Hardening Projectから派生した「MINI Hardening Project」に行ってみた！：川口洋のセキュリティ・プライベート・アイズ（53）（2/2 ページ）

[川口洋（株式会社ラック チーフエバンジェリスト CISSP），＠IT]

主催者にインタビュー

　今回、競技を見学する側に回ってみていろいろと勉強になることがありました。いつもは質問される側の筆者ですが、今回は主催者であるASBKR4の皆さんに質問をぶつけてみました。

Q.Hardening MINIならではの取り組みはありますか？

　本家HardeningやCTFなどはハードルが高くてちゅうちょしていた人たちが参加できるような、初心者向けのイベントにしたいと考えています。いわゆる、セキュリティガチ勢以外の人たちが主なターゲットです。

　特に、若手のエンジニアやセキュリティを専門にしていないエンジニア（設計・開発や運用系）、セキュリティに興味はあるけど、今まで何となく参加できなかった学生さんたちが参加できるようなイベントにできればいいなと思っています。

Q.今回の環境構築で大変だったことは？

　イベントを開催する側に回ることが初めてだったこともあって、競技内容が本当に適切な内容、レベルであるのか判断が難しかったです。競技終了後にアンケートを取ったのですが、CTFなどの参加経験がある参加者が多かった割には、それなりに難しかったというフィードバックをもらってしまったので、次回以降は初心者にも対応しやすい仕組みを設ける必要があるかなと思っています。

Q.次回に向けての野望はありますか？

　本家Hardening Projectよりも短い間隔で開催していきたいと思っているので、時事的な問題も織り込みやすいと思います。初心者向けイベントではありますが、簡単なだけでなく、新しい情報も共有できるようにしていきたいです。

懇親会で参加者にインタビュー

　競技と解説が終了した後に懇親会も開催されました。ここでこそざっくばらんな情報交換ができるので、もちろん参加しました。何人かの参加者にいくつかの質問をぶつけてみました。

Q.どこでMINI Hardening Projectのことを知りましたか？

A1. Twitterを眺めていたら、（よくCTFに参加している）●●さんが「参加する」とつぶやいていたので、「すぐに参加者枠が埋まる」と思い、悩む前に参加ボタンを押しました。

A2. そうそう。●●さんのTwitterで知りました。

Q.Hardening Projectのことを知っていましたか？

A.名前は知っていたけれど、参加したことはありません。普段はCTFに参加したり、主催する側になって活動したりしています。

Q.沖縄で開催されるHardening Projectに参加してみたいと思いますか？

A.参加してみたいと思うけれど、沖縄までの交通費が悩みどころです。

　後ほど、Twitterの「#minihardening」というハッシュタグを見てみると、参加者の率直な感想がつぶやかれていました。CTFに参加したことがある参加者にとっても、違った刺激になったようです。

今後に向けて

　Hardening Projectの活動を続けるうちに、そのコンセプトに共感してくれたメンバーが新たな取り組みを立ち上げてくれたことは大変うれしいことです。Hardening Project実行委員長の門林先生も以下のようにおっしゃっていますが、どんどん真似して、新しい取り組みが立ち上がってくれるといいなと思っています。

　次回のHardening Projectは6月20日〜6月21日に沖縄で開催されます。次回はあの「セキュリティの8耐」が帰ってきます。興味を持たれた方はぜひ、今のうちにスケジュールと予算を確保しておいてください。さまざまな形のコラボレーションを考えていますので、皆さんの参加をお待ちしています。これから6月のHardening Projectに向けた作戦会議のため、私は今夜も飲みに行くのでした。

関連リンク

Hardening 10 MarketPlace – the 1st event of Hardening Project 2015

http://wasforum.jp/2015/03/hardening-10-marketplace/

著者プロフィール

川口　洋（かわぐち　ひろし）

株式会社ラック

チーフエバンジェリスト

CISSP

ラック入社後、IDSやファイアウォールなどの運用・管理業務を経て、セキュリティアナリストとして、JSOC監視サービスに従事し、日々セキュリティインシデントに対応。チーフエバンジェリストとして、セキュリティオペレーションに関する研究、ITインフラのリスクに関する情報提供、啓発活動を行っている。Black Hat Japan、PacSec、Internet Week、情報セキュリティEXPO、サイバーテロ対策協議会などで講演し、安全なITネットワークの実現を目指して日夜奮闘中。

2010年〜2011年、セキュリティ＆プログラミングキャンプの講師として未来ある若者の指導に当たる。2012年、最高の「守る」技術を持つトップエンジニアを発掘・顕彰する技術競技会「Hardening」のスタッフとしても参加し、ITシステム運用にかかわる全ての人の能力向上のための活動も行っている。

「川口洋のセキュリティ・プライベート・アイズ」バックナンバー

• 「DNS通信」記録していますか？――万一に備えたDNSクエリログの保存方法
• Web広告からのマルウエア感染「Malvertising」にどう対処すべきか
• 中の人が振り返る「Hardening 10 ValueChain」――学びにつながった「トラブルの数々」とは
• 無慈悲な専門家チーム「kuromame6」の暗躍に負けず勝利をつかんだチームは？
• 外部リソースの活用もポイントに、「Hardening 10 MarketPlace」開催
• Hardening Projectから派生した「MINI Hardening Project」に行ってみた！
• 「これさえしておけば助かったのに……」を避けるため、今すぐ確認すべき7項目
• アップデート機能を悪用した攻撃に対抗セヨ！
• 工夫、工夫そして工夫――Hardening 10 APAC“運営”レポート
• ウイルスとは言い切れない“悪意のあるソフトウェア”
• 2013年のセキュリティインシデントを振り返る
• ここが変だよ、そのWeb改ざん対応
• きっかけは不正侵入――私がセキュリティ業界に足を踏み入れたワケ
• CMSが狙われる3つの理由
• FacebookやApple、MSまで……Javaの脆弱性を狙う攻撃の手口
• Hardening One、8時間に渡る戦いの結果は？
• そのときStarBEDが動いた――「Hardening One」の夜明け前
• ロシアでわしも考えた
• 実録、「Hardening Zero」の舞台裏
• ちょっと変わったSQLインジェクション
• 官民連携の情報共有を真面目に考える
• アプリケーションサーバの脆弱性にご注意を
• IPv6、6つの悩み事
• スパムが吹けば薬局がもうかる
• JSOCに飛び込んできた不審なメール――これが標的型攻撃の実態だ
• 東日本大震災、そのときJSOCは
• ペニーオークションのセキュリティを斬る
• 2010年、5つの思い出――Gumblarからキャンプまで
• 9・18事件にみる7つの誤解
• 曇りのち晴れとなるか？ クラウド環境のセキュリティ
• Webを見るだけで――ここまできたiPhoneの脅威
• 不安が残る、アドビの「脆弱性直しました」
• ともだち373人できるかな――インターネットメッセンジャーセキュリティ定点観測
• 実録・4大データベースへの直接攻撃
• Gumblar、いま注目すべきは名前ではなく“事象”
• Gumblarがあぶり出す 「空虚なセキュリティ対策」
• 新春早々の「Gumblar一問一答」
• 実はBlasterやNetsky並み？静かにはびこる“Gumblar”
• ECサイトソフトウェアはなぜ更新されないのか
• 狙われるphpMyAdmin、攻撃のきっかけは？
• 学生の未来に期待する夏
• 米韓へのDoS攻撃に見る、検知と防御の考え方
• 分かっちゃいるけど難しい、アカウント情報盗用ボット対策
• 狙われる甘〜いTomcat
• 表裏一体、あっちのリアルとこっちのサイバー
• 世間の認識と脅威レベルのギャップ――XSSは本当に危ないか？
• 急増したSQLインジェクション、McColo遮断の影響は
• ○×表の真実：「検知できる」ってどういうこと？
• ところで、パッケージアプリのセキュリティは？
• レッツ、登壇――アウトプットのひとつのかたち