こんにちは、QAの上池です。
Hardening というセキュリティ堅牢化の競技会に参加して、優勝しました!!
大変良い経験だったので、イベントの様子を報告します。
Hardening とは
Hardening とは、チームでECサイトを運営し、サイトの収益を上げつつインシデントレスポンスを実施して、その技術力や対応力を競うイベントです。
https://wasforum.jp/hardening-project/
今回の大会から、1チーム内でサービスプラットフォーム・営業統括・経営企画のビジネスユニットに分かれて競技を行うことになりました。
やったこと
私は経営企画を担当しました。
CSIRT を設立して JPCERT/CC とやり取りしたり、プライバシーポリシーを掲載したり、データを抜かれて個人情報が漏洩してしまった(笑)ので、その報告をまとめて関係各所に連絡したりしました。
プライバシーポリシーは、GDPR 対応したものとその英訳版を事前に用意しておいたので、必要になった時にスムーズに掲載することができました。
他のメンバーも、あらかじめ必要となりそうなコマンドや手順を準備していて、競技中に活用していました。
やりたいこと全てをやりきれたわけではありませんが、メンバー間でうまくコミュニケーションを取ってそれぞれがベストを尽くせたので、優勝することができたのだと思います。
学びと感想
円滑なコミュニケーションの必要性
インシデントレスポンスは、以下の状況の中で実施していく必要があると実感しました。
- 部署をまたいだ意思決定が必要で、全社最適な優先順位で対応する
- 現場の人が実際に手を動かす時は結論の背景をちゃんと理解しておく
そのために、組織間コミュニケーションを円滑にしたり、経営層のやり取りが現場に伝わっていることの必要性を感じました。
今回は Slack を使うことで、このあたりをうまく実現できました。メールでのやり取りが必要だったり、オフラインで招集しないといけないような企業だと辛すぎると思いました。
普段の業務では kintone 上でやり取りをしていて理想に近い状態ではありますが、まだまだ改善の余地はありそうです。
レスポンスのフローを用意しておく
インシデントが起きたらその具体的な対処や意思決定に追われるので、「これが起きたらどこに何をどのような手順で対応するか」をまとめたり、報告書のフォーマットを用意しておくだけで、レスポンスが圧倒的に速くなります。
お客様対応やサービスの運用のためにも、レスポンスのスピードは重要だと感じました。
みんな一回はヤバい事象を体験しておくべき
今回の Hardening への参戦で、セキュリティインシデント発生時に、どう情報をまとめて共有するか、どこに報告しないといけないかといったことを学びました。
それ以外にも、職種によってそれぞれ学びがあると思います。実業務でヤバみを体験していない中堅社員には参加を推したいです。
- 開発・運用:データ保全や稼働率維持を目的とした作業の優先順位付け、スムーズな実施
- 営業・サポート:お客様とのやり取り
- 広報・IR:HP掲載、メディア対応
- 法務::法的整理、関係省庁へのインシデント報告
もう1つの Hardening
今回の開催場所は宮古島で、開催期間中は快晴でした。
が、開催前日の7/5は50年に1度の大雨が降り、大型台風が至近に到達しているという状況でした。
Hardening Project 公式からも台風ネタが投下される有様……。
Between 7 and 8.
— Hardening Project (@WASForum) 2018年7月4日
May the force be with you.#HIICL pic.twitter.com/BOJBmash3n
私はイベント後に宮古島に2泊する予定だったのですが、飛行機が飛ばなくなって宮古島から出られなくなるということだったので、急遽予定を繰り上げて沖縄本島に移動するというインシデントレスポンスを発動しました。
みなさま、宮古島にお出かけの際は、大雨・台風にお気をつけください!