はじめに

現在、東北の大学2年生でリモートでITのスタートアップでアルバイトをしている文系エンジニアの佐藤です。詳しい自己紹介はこちらを参照ください。
（https://qiita.com/RyuseiSato/items/9253a9c4ad735dc5f3cb )

Mini Hardening

今回私はOWASP主催Mini Hardeningに参加してきました！
（https://minihardening.connpass.com/event/152553/）

今回はリモート含めて5つの競技会場があり、私はOWASP FUKUSHIMAが主催する会津会場から参加しました。

Mini Hardeningとは？

WASForumは、2011年に発足したHardening Projectにより、2012年よりセキュリティ堅牢化の競技会を開催しています。このイベントは、最高の「衛る」技術を持つトップエンジニアを発掘・顕彰するものであり、技術競技(コンペティション)と、全チームの展開したセキュリティ施策の発表会の形式としています。

丸一日かけて行われるHardeningと違い、Mini Hardeningは3時間程度（今回は特別に5時間）かけて行われます。短い競技時間でもそこはHardening。運営側から提供された環境で、実際に脆弱性を突かれる攻撃がガンガンくるので、自分ごととして学ぶことができます。システムの開発や運用において、攻撃を受ける前提で様々なシステムを予め堅牢化をしておくことはとても重要だということを学びました。

OWASPとは

The Open Web Application Security Projectは、ウェブアプリケーションセキュリティをとりまく課題を解決することを目的とする、国際的なオープンなコミュニティです。

最も重大なウェブアプリケーションリスクOWASP top10などが有名です。

参加した経緯

そもそも私は2019年の1月からプログラミングを始めて、セキュリティに関しての知識もほとんどありませんでした。しかし、Hardeningの報告会の話を聞いたところ、めちゃくちゃおもしろそう！ふだん目の前で見ることがない攻撃を見れるという話を聞き、自分も参加したい！と、勢いで参加しました。
実際参加してみると...いかんせん何もできません.....いやほんと能力皆無です....

競技内容

ウェーイ系社長がいきなり「これからは仮想通貨だ」だと宣言し、勝手に仮想通貨交換システムを自分で構築してしまった。そしてシステム運用を任されることになります。
競技時間中は、与えられたシステムが安定稼働できるようにし続ける必要があります。

やったこと

自分が行ったことのリストです。

・Tera Termにsshで接続
・データベースパスワードのリセット要請や運営への報告担当
・ウェブサイトが改ざんされていないか、ほぼずっとリロードして確認

これしかできなかったです。技術が足りてなく自分でやれることが少ないので必死にやりました。

チームでは、gitで改ざんをチェックする仕組みを作っていたので、ある程度チェックはできていたのですが、どう改ざんされたのか、サイトの表示はどうなっているのかまでは追えていなかったので、逐一目視で監視していた自分もお役に立てたと思います。

チームメンバー

ここでチームIのメンバーをご紹介いたします。

株式会社Eyes, JAPANの真水さん、株式会社セキュアスカイテクノロジーの羽鶴さん、鈴木さん、そして私の4名でした。

（羽鶴さんのレポート：https://techblog.securesky-tech.com/entry/2019/12/17/?fbclid=IwAR0F45VvjIEWdbR0LWQaVkBtdFV-AxRjVmLROfOBdgO1xay94WfeEgjV_q4）

（真水さんのスライド：https://www.slideshare.net/EyesJapan/mini-hardening-project-35-owasp-fukushima-206660083 )

同じ会場のJチーム：

結果

今回私達のIチームは全14チーム中2位でした。本当にチームの皆さんありがとうございます。

自分の反省点
連絡担当だったので、もっと報告を細かに連絡すればよかったと感じました。同じ会場のJチームはコミュニケーション力でダントツの1位でしたを取っていたので学ぶものがありました。

特にデータベースが落ちて3時間後に報告をしたのでのは大きな反省点です。

あとはサイトに張り付いて監視していただけで、ソースコードまでは確認していませんでした。競技後半からでも気付いたらもっと巡回を強化できたのではないかと思います。

競技後半は、4つのサイトのうち３つのサイトがアクセスできないにも関わらずスコアが上がって1位をキープしていましたが、最後に別チームが大幅にスコアを伸ばして負けました。

今回、自分は何もできない状態からでしたが、真剣に競技をするメンバーを見て自分もこんなエンジニアになってみたいという想いが強くなる1日でした。

最後に

今回初めてHardeningに参加して、ゲーム感覚で参加でき、目の前でデータベースが落ちたり、実際の攻撃を見ることはなかなかないので、とても良い経験になりました。

セキュリティに興味があるけど、ちょっと難しそうだな、とか、個人のサイトに攻撃なんて来ないでしょ、うちのシステムは大丈夫という方にも是非参加してもらいたいです。

セキュリティエンジニアだけではなく、プログラマー、そして経営者など非ITの方にもぜひ参加してもらいたいと思いました。初心者の私でも楽しんで参加でき、とても勉強になりました。

今後もHardeningに出るためのセキュリティをもっと勉強する必要を感じました。自分は現在、フロントエンドを勉強しているので徳丸本も読んで勉強する予定です。