インシデントレスポンスグループのセキュリティアナリスト　市田です。

日ごろからマルウェア感染時のインシデントレスポンスやサーバーへの不正アクセスの調査に関する業務を担当しています。業務とのつながりも強いこの競技において、この度グランプリをいただけて大変うれしく思います。

私は今回が初参加でしたが、グランプリの決め手を振り返ってみて、自分のチーム「No.Bee」で事前に決めた唯一のルール「（得手不得手を大事に）メンバーを批判しないこと」について取り上げたいと思います。これは、「お互いに自分の持ち味を発揮して楽しくやろう」という考えです。

Hardeningは初対面に近いメンバーと、脆弱性があるECサイトおよび社内インフラを守りきらねばならない難易度が高い競技です。

あるメンバーはアプリ層が得意だがネットワーク層が苦手であり、あるメンバーは技術が苦手だが小さなことに気が利くタイプで、対外広報は得意であったりしました。

なので、チームの特性を活かして、自分の得意分野で楽しく戦おう！と競技前日に決め、みんなが適材適所に力を発揮できるように批判しないことを心がけました。そのために事前に「何ができる」はもちろんのこと、逆に「できない」ことも共有してもらいました。

これは日ごろのインシデントレスポンス業務にも通じるところがあり、私も日ごろから心がけていることでした。インシデント発生時はだれもが必死で焦っている中で、正確に対応・調査する冷静さと明るく活気のあるチームの雰囲気を作り出すことが大事だと思います。

この度そのスローガンが達成でき、その結果チーム内で議論したり、お互いに干渉したりはあまりせず、みんな自分の役割を全うして8時間対応しました。マネジメント役中心に事前に役割分担をある程度決めておき、当日の競技開始後は、会場の雰囲気に惑わされることなく役割を明確に遂行できました。

ただすべてのチームがこの戦い方ができるか、と言われると難しいかもしれません。

No.Beeのチーム内に全体俯瞰ができるメンバーと、技術全般にサポートできるメンバーがいたからできたと思っています。

私は得意のログ監視とインシデントレスポンス調査、FW運用に特化して取り組み、日ごろの業務で培ったスキルを発揮できたと思います。

一方、ほかのメンバーのやっていることの詳細を、現場で把握しきれなかったことが反省点です。実は別のメンバーはECサイトの売り上げをあげるために、広告購入やお客様への宣伝をがんばってくれました。5名のメンバー各々の役割の品質もさることながら、その5名の役割と進捗を管理しながら、社内外の報告対応をしてくれたマネジメント役の活躍も素晴らしかったです。

全6名という限られた人員でDoS、XSS、Struts、OSコマンドインジェクション、ランサムウェアなど、待ったなしで襲い来る様々な攻撃からサーバーを守り、売上を上げることが要求されていたので、「明確な役割分担」が結果的にかっちりハマった闘い方だったと思います。

＜写真１＞表彰の風景（上段左から二番目⇒　市田）

結果、売上は常にトップをキープできていました。

内心、「出る杭は打たれる」という諺（ことわざ）にちなんで、うちだけ特殊な攻撃が来るのではないか、とヒヤヒヤ（ワクワク♪）していました。

＜写真2＞チームNo. Beeの突出した売上グラフ（右⇒市田）

実際の業務では、様々なインシデント(不正アクセス/マルウェア/内部不正)に対応しなければならず、それぞれ深い専門性が必要とされます。

私が所属しているRecruit-CSIRTでは、各メンバーがそれぞれの得意分野を磨くとともに、担当が不在の場合でもバックアップできるよう、ナレッジの共有に力を入れています。

Hardening Projectはチームビルディングもさることながら、『安全性』×『利便性』の天秤を机上検討でなく、実践で臨機応変に対応する機会を与えてくれる素晴らしい競技です！1度参加するとまた参加してみたいと誰もが思えるほど、競技内容が濃く素晴らしいです！「chattr」でのファイル属性変更でパスワードを変更すること、WordPressの脆弱性へのパッチ対応、即座に攻撃を検知するシグニチャを作成することなど、すべて実務に即応用可能な内容です！

Hardening Projectに関わる企画運営の皆様、参加者の皆様、出張許可を与えてくれたマネージャーの皆様に深く感謝いたします。

＜写真3＞全体集合写真

関連記事・ブログ
http://nmtysh.hatenablog.com/entry/2016/06/11/230516
http://www.atmarkit.co.jp/ait/articles/1606/16/news022.html