めちゃくちゃ遅くなりましたが、報告もかねて。

以前から気になってはいたのですが、なかなか「今のスキルでいっても大丈夫なんか」と二の足を踏んでいました。ただ、北海道で開催されるということだったので勇気を出して参加してみました。

44b65c5061cecfdc02f94b9ce2.doorkeeper.jp

まぁ、結果としては「スキル貧弱すぎね？ワイ」という他なく、メンバーの方には迷惑をかなりかけたと思います(watchコマンドとか、この時メンバーの人に言われて初めて知りました....)。本当に申し訳ない...
ただ、得られるものがたくさんありました。なので、「参加して本当によかったなぁ」って思いましたし、さらに視野が広がったなぁという感じです。

参加して思ったこと

個人的な感想としては以下の2つが大きいです。

• 知識として知っていたとしても、実際に手を動かして対処するのは日頃から具体的に対処の内容を意識していないと難しい

当然なのですが、これは本当に実感しました。普段、ニュースなどで「インシデントで.....設定に不備が....」といった話題があった際に、対処の内容を具体性を持って考えられていなかったんだなぁ、と。
内容的に簡単な作業だと思っていても、やはりやってみると案外難しいこととか「コマンドなんだっけ？」ってググってやって時間がかかってしまったりというのは結構にありました。 こういったところでもたつかないようにするためにも「対応を行う際の手順」を持っておくのは非常に重要だなと思います。
また、こういった手順を作るためには、自分たちが持っているリソースがなんなのかをちゃんと理解しておくことも必要ということも思いました。「何に対して(データベースサーバとかWebサーバとか)」「どのような処置を施す(どんなコマンドなどを実行するのか)」とかですね。
(こういった話はインシデント対応の資料とかで見られる内容だと思います)

• チームとして対処するので「情報共有」「チームワーク」は本当に重要

インシデント対応の現場で、チームワークの不足と情報共有不足は本当に命取りになるのは実感しました。今回は、即席のチームでぎこちない部分もありましたが(汗)、これが「実際の現場だったら...」と想像すると、かなりゾッとします。 そうならないためにも、会社などの組織に属しているのであれば「日頃から関連部署とはちゃんと連携しておきたいよなぁ」といったところ。

情報共有にしても、「対応を行う際の手順」を共有知識として持っておくことも必要だと思いますし、可能であれば手順にしたがって対応がちゃんとできるかどうかの訓練はしておきたい。 もし、「対応を行う手順」がなかったとしても、slackやhackmdなどのツールなどを用いて「気になった情報」「誰が何を対処したか」などの情報は共有できるような体制にはしておきたい(理想ですが)。

今後やっておきたいこと

• 配布された事前資料をちゃんと復習すること。
  

当日もこの資料をみて解決できるものが結構あったということなので、まずはそこから。

• 今回使用された攻撃、それが成立してしまう要因(設定など)、対策方法(なにを実施すれば防げたのか)をちゃんと一通りまとめておくことをやっておきたい。
  

知識としてちゃんとまとめておくことは必要だし、ちゃんと手を動かして確かめておきたい

• 情報共有の方法を検討(slackとかhackmdあればいいけど、ない場合はホワイトボードとか?)

最後に、

私自身、こういった「リアルタイムで攻撃を受けている時に、どのように対処するか」ということをやったことがなかったので、実際に参加してそれがいかに難しいかを実体験できたのは非常にいい経験でした。
いきなり会社とかで「対処しろ」と言われたとしても、事前の訓練なしには何もできない可能性が高いことも実感できました。こういったイベントを通じて「何を」「どのように対処」するかを手を動かして、そしてチームで連携を取りながら訓練できる機会は本当に貴重です。

ぜひ、興味がある人には勇気を出して参加してほしいとおもいます。

また、このようなイベントを立案・実施してくださった方々には本当に感謝です。ありがとうございました。
可能であれば、継続的に参加したいです。

自分に対する戒め

やりすぎセキュリティはノー！