みなさんご無沙汰しております。秋のイベントラッシュでへろへろなどりぃです。来週12月5日(火)・6日(水)はグランフロント大阪でCybozu Days 2017 大阪に出展しますので是非足を運んで下さいね。
しかし今回のブログはそこがメインではない!
今回は実に2回目の参加となるHardeningのお話です。
あ、ちなみに我がチーム、めでたくスポンサー賞であるオージス総研賞をいただいてしまいました!ありがたやありがたや。
Hardeningって何だよ
読み方時々参加者でも間違われる方がいますね。決してはーでにんぐではないのですよ。**Hardening(ハードニング)**ですよ。運営の皆様に後ろから刺されるので要注意だよ。
Hardeningというのは、簡単に説明するとサイトの堅牢化・価値向上を競う競技形式のイベントです。
詳しくは公式サイトをチェック!
実は現職ではかなり縁遠い立場になってしまっているのですが、元々前線でわりと対処していた立場にいました(もうノウハウも枯れかけているわけだが
なんだかんだでそっちの分野が好きなので、せっかく身につけたスキルを無駄にしたくないというのと、現職でなかなかそういう機会に巡り逢うことがなくなってしまった分、イベントで実際にやられるくらいしかないやろ!ということで、Hardening本戦以外にも短時間でHardening体験が可能なMINI Hardeningなどにも実は参加しています。
Hardening本戦への参加は2回目
今回はHardening 2017 Fes。開催地は初の淡路島(淡路夢舞台)です。初回の参加は1年半ほど前に沖縄で開催されたHardening 100 Value x Valueでした。が満身創痍で周囲にもあまり目を向けていなかったため、当時の記憶があまりありません(ひでぇ
後に知り合いから「あの時参加してたよね?」と言われて「えっ!いたの?気づかなかったワイ」となることが多々。ええその節はすみませんでした(震え声
という自戒の念もあり、今回はしっかりエビデンスを残し、アウトプットするのです。
あと12月2日(土)にはOWASP Kansai DAY 2017 in OsakaでもHardening参加報告をします(資料まだ
【さらに増席!】OWASP Kansai DAY 2017 in Osaka 〜初心者でもわかるサイバーセキュリティ〜
興味ある人はまだ若干席空いてるみたいなので来てね!
決戦前日〜Hardening 前夜
本番は初日です。ですがHardening参加者は前日入りしてメンバーで打ち合わせや作戦会議などをする方が多いです。
うちのチームTeam#5@守るのみことは前日組と、前日入りが難しい当日組でそれぞれ集合して行動を共にすることになりました。
前日は東京出張だったため、東京帰りの淡路移動が難しく、Hardening前夜大阪に着いてからの資料読み込み。某カフェでPC開いて資料確認しつつSlackで確認し合う。
Hardeningの難点として、競技環境が前日の夕刻〜夜にならないと公開されないということがあります。つまり短時間でのハイレベルな状況把握スキルが問われるわけです。資料が届いてからメンバーで一斉読み込みで奇襲をかけるのですが、中には会場内の会議室を借りてメンバーで念入りな打ち合わせをしていたチームもあった模様。
これな、**「当日ぶっつけ本番でもなんとかなるやろ」**って思って参加すると当日何もできねーってなるぱてぃーんなので、事前にある程度想定される事項を予測して準備などそれなりにすることをオススメしますよ。
万全に準備した状態でも実際本番になってみると準備したけど半分も活用できてない!ってことにもなるかもしれませんが、それでも何もないよりはあるほうが精神的な拠り所になりますw
決戦当日〜Hardening Day
そして当日。始発での淡路夢舞台入り。さすがに暗い。
到着してメンバー顔合わせもそこそこに打ち合わせ。
HardeningではMP(Market Place)と呼べるソリューションやサービスを購入して活用することができます。もちろん、そんな他者に頼るんじゃなくて俺たちマンパワーだけでオラオラいってやんよ!wっていうポリシーのチームも別にあっても良いと思います。
しかしそれをやるとけっこうしんどい。
ちなみに前回参加の時のチームでは資金をケチってMPは購入しない選択をしました。でも結果売上を伸ばすことができませんでした。
最終的には、MPを購入しまくったチームが優勝してた(ような気がする。曖昧
今回はその時の教訓もあり、我がチームはある程度何を買うかを事前に検討していました。また、MPは競技開始後数時間経つまでは、購入しに行けないというルールがあり、初動でどのように立ち回るかを考えることも重要になってきます。
MPでカバーを想定している部分であっても、最初はできるだけ自力でインシデント対応を頑張らないといけないのです。
しかし次々と降り掛かってくるインシデントに追われて、テンパってしまって何もできなかったということがないように、初心忘れるべからずということで、チームの基本ポリシーを定めました。
それが以下のような内容です。
Hardening中のルール
・離席時に自分のPCの画面は必ず パスワードロック をかける
・メモや付箋などでID/PWなどを残さない
・Hardening用環境に置いてあるソフトは使わない。クリックしない
・指示されていないソフトは基本ウィルスに感染すると思え。
・使うソフトは自分でUSBなどに入れてすべて持参すること。
・ブラウザ等にパスワードを覚えこませない
・競技中は笑顔
・とにかく相談等、他のメンバーとコミュニケーションをとる。1人で考え込まない
・5分考えてわからなかったらSlackなどですぐに質問を!
完全に徹底するのは難しかったんですが、でもこのポリシーを頭のカタスミに残しつつ対応できたので定めておいたのは良かったのかな、という感じ。
で、いよいよ本番となるわけですが。
午前中はそこまで大差はつきません。どのチームも似たり寄ったりという感じ。資料読みつつ対処しつつ。
しかしお昼をすぎて中盤に差し掛かると徐々に差が出始め、終盤に近づくにつれてだいぶ格差が。。。
我がチームに頭脳派の孔明がいるのですが、とにかく売上を上げるため、高額商品をいかにして売るかという点を非常に重視していました。
そこで目をつけたのはアナゴ。淡路産のアナゴ。
お値段なんと2万円です。ご当地アナゴって高級なんやな!
このアナゴの注文頻度がとにかく高いのです(注文してるのは人ではなくてクローラーなんだけどね!
そこに目をつけた孔明は他の商品よりもとにかくアナゴで売上を上げるために画策します。
いつもであれば1日目のHardeningで競技しゅーりょーなのですが、今回はなんと2日目に朝活!?Hardeningが2時間延長されて計11時間となることが発表されました。
太っ腹!運営太っ腹!
そして我がチームは延長戦に向けて体制を整え直します。
んが。
人生そう甘くなかった。
白目の2日目〜Firming Day
やるでーやるでーと意気込んだ矢先お達しが。
「引き継ぎで社長以外のチームメンはみんな異動デース(こんな言い方はしていない」
(°Д° )フォ?
あ、ちなみに言い忘れていました。我がチームの社長、実はどりぃです(遅
メンバーがスライドし、別のチームのメンバー(社長以外)が入ってくるということで、引き継ぎ資料をしっかり作らないといけません。
作業報告書としてのベースはあったものの、引き継ぎを想定していないため共有にわたわた。とにかく各自やったタスクをSlackに投げてもらいます。
そしてチームメン。異動。しばしの別れ。ぼっちwwwww
そしてコンニチワ!Team#4@JST.Onion
実は彼ら、ネタバレしとくと今回の優勝チームです。
しかし、しかしね。。いろいろありました。いろいろあったんです。
まず引き継ぎ
はいこれね。**時間ない。**延長戦で与えられた時間は2時間です。とりあえずSlackに招待。
Slack上に引き継ぎ内容を書きなぐってもらったので、それを読みつつ対処してねという話はしました。パスワード情報も共有。
で、彼ら、個々のスキルはすごいんです。ほんとに。発覚したインシデントに対して対処の手を緩めない。ストイックです。
実は、うちの元のチームは2日目の方針をある程度チームメンで決めていました(アナゴの売上含め
でも結局、社長からその方針を共有できないまま競技が進んでしまったんです。つまり、Team#4のポリシーがそのまま継承された形ですね。
それ自体はいいと思うんですが、ここで良くなかったなという反省点として、**「どういう方針を取るか」**の摺合せが一切できなかったことです。
Team#4の環境と、我がチームの環境は違います。置かれている状況も違います。Hardening1日目の夜に、当時の状況を踏まえた上での体制の立て直し方をチーム内で話し合ったにもかかわらず、2日目はそれをうまく共有できず結局一切活かせないままとなってしまったのです。
2日目の延長戦では、社長であるどりぃは**「〜してもいいですか?」**というメンバーからのお伺いに対してYes/Noを返すだけの存在になってしまっていました。。。
せめて自分でも手が動かせたら良かったのですが、作業報告は見守りタイのオージスさんが対応してくれていましたし、本当に**「何しよう…」**という心境でした。
なので、個人的な所感として、2日目は本当に言葉通りの意味で何もできなかったのです。
2日目は、本当にコミュニケーションの大切さを痛感した日でした。
Hardening自体は6〜7名のチーム戦になるので、チームワークは大事です。でも個人で主体的に動くことが悪いわけでもありませんし、場合によってはそういう動き方がむしろ重宝されるケースもあります。
ですが、前提となる要素が複数ある時、ベースをどこに置くかの話し合いの場は、どんなに時間がなくても必要だったなと思いました。
社長なのにそこを提言できないまま流れてしまったので、そこは自分の不甲斐なさだったなと猛省。次もしまた参加できる機会があれば、今まで以上にコミュニケーションの部分は重視しようと思いました。
そして終幕の場へ〜Softening Day
これはyoutubeの動画を観ていただくとより臨場感出ますよ( ‘o’ ∋ ))) ( ‘o’ ∋ ))) ( ‘o’ ∋ )))
わたし報告の時下ばっかり向きすぎててやばいけどw
そんなこんなで競技イベントの中でもまさかの仕事でぶち当たるような悩みも経験したわけですが、やっぱりもっと頑張らないといけないなーという気持ちになれるので、Hardeningっていいイベントですね!(小並感
投稿者プロフィール
