Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Hardening II SU Softening Day - Team カムイ Presen...

Hardening II SU Softening Day - Team カムイ Presentation

Hardening II SU @ 北海道・札幌
2019.07.04-05
チームカムイ プレゼンテーション

Yuichiro SAITO

July 05, 2019
Tweet

More Decks by Yuichiro SAITO

Other Decks in Technology

Transcript

  1. TL;DR 私達は一人ひとりが専門家として、最善を尽くせるた めの準備をし、スピード感を持って戦い抜きました。 ➔ ロールの明確化 誰が何をしているかお互いが理解し、素早い 意思決定が行えるチームでした。 ➔ Hardening OSSの開発と実戦運用

    今回の為に開発した監視・運用ツールを投入 しスピード感ある対処ができました。 ➔ マーケットプレイスの活用 特に人的リソースにはROIが高いと判断し、 惜しみなく投資を行いました。 2
  2. メンバー一覧 (左から) • 曽谷 祐一 (@sotani) ((株)メルカリ セキュリティ) • 杉江

    彩(@rougelecca) (ネットワークエンジニア) • 斎藤 祐一郎 (@koemu) ((株)メルカリ バックエンドエンジニア) • 伊佐 大佑(@dajo) (琉球大学) • 澤田 一樹 (@sekai67) ((株)メルカリ SRE) • 戸谷 洋介 (@ytotti) ((株)ラック) 4
  3. ロール • @sekai67: SRE • @sotani: レポーター, 渉外 • @ytotti:

    脆弱性切り分け • @rougelecca: CS, HCA連絡 • @dajo: 販売管理 • @koemu: インシデントコマンダー (対外的にはリーダー) 12
  4. チーム内でのコミュニケーション • レポーターにレポートを集約。作業をタイムラインで振り返られる。 • ロールの近い者同士が近くに座って、スッと寄って話せる。 • テキストベースのものはすぐにSlackで共有。 • インシデントコマンダーが決断に責任を負う。 ◦

    複数の攻撃を受けたときの優先度を決める。 ◦ 経済条件の意思決定を行う。 ◦ 時間制限を決める。 ◦ 基本、作業は行わない。 • 意見の対立はなかった。皆が背景を理解し、納得して仕事した。 13
  5. 購入した製品/サービス • NEC様 勝つための助っ人派遣ソリューション 2時間 2,000万円 • Cisco 様 シスコなまらセキュアセット

    2,000万円 • トレンドマイクロ様 IRどうでしょう 500万円 購入の方針 • 買えない後悔より、高くても買って後悔。 • ROIは高いはずとチームで決断したものをGO BOLDに買いに行った。 23
  6. NEC様 勝つための助っ人派遣 • Linuxサーバ全てにiptablesの設定を依頼。 ◦ 初期段階に設定できたため、マルウェアの通信やバインドシェルの実行 がかなり遮断できた。 • 公式サイトの整備を依頼。 ◦

    手が回っていないところだったので、大変助かりました。 ◦ テンプレはこちらで用意していたので、連絡もスムーズでした。 お世話になりました! めっちゃROIが高かったです。2,000万出してよかった。 24
  7. Hardening参加のメリット • @koemu: 意思決定者は常に知見を高め、周りを見回し、よく話を聞き、そし て心の健康を保ち決断する大切さを理解した。 • @sekai67: 本物の攻撃とその防御の難しさを、身を以て知った。 • @sotani:

    インシデント対応の筋トレ。事前の準備の大切さとその必要性の ジャスティフィケーションを身を持って知る。 • @ytotti: 自社の考え方に縛られずに、いろいろな経営的観点、技術的観点、 人材的観点に触れることができる。 • @rougelecca: 自分の力量が可視化されるので、今後どう活かすかを明確化 できた。 • @dajo: 技術だけじゃない総合力の必要性を知った。 28
  8. 明日以降どう活かすか • @koemu: 本番障害でも笑顔でいる、それが仲間の救いになるはず。 • @sekai67: 当たり前を見直す、疑う。障害に対する心構え。 • @sotani: 自社のインシデントの準備

    • @ytotti: オフライン状態でのセキュリティ対策は、非常に技術力がつくという 知見を得たので明日以降普段から考慮しながらすごす。 • @rougelecca: 身近にある攻撃がビジネスに響くことを社内で布教していく。 攻撃と防御を棚卸する。 • @dajo: 問題の早期対応を意識する。 29
  9. 今後のイベントに向けての提案 • @koemu: 運営のみなさまがもっと煽っていくスタイルが良いです。 • @sekai67: もっと絶望感を。 • @sotani: 社長=チームリーダーなのか?あたりのたてつけがわかりにくかっ

    た。そしてわかりにくいまま始まっちゃった。のはいまいちだったが、それ以外 は、いろんな意味でちょうどよかった。 • @ytotti: 攻撃のタイミングでモニターや音声を用いた演出がもっとあってもい いと思った。 • @rougelecca: 役員会議や記者会見がモニターで流し見状態だったので本格 的に危機感が感じられるともっと良い。 • @dajo: 競技中の飲酒許可 30
  10. 改めて TL;DR 私達は一人ひとりが専門家として、最善を尽くせるた めの準備をし、スピード感を持って戦い抜きました。 ➔ ロールの明確化 誰が何をしているかお互いが理解し、素早い 意思決定が行えるチームでした。 ➔ Hardening

    OSSの開発と実戦運用 今回の為に開発した監視・運用ツールを投入 しスピード感ある対処ができました。 ➔ マーケットプレイスの活用 特に人的リソースにはROIが高いと判断し、 惜しみなく投資を行いました。 32