Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OWASP Kansai DAY 2017 in Osaka〜Hardening 2017 F...
Search
Dolly IKEGAMI(どりぃ)
December 02, 2017
Technology
2
450
OWASP Kansai DAY 2017 in Osaka〜Hardening 2017 Fesでリアル人間ドラマの当事者になった僕/owasp-kansai-day20171202
2017年12月2日(土曜日)に開催されたOWASP Kansai DAY 2017 in OsakaのLT資料です。
Dolly IKEGAMI(どりぃ)
December 02, 2017
Tweet
Share
More Decks by Dolly IKEGAMI(どりぃ)
See All by Dolly IKEGAMI(どりぃ)
誰でもできる!キントーン活⽤でお⼿軽業務改善!/20200828-RPALT_dolly
dolly_ikegami
0
390
キントーン3分クッキング(+おまけの解説つき)/20200317_geekhub-lt
dolly_ikegami
0
71
kintoneを使ってみんなでアレコレ考えよう= 春休みワクワク企画=/20200228_kintonecafe-kagoshima-vol10
dolly_ikegami
0
160
みんなで学ぶ&考える『正しい』カスタマイズのちしき/20200221_kintonecafehirofuku-vol18
dolly_ikegami
1
800
kintone Café 氷見 Vol.1〜kintoneで広がるコミュニティの輪/20191210_kintonecafe-himi-vol1
dolly_ikegami
0
99
kintone Café 信州 Vol.5〜にわか文系女子によるとりとめもないキャリアパス&kintoneのおはなし/20190413_kintonecafe-shinshu-vol5
dolly_ikegami
1
330
広報LT大会#18 マーケティング、広報。ところによりカオス/prlt18-kyoto-20190308
dolly_ikegami
4
180
第9回 関西DB勉強会 データーベース?ではありません みんなに教えるkintoneの◯◯◯/dbkan9-kintone20181013
dolly_ikegami
0
920
kintoneを使ってみんなで知恵を振りしぼるハンズオン(超初心者〜上級者まで)/20180730_kintonecafe-osaka_vol19
dolly_ikegami
0
370
Other Decks in Technology
See All in Technology
iOSチームとAndroidチームでブランチ運用が違ったので整理してます
sansantech
PRO
0
170
OCI Security サービス 概要
oracle4engineer
PRO
0
6.6k
OCI Vault 概要
oracle4engineer
PRO
0
9.8k
OOM発生時のトラブルシューティング Profilerを活用できるか調査してみた
atsushii
0
150
4年で17倍に成長したエンジニア組織を支えるアーキテクチャの過去と未来
sansantech
PRO
1
140
TypeScript、上達の瞬間
sadnessojisan
49
14k
Storybook との上手な向き合い方を考える
re_taro
5
3.2k
100 名超が参加した日経グループ横断の競技型 AWS 学習イベント「Nikkei Group AWS GameDay」の紹介/mediajaws202411
nikkei_engineer_recruiting
1
180
SREが投資するAIOps ~ペアーズにおけるLLM for Developerへの取り組み~
takumiogawa
4
1.2k
Exadata Database Service on Dedicated Infrastructure(ExaDB-D) UI スクリーン・キャプチャ集
oracle4engineer
PRO
2
3.2k
複雑なState管理からの脱却
sansantech
PRO
1
180
VideoMamba: State Space Model for Efficient Video Understanding
chou500
0
260
Featured
See All Featured
5 minutes of I Can Smell Your CMS
philhawksworth
202
19k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
Being A Developer After 40
akosma
87
590k
GraphQLとの向き合い方2022年版
quramy
43
13k
Embracing the Ebb and Flow
colly
84
4.5k
How to train your dragon (web standard)
notwaldorf
88
5.7k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
131
33k
Measuring & Analyzing Core Web Vitals
bluesmoon
4
140
Building an army of robots
kneath
302
43k
Optimising Largest Contentful Paint
csswizardry
33
2.9k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
246
1.3M
Put a Button on it: Removing Barriers to Going Fast.
kastner
59
3.5k
Transcript
Hardening 2017 Fesで リアル人間ドラマの当事者になった僕 OWASP Kansai DAY 2017 in Osaka
Team#5@守るのみこと どりぃ(いけがみみどり) 2017.12.02(Sat) 1
2 はろーはろー!
本日のハッシュタグ #owaspkansai #h2017fes
あばうとどりぃ おなまえ:どりぃ nいけがみさんとよばないで絶対 nエバンジェリストとか nキントーンとか nコスプレエンジニアなひと かつどう:何やってるかもはや謎 ぞくせい:コスプレエンジニアと いう名の何か コミュニティ:いろいろ
アスキー どりぃ
Hardening Projectとは(1) ECサイトの堅牢化・価値向上を競う競技形式のイベント 6〜7名1チームで競い合うチーム戦 公式サイトチェック! nhttps://wasforum.jp/hardening-project/ よみかた:はーどにんぐ nNOTはーでにんぐ n参加者でもいた。背後から刺されないように注意 nモグリと思われてもしらないぞ
Hardening Projectとは(2) 堅牢化→技術がすべてではない ECサイトの価値向上が大きな課題 n商品売上 n顧客対応 n謝罪会見 nチーム内のコミュニケーション...etc 複合的な要素、観点から評価が行われる
7 今回はHardeningでリアルな体験をした話
はじめのポイント 今回のHardeningは1日目と2日目があった n1日目:Hardening Day(本戦) n2日目:Hardening Day 延長戦(足掻き) l 今までは1日目のみ。2日目にSoftning Day(振り返り
l 今回は3日目にSoftning Day Hardening参加した結果「何もできなかった」 1日目と2日目の「何もできなかった」のニュアンスが異なる
はじめのポイント 参加者は「楽しい」「イイ話」をするケースが多い(たぶん そんな中で少し人間の心理状態にフォーカスした話をしてみる でもね。なんだかんだで Hardeningはたのしーんだよ(※ココ重要
10 そんな 「何もできなかった」 のニュアンスの違いを感じながら ノンストップでお楽しみ下さい
11 我らがチームMENのご紹介 注)チームビルドの経緯は時間の関係で割愛
チームMEN紹介(1) チームビルド後チーム名とリーダー決め nチーム名:守るのみこと nリーダー兼社長:どりぃ(いろいろあった チーム名の由来 n淡路島でハードニングが開かれることにちなんで l 伊弉諾尊(いざなぎのみこと)・伊弉冉尊(いざなみのみこと)が最初に作った 島が淡路島であり、そこから日本が創られたそうな。 チーム名は投票制(持ち票数:2票/人)
チームメンバー(7名⇒6名) 12
チームMEN紹介(2) 13 どりぃ もりしー どん クリリン ぱぱ ゆーや よっしー 居住地
大阪 兵庫 大阪 大阪 兵庫 石川 岡山 職業 社会人 社会人 社会人兼学生 社会人 社会人 社会人 学生 業務 コスプレイ ヤー&なんで も屋 インフラSE フリーランス なエンジニア セキュリティ 企画 IoTセキュリ ティ セキュリティ教 育 OSセキュリ ティハック 参加経験 本家 : 1回 ミニ : 2回 ミニ : 1回 なし ミニ : 1回 なし なし なし 孤高の エンターテイナー 冷静沈着 技術マネジメント 担当 残念ながら欠場 なんや ただの孔明か セキュリティは ワイにまかせろ! 愛すべき イカナカマ シャイだけど しっかりモノ
役割分担 マネージメントチーム (2名) 全体管理者(1名) * マネージメント系課題管理 * メール対応 * 在庫管理
* 謝罪対応 コンテンツ・MP担当(1名) * メール対応 * MP選定・対応 * 作業記録作成 * コンテンツ管理 * 謝罪対応 技術チーム (4名) 全体管理者(1名) * 技術系課題管理 * 対応の要・不要の判断 * 課題のアサイン、撤退の判断 インフラ・Web担当(3名) * 各種脆弱性対策 * システムチューニング * インシデント対応 14
事前準備(1) 競技者顔合わせ会@大阪へ一部メンバー参加 Slack・Backlog・Googleスプレッドシートの活用 nSlack:チームビルド後すぐ nBacklog:タスク管理どうする?➜制限あるけど無料だし使いやすそ う➜導入決定 用途ごとに使い分け nSlack:リアルタイム性のあるやりとり nBacklog:期限つきタスク&TipsやWikiなど固定化したい情報 nスプレッドシート:リスト化したいもの
15
事前準備(2) 16
事前準備(3) 方向性の共有 nチーム内でのズレ→その後の対応にも影響が出る可能性 方向性=楽しみつつ上位を狙っていこう! 個人のスキルセット確認 スキルセットに応じた役割分担(p13) MP:あらかじめ何を導入するか検討 n金でなんとかできるところは金でなんとかするオトナ精神 当日持参物のリストアップ、ツール準備 17
決戦当日 初動〜Hardening Day Hardening当日の顔合わせ兼打ち合わせ n前日組と当日組がいた 当日組:始発入り➜打ち合わせ 初動大事。必要なタスクの割り当て&整理 n優先順位付け nMP購入開始までの時間に必要な対処 18
19 初動はけっこう好調だった(はず
決戦当日 ポリシー〜Hardening Day お金、売上これ重要 チームの技術力に依存しすぎない 堅牢化?MarketPlace(MP)でカバーできる部分はMPに 頼んどけ! nBarracuda WAF、CylancePROTECT n見守りタイ(オージスさん)・SORAMAME5
人買い余念なし 人に相当助けられた nサポート外のこともかなりボランティアでやってくれた 20
決戦当日 ポリシー〜Hardening Day いかにして売上を上げるか?を検討 n高額商品に注目 nアナゴいけんじゃね? nアナゴの在庫が100きったら補充!補充! n売れ行き好調。注文多数。 売上に繋がらない→優先度を下げる n他の商品を売ることに専念
n潔さ。諦めの良さ。これ重要 21 The俺たちのA・NA・GO!
しかし俺たちあなどってはいけない
うちのチームには頭脳明晰孔明がいた さながら俺は据え置き社長oh
実はこんなブログを事前に捕獲していた
恐るべし孔明の罠!!!!!!!
サイトで見つけたねぎ画像
新商品でねぎ出そうぜ!!!
ねぎ出してみた テンション(1番)上がる孔明
29 決戦当日 新商品開拓〜Hardening Day 新商品でねぎを出した結果 n在庫減らない n注文一切入らず 効果的な売り方不明のまま1日目終了
フロントでちょこちょこ対応はしたものの あんまり貢献できなかったな・・・
31 迎えた2日目
32 今日は体制立て直して がんがる、と意気込む俺
白目の2日目〜Firming Day 初の延長戦(2時間) n今までのHardeningは1日目のみ nMP新規購入できる?環境リセットされる? n様々な憶測が飛び交う 1日目の状況を踏まえた上での綿密な打ち合わせ 33
白目の2日目〜Firming Day 孔明を中心に方針を固める
白目の2日目 対応指針〜Firming Day 可用性重視 WebARGUS(KDLさんのソリューション)絶対導入 とにかくアナゴの在庫は切らすな(孔明 サーバーサイドの脆弱性対策を万全に nconfigやパーミッション周り l WordPress・EC-CUBE
n不正なプロセスなどのチェック どりぃ担当変更=フロント対応→技術対応に n1日目の名誉挽回するぜと意気込む俺
36 んが。
予期せぬクリティカルな 物理インシデント発生
人事異動のお知らせデースwww
しかも社長(俺)を残して・・・ 39
スライドして来たのは◦◦チーム 正体はまた別のところで♪
41 ここから押し寄せる 壮絶な人間ドラマ
社長!よろしくおねがいします! それぞれ使ってる端末決まってるんで◦◦… (どり)はいー引き継ぎ事項とかはSlackで… 社長!◦◦してもいいですか? (どり)あーはい… (どり)(Windows端末入れない?) 誰かログインパスワード変更しました? してないです!(※実は別の人がしてた (どり)作業履歴は取ってもらってるしなー うーん
43 言葉通りの意味 「何もできなかった」
1日目と2日目の「何もできなかった」の差 1日目 2日目 全体の方向性 だいたい一致 よくわからん 対応方針 サーバー周りは技術チームに一任 WAF周りの対応:ぱぱ専任 誰がどこ担当か把握していた
誰が何を対応してるかよくわからん 端末入りたいのに入れる端末がない 全体のペース だいたい一致 社長置いてけぼり。 何されてるかさっぱり。俺空気 コミュニケーション Slackメインで時々直接声掛け 「これどう?」などの雑談も 「◦◦やります」「やりました」 事前・事後報告のみ この差はどこにあったのか?
白目の2日目 空白の延長戦〜Firming Day コミュニケーション最重要 複数の人たちで何かする場合は本当に重要 まず一定時間を確保しての話し合い。方向性合わせ。 n事前・事後報告、対応可否のみ✕ 自分は「こう思う」「こうしたい」という意思の明示 n結果として意思にそぐわなくてもそれは話し合いった上での納得の結 果なので問題なし
あくまでどりぃの持論です
白目の2日目 自戒〜Firming Day コミュニケーションの足りなさが2日目の結果に反映された あまりの自身の窓際社長っぷりに熱が冷めそうな事態に(実は Hardening甘くないな。甘くないよ
47 そう。まさしくリアルな人間ドラマさ ※3日目のSoftning Dayでは一切語られていない
終幕と感動を呼ぶ 〜Softening Day https://youtu.be/me4rM9OVtNg 感動の結果発表はぜひWeb(つべ)で
49 そんな人間ドラマも体験できる! Hardening Project みなさんも是非ご参加いかがですか?
50 Thank You p526CA @p52_rocca