7月25日の人材育成セミナーで何を伝えたか、何を伝えたかったか#8

7月25日のセミナー「ビジネスとセキュリティを守る人材育成」でお話したHardening Projectを通して得られた気づきについてご紹介。その8。

8つ目の気づきは「安易な作業がトラブルを生む」です。

Hardeningの競技に参加する参加者は競技開始直後に前回ご紹介した「脆弱な初期設定」を修正するため、かなり焦って作業をしています。この競技開始直後の焦った状態での作業もまたトラブルを生んでいます。

あるチームは事前配布資料をよく読めば書いてあることに気付かず設定を削除してしまいます。本来削除してはならない設定を削除したことで減点対象になってしまいます。
またあるチームは焦って既存のアカウントを削除して、対象アカウントに届くべきメールが受信できないというトラブルにつながります。
またまたあるチームは既存アカウントのパスワードを変更したことで、パスワードがハードコードされたバッチファイルを使う業務を止めてしまいます。

日常の業務では

• 事前に資料を確認してから設定変更する
• 使用しているユーザなのか確認してから削除する
• 重要な削除対象ユーザのメールはalias設定する
• パスワード変更の影響範囲を調査する
• バッチファイルにパスワードをハードコードしない

という当たり前のようにやっていることができていない場合、トラブルが発生しています。むしろ、本来の業務ではやるはずのないことを「Hardeningの競技で勝つためだけに」作業をやるユーザにトラブルが発生するようにシナリオがしっかり組み込まれています。kuromame6はあくまでビジネスに貢献できるエンジニアを育てたいと思っていますので、安易にほいほい作業するエンジニアが勝ち上がらないようにしているのです。

今更、私に言われるまでもないことですが、「安易な作業をしない」という基本に忠実にいきましょう。

次回は「事前準備と事後の振り返りが重要」を取り上げます。

• 得られた気づき　その1 　マルウェア感染にはなかなか気づかない
• 得られた気づき　その2 　意思決定のスピードが重要
• 得られた気づき　その3 　ビジネスは技術力だけではない
• 得られた気づき　その4 　ビジネス継続のために防御力と復旧力が重要
• 得られた気づき　その5 　サービス再開は判断が難しい
• 得られた気づき　その6 　トラブルは情報の不足と間違いから
• 得られた気づき　その7 　脆弱な初期設定に注意
• 得られた気づき　その8　安易な作業がトラブルを生む
• 得られた気づき　その9 　事前準備と事後の振り返りが重要
• 得られた気づき　その10　情報共有は共同オペレーションの体験から