7月25日の人材育成セミナーで何を伝えたか、何を伝えたかったか#6

7月25日のセミナー「ビジネスとセキュリティを守る人材育成」でお話したHardening Projectを通して得られた気づきについてご紹介。その6。

6つ目の気づきは「トラブルは情報の不足と間違いから」です。

Hardeningの競技でよくあるトラブルは「参加者間の連絡漏れ」です。次から次に発生するシナリオに対応するため焦って作業をしていると参加者同士で作業内容の連絡漏れが発生します。

　Aさん「あれ、メールが送れない」
　Bさん「あれ、俺もメールが送れない」
　Cさん「特に設定変えていないのにねー」
　Dさん「不正アクセスかもしれない」
　Eさん「いや、違う。kuromame6に直談判だ」
　kuromame6「うーん。そこには何もしてませんけどねー」
　Aさん「おかしいなあ。」
　Bさん「おかしいなあ。」
　Cさん「おかしいなあ。」
　Dさん「おかしいなあ。」
　Eさん「おかしいなあ。もう一回kuromame6を呼ぼう」
　kuromame6「メールサーバのアカウントのパスワード変更されていますよ。それが原因では」
　Aさん「誰かパスワード変えた？」
　Bさん「いや、変えてない」
　Cさん「いや、変えてない」
　Dさん「いや、変えてない」
　Eさん「いや、変えてない」
　Aさん「ねー、Fさん、メールサーバのパスワード変えた？」
　Fさん「うん、変えたよ。2時間前に」
　Aさん「ホント？」
　Fさん「うん。だって、やるって言ったじゃん」
　Aさん、Bさん、Cさん、Dさん、Eさん「お前かーーーー」
　Fさん「えーーーー」

というコントのようなことになります。これが現実世界で起きなくてよかったと参加者は思ったことでしょう。

現実世界のセキュリティインシデントも答えを聞けば本当にたいしたことがないようなことが原因だったりします。

• 管理台帳に載っていないパソコンがあった
• 管理されていないドメインが存在していた
• サーバのIPアドレスが変更されていたのにFWのACLを変更していなかった
• 子会社が統合されたときにシステム情報が更新されていなかった

などなど、情報の不足と間違いが原因で多くのセキュリティインシデントが発生しています。

もちろん、Hardeningの競技でもそのような状況を意図的に作り出して、参加者に体験してもらっています。2016年6月4日のHardening 100 Value x Valueの直前の5月30日に「Hardening業界のレジェンド」が興味深いつぶやきをしていました。
https://twitter.com/TSB_KZK/status/737308892560953344

Hardeningの競技も現実世界も、まさしく「えっ」という小さいことの積み重ねなのです。さらにこのツイートを最初に（現時点ではただ1人）リツイートしたのは、Hardening 100 Value x Valueで優勝したチームメンバーです。このツイートが勝利の一因になったことは間違いないでしょう。

皆さんもこれを機にシステムの管理情報を見直してみましょう。

続いて「脆弱な初期設定に注意」を取り上げます。

• 得られた気づき　その1 　マルウェア感染にはなかなか気づかない
• 得られた気づき　その2 　意思決定のスピードが重要
• 得られた気づき　その3 　ビジネスは技術力だけではない
• 得られた気づき　その4 　ビジネス継続のために防御力と復旧力が重要
• 得られた気づき　その5 　サービス再開は判断が難しい
• 得られた気づき　その6　トラブルは情報の不足と間違いから
• 得られた気づき　その7 　脆弱な初期設定に注意
• 得られた気づき　その8 　安易な作業がトラブルを生む
• 得られた気づき　その9 　事前準備と事後の振り返りが重要
• 得られた気づき　その10　情報共有は共同オペレーションの体験から