SECCON 2015 大阪大会(CSIRT演習)Writeup

グランフロント大阪で開催されたSECCON 2015 大阪大会(CSIRT演習)において、私が所属するteam nwが優勝しましたのでWriteupを書きます。SECCONの全国大会は2013年からずっと狙ってた憧れの舞台であり、今回はワンチャンスを獲りに"ガチ"で挑みまして、有言実行することができました。


スケジュール

今年度のSECCONのスケジュールは、6/9に公開されました。大阪大会でCSIRT演習が開催されるのを見つけた瞬間から、この大会での優勝を狙っていました。CTFは攻撃者目線での大会になりがちですが、CSIRTは防御側の立場の組織であり、従来の大会にはない異色の要素といえます。
http://2015.seccon.jp/2015-07-seccon2015plan.html


CSIRTとは

CSIRT(Computer Security Incident Response Team)は、セキュリティインシデントを対処する組織のことで、被害を最小限にする、適切なインシデントレスポンスと対策を提供する、インシデント情報や脆弱性情報の情報提供をするのが主なミッションです。私は所属会社のCSIRTのPoC(Point of Contact:連絡窓口担当者)をしています。
CSIRTについて詳しく知りたい場合には、日本のナショナルCSIRTである、JPCERT/CCが『CSIRTマテリアル』を公開していますのでこれを読むのをおすすめします。
https://www.jpcert.or.jp/csirt_material/


事前準備

大阪大会参加者の募集は10/19に開始されました。
http://2015.seccon.jp/2015-10-seccon-2015-csirt.html

◆ SECCON 2015 大阪大会(CSIRT演習)競技概要
定員:60 名(15 チーム)
会場:グランフロント大阪 ナレッジキャピタル
開催日:2015 年 11 月 8 日(日)
募集期間:2015/10/16 〜 2015/10/24 23:59:59 (JST)

◆ 当日スケジュール(予定)
12:30 開場&受付
13:00 自己紹介(チーム全員)
13:15 ワークショップ内容説明
13:45 休憩
14:00 競技開始
16:00 競技終了
〜16:30 プレゼン資料作成
16:30 休憩
17:00 プレゼン開始
18:00 休憩
18:15 審査員の模範解答
18:45 審査員から順位発表
19:00 解散

◆ 持ち物
筆記用具(A4の紙にメモ)
ノートPC(プレゼン資料の作成に使用)

PCの用途はプレゼン資料作成のみと書かれているため、一般的なCTFとは違って問題を技術的に解析することはないとわかりました。


事前準備

CSIRT活動において、インシデント発生前における準備はたいへん重要です。これは演習にも通じることだと思います。私達のチームがこのような事前準備をすることで優勝できましたので、今後の大会におけるひとつの目安となると思います。

CSIRT演習「三種の神器

  • CSIRTマテリアル
  • 報告書テンプレート
  • ユニフォーム
CSIRTマテリアルの再読

大会中に不必要な議論がいらないように、CSIRTのミッションについてマニュアルを読んで再度チェックしました。とくに『インシデントハンドリングマニュアル』は、インシデントハンドラーには必読のバイブルです。『CSIRT記述書(作成例)』も読むといいです。

プレゼンテーション資料のテンプレート作成

インシデントの報告資料には、ネットワークの構成図がほぼ必須ですが、構成図を書くのには時間がかかります。演習の時間内には終わりません。そこで、あらかじめ演習で登場が想定されるネットワークの構成図を書いて、持参することにしました。発表用の資料にはそれをコピー&ペーストするだけでよいため、大幅に資料のクオリティーを高めることができました。私は実業務において、いつもこのネットワーク構成図をつくる係ですので、このアイディアは業務経験が活きたと思います。


ユニフォーム

チームのメンバーの一体感を高揚させるため、カラーベストを購入して着用しました。安いものなら1,000円以下で購入できますのでおすすめです。これも自社のオペレーションセンタの事例を参考にしています。


競技内容

競技は「ボードゲーム」でした。

  • 3ラウンド制(1ラウンド40分)
  • イベントカード:毎ラウンド3枚OPEN
  • アクションカード:毎ラウンド2枚をチームで議論して選択
  • 資産ポイント:開始時に8ポイントあり、0になるとゲームオーバー
  • ブランドポイント:開始時に8ポイントあり、0になるとゲームオーバー

提出物、評価対象

  • アクション決定シート(手書き)
  • プレゼンテーション資料(発表5分)

ここ1〜2年の間に発生したサイバー攻撃を意欲的に取り込んだ内容になっていました。現在、SECCONの運営委員会でゲームの公開に向けて調整中と聞いているため、詳しくはそれを待ってください。

(2016-07-23 追記)
トレンドマイクロからボードゲームが無償提供されました。
企業のインシデント対応訓練を行うボードゲーム形式の教材を無償提供 | トレンドマイクロ

演習で意識をしたポイント

CSIRTの資源は有限

この演習では、選択できるアクションの数が明確に制限されています。CSIRTマテリアルにも、資源が有限であることが明記されていますので、これがゲームにも表現されているのだと考えました。発生したインシデントにトリアージをして、優先度を付けました。これを提出物への記述でアピールしました。

ストーリーの組み立て

これは事前に準備をしたことではなく、ゲームの間にたまたまうまく行ったことです。3つのラウンドで発生したイベントを、チームで議論して適切な解釈を行い、ストーリーを組み立てることができました。

報告/情報公開

社内へのエスカレーションと、お客様への情報公開をすることの重要性を意識して、アクションとして選択できました。


まとめ

SECCON運営委員会・協力組織のみなさま、たいへんよい大会を運営いただきました。ありがとうございます。

地方大会の優勝により、来年1/31のSECCON 2015 全国大会(international)への出場権をいただきました。全国大会は夢の舞台ですが、われわれCSIRTは守る側の立場の組織であり、CTFで試される攻める側の技術は弱点です。このため決勝大会の目標はブービー賞としています。決勝大会で圧倒的な最下位をとってしまうと、今後のSECCONでCSIRT演習が開催されても全国大会切符を付与してもらえなくなってしまうかもしれませんので、責任重大です。