こんにちは、人事の香東です。
先月、エンジニア向けのセキュリティ対策勉強会『Security training』を開催しました。今回は当日の参加者でもある、情報システム担当の堤さんに当日の様子を振り返っていただきました!
情報システム担当の堤です。
メタップスでは年に一度Security trainingを実施していますが、今回はメタップスのサービスでもさまざまな面でお世話になっているCapy社主催のHardening競技※に参加しました。
今回はメタップスメンバーが3つのチームに分かれ、約半日に渡ってWebサービスの運営をしつつ外部からの不正行為や攻撃を防いで、いかにサービスを安定運用できるかを競いました。
架空の企業のシステム運用担当になり、コーポレートサイトやWebsシステムといった会社のすべての情報システムへのハードニング(堅牢化)力の強さを競うもの。 競技時間中に主催者が仕掛ける様々なサイバー攻撃を防ぎつつ、システムの安定稼働を目指す。
当日の流れ
当日の競技はwework麹町に集合し、オフラインで実施しました! チームごとに作戦を練りつつ、始まる前はどことなく緊張した面持ち…。
ルール説明を受け、トレーニング開始!
次々に起きる不正行為や外部からの攻撃に対して、チーム内で役割を決めて相談しつつ対応していきます。 オフラインなのでその場で口頭で会話することもあれば、他のチームにバレないようにチャットでやり取りしたり。 トレーニング後半には攻撃や被害が広がり、思わず「やばい、どうしよう!」などの声も聞こえ大盛り上がり!
トレーニング後、振り返りとして軽く歓談。
攻撃側の「実はこんなことをやっていました。」というような裏話から、近年のセキュリティの対応状況などについての話で盛り上がりました。
もちろんフィードバックも!
攻撃の種明かしをされると、メンバーからは「なるほど、そういうことか!」と感心する声や悔しがる声が上がりました。近年話題となった脆弱性を突いた攻撃や、初期設定の不備など攻撃手法の説明に始まり、攻撃を受ける前にこのような対応をしていれば防げた、または被害を最小限にすることが出来たという実践的な解説を受けます。 最終的に成績発表を行い、最もサービスを継続できていたチームが表彰されて終了です。
参加してみて…
とても実践的なトレーニングで、普段のサービス開発や運用に活かせる知見を得ることが出来ました。 セキュリティ攻撃の手法は日々変化していきます。日々の情報収集だけでなく、定期的にセキュリティに対するトレーニングを受けることで今後もサービスの安定運用を実現していこうと思います。