Micro Hardening v2 2022/5/21＠オンライン

Micro Hardening とは？

戦う相手は過去の自分

Micro Hardening は「衛る技術の価値を最大化することを目指す」プロジェクトであるHardening Projectから生まれたサブプロジェクトです。「セキュアなハードニングをカジュアルに競技形式で学ぶ勉強会」であるMINI Hardening Projectよりもさらにカジュアルに「ゲーム感覚で」サイバー攻撃に対処する能力を磨くことを目指しています。

Micro Hardeningでは、参加者は45分という限られた時間のなかで、提供されたECサイトに対する様々なサイバー攻撃に対処することが求められます。参加者は用意されたECサイトにログインし、スタートコマンドを実行することで、ゲームの開始を任意のタイミングで行うことが可能です。スタートコマンドが実行されると、ECサイトに対して買い物を行うクローラが動き出します。このクローラがECサイトで購入した金額が参加者の得点となり、ECサイトを安定稼働させることが高得点につながります。クローラが動作する裏側では自動的に多数のサイバー攻撃も行われ、ECサイトの安定稼働を妨害します。参加者は次々と発生するサイバー攻撃を防御し、停止したECサイトを復旧することで売上を稼ぎ、さらに防いだ攻撃に応じたボーナス得点(追加のクローリング)を得ることができます。Micro Hardeningの評価は単純に稼いだ得点のみを対象としています。

Micro Hardeningのゲームは45分を1セットとし、複数セット(最低3回以上)繰り返すことを想定しています。毎回、同じタイミングで同じ攻撃が発生するように設定しています。Micro Hardeningは報告書作成や、攻撃手法や防御方法の解説の時間を組み込まない代わりに、毎回少しずつ攻撃の状況を観測し、対処する方法を試すことで、エンジニアとしての能力向上が実現できることを目指しています。理想的にはシューティングゲームのように、敵の攻撃のパターンを覚えることで高得点を稼ぐことができるシステムにしたいと願っています。

自分のスコアが少しずつ上がっていく達成感を味わいながら、サイバー攻撃に対応する経験を積んでもらえたらなと思っています。戦う相手は過去の自分。

ハッシュタグ　#microhardening

v1からv2の変更内容

• 競技環境を更新
• 新しい脆弱性やソフトウェアを導入
• サービスの稼働率をSLAポイントとして集計
• 業務要件の制約の中でセキュリティ対策を実施することを実装
• v1の難易度を10とするとv2の難易度は15程度

当日の流れ

• 08:45　オンライン会議オープン
• 09:00　説明開始
• 10:30　1セット目
• 13:00　2セット目
• 14:30　3セット目
• 15:30　振り返り会 (16時終了予定)
• 21:30　オンライン反省会をやるかも

持ち物

• 自分のパソコン
• Zoomクライアント最新バージョン
• SSHターミナルクライアント(必須)　Windowsの方はTeratermセットが便利
• VNCクライアント
• 自分のパソコンのhostsファイルを編集できること (管理者権限を持っていること)
• 健康な体
• SSHでログインしてLinuxコマンドで操作できること(操作できる人と一緒に参加することも可)
• 多少のトラブルを笑って受け入れられる広い心

会場

• オンライン(Zoom & Slack)

その他

• チーム分けは各チーム5人～6人で分けます。
• 各チームごとの申し込み枠を用意していますので希望するチーム枠に申し込みしてください。
• シナリオの詳細は解説せず、参加者同士の取り組みを参照する形式にて振り返ります。
• 当日の進行はSlackを使う予定です。参加者にconnpass経由でSlackの招待リンクを送信します。

メディア記事

• ＠IT　セキュリティ・アディッショナルタイム（19）：転んだ経験が、いつかセキュリティを進める力に (1/4)
• ＠IT　セキュリティ・アディッショナルタイム（28）：失敗が許される環境でインシデント対応に付きまとう利害調整や時間の制約を経験――あらためて振り返るHardening競技会 (1/2)
• 買い物安全防衛戦　サイバー攻撃を防げ　セキュリティ競技会　学生たちが腕試し　札幌市
• 北海道警で大学・高校生向けのサイバーセキュリティイベント
• サイバー犯罪への対処訓練 | ＫＲＹ山口放送
• サイバー攻撃への対処習得県警とインフラ事業者ら　共同訓練
• サイバー攻撃への対処　産学官で合同訓練【宇部】
• サイバー攻撃に備え警察やインフラ関連企業の担当者が対応訓練
• 北海道警がサイバー攻撃への対処能力を競うオンラインイベント開催

参加者の体験談 v1

• 第1回、microhardening バージョン1 東京編 ～ 聖地さくらインターネット開催編 - Togetter
• Micro Hardening v1.0に参加してきました | ＊白百合めも＊
• Webエンジニアのためのセキュリティ実践演習: Micro Hardening体験 | owlWorks
• やろう、ハードニング | セキュリティ | DoRuby
• Micro Hardening in 鹿児島 に参加しました | 降灰注意報！
• Micro Hardening in 鹿児島を開催しました
• 湯るセキュ　Micro Hardening in 草津温泉に行ってきました。 - Flying Cat Penguin
• Micro Hardening in 草津 参加してきました?? - 努力なくして力なし
• 第7回tktkセキュリティ勉強会Tweetまとめ（ #tktksec #microhardening） - Togetter
• 第７回tktkセキュリティ勉強会～Micro Hardening～で汚名返上しようとした結果 R3 Cloud Journey
• Micro Hardening v1.x＠沖縄に参加しました! - nmtysh.log
• Micro Hardening v1.x＠長野 writeup - blog.toxn
• Micro Hardening v1.x＠長野でドン勝!! - nuwaa
• Micro Hardening v1.1に行ってみた - やっつけ不定記
• Micro Hardening v1.x＠岡山 でリベンジ? - banbanの備忘録
• 越後湯沢でMicro Hardeningを体験してきたゾ！ - ファーエンドテクノロジー株式会社 コーポレートブログ
• OWASP Nagoya #8 ～Micro Hardening～＠名古屋
• 040.副業元年／だらさんインタビューVol.4■Micro Hardening
• 「Micro Hardening長崎」を開催しました
• Micro Hardening で学ぶ 衛る技術(サイバーセキュリティ)
• mh4yに参加してきた(micro hardening for youth)
• 【MH4Y】マイクロハードニングForユース(個人の見解)【サーバ運用】
• Micro Hardening for Youth ２０１９ に参加しました
• mh4yの参加記録
• セキュリティをゲーム感覚で学べる競技 Micro Hardening for Youth
• 「Micro Hardening」に参加してきました
• Event Report Micro Hardening in Aizu
• セキュリティをゲーム感覚で学べる競技 Micro Hardening for Youth 2021 開催！

参加者の体験談 v2

• Micro Hardening v2.0参加記録 - ohy-sのブログ
• Micro Hardening v2 オンラインに参加してみた - ぱんなこったのseclog
• Micro Hardening v2、ビミョーな結果と課題 - nuwaa
• Micro Hardening v2@オンラインに参加しました - 鹿児島県サイバーセキュリティ協議会
• Micro Hardening v2 ＠オンラインに参加しました - SEが最近起こったことを書くブログ
• Micro Hardeningに参加してきました | pixivのなかの話
• Micro Hardening v2 @オンラインに参加しました | SAFETY RABBIT
• Micro Hardening v2 2021/2/4 ＠金沢 サイバーセキュリティデイズ2021 | やっつけ不定記
• Micro Hardening v2 2021/5/4＠オンライン を見学した
• Micro Hardeningに参加した話 | LayerX エンジニアブログ
• Micro Hardening v2 に参加しました | データサイエンス＆サイバーセキュリティ備忘録
• MicroHardeningで学んだオンラインのセキュリティインシデント対応tips | やわらかセキュリティ