごしだったでしょうか。私は風邪のため大半を床で過ごしておりました。発症数日前の帰宅途中に気持ち良くくしゃみをされている方の横を通った際に移されたようにも思います。季節の変わり目ですので皆さまも風邪にはご用心を。と本題に移りますが、今回は8月末に参加したMINI Hardening Project という体験イベントについてお話します。

MINI Hardening Project とは、Hardening Project の簡易版 Hardening です。まず本家 Hardening Project についてご説明しますと、2日間にわたり、チーム対抗で、脆弱性のあるシステムへのハードニング（堅牢化）力の強さを総合的に競う競技です。本家とMINIとの大きな違いは、競技実施時間が本家は8時間と長時間であるのに対し、3時間であること、本家での容赦ない攻撃（例えば数日前に見つかった脆弱性を利用するだとか）が非常に多いのに対し、セキュリティ業界的に有名な攻撃が多いといった感じなのかなと説明から見受けられました。

当日、小心者の私はセキュリティ界の猛者たちに圧倒されるのでは！と怯えながら、会場に足を踏み入れました。実際のところはセキュリティばりばりという方ばかりではなく、お話できた中には、インフラ系で運用をされている方もいらっしゃいました。全体としては、年代はベテランの方から学生さん、全体の参加者が25人程度で、その中での女性の参加者は少なく2、3人程度でした。学生時代、女子大で過ごした私からすると、とても少なく感じますが社会人になってから参加したどの勉強会でも女性はあまりいらっしゃらなかったですね。

私が急遽、繰り上がりで飛び入り参加させていただいたチームでは、「別のインフラ系の勉強会で紹介されていたので来ました」といった方や「twitterで知りました」といった方が多かったです。一部の方がアウェイ感を感じるような敷居の高い勉強会もありますが、一般の方でも参加しやすいように思いました。ただし、参加した立場から助言すると、基本的なLinuxコマンドが使えるうえで、何かしらのWebサービスなどを触った経験がある方のほうが参加して面白みを感じられると思います。

実際、始まってみると、チーム全員で分からないと言いながら、普段使わないサービス、OSでの設定方法などについてググりながら、対策を行う一方で、容赦なく攻撃が行われ、サービスが停止...という惨い事態が繰り広げられました。本当は悔しかった点などを細かくお伝えしたいところなのですが、環境・攻撃の詳細については口外しないように運営の方から指示をいただいているため、お伝えできず残念です。

競技後は懇親会もあります。私は仕事があったため参加できず残念でしたが、参加される際は普段話せない他業種の方などとお話できるチャンスだと思いますので是非参加なさってください。

参加してみて個人的には、リアルタイムに攻撃を受け、何が優先事項かを考えながら対策することがとても新鮮でした。診断業務では、お客様からいただいた時間内に、漏れなく均等にすべての脆弱性をチェックするので、普段と違う頭の使い方ができて楽しかったです。一方で、あらかじめ攻撃の隙ができないように、セキュアに環境を構築し、新しい脆弱性が見つかった際はパッチの適応を実施するなどして、適切に運用することの大切さも改めて実感しました。

今回は、MINI Hardening Project へ参加した際の感想でしたが、他の勉強会の感想も随時流そうと考えております。

実はこの草稿は既に1ヶ月前に書き上げていたのですが、後回しに眠らせていました。これを機に期限がない仕事ほど早く着手することを教訓にしようと思います。