Hardening 2024 Convolution参加記

前回感想編をざっくりと書きましたら、今回はもうちょっと細かなお話を書いていきたいと思います。 前回のざっくり感想編は以下にリンクを貼っておきます。
taktic | Hardening 2024 convolution参加記(感想編)


どんなスケジュールだったのか。

サイトだと「Hardening Dayでは、8時間を通して次々と発生する膨大な量のサイバー攻撃やシステム不具合に対し、参加者は自らの技術施策を繰り出します。」との記載があるのなんとなく8時間のイベントなのかなと思ってしまうかもしれませんが、実際には前後にいろいろなイベントや準備があるためにこれだけでは終わりません。
引用元:開催概要/募集要項 – Hardening 2024 Convolutions

申込みからチーム決定、そして競技終了までの流れは大体こんな感じ。
日付としては2024年のものを入れていますが、他の年でもだいたい同じだと思います。

日時 イベント 概要
7/8 参加者募集開始 先着順ではないですが忘れないように早めに
8/10 参加者申し込み締め切り 発表から1ヶ月くらいは考える余地があるのです
8/16 選考結果発表 この時点でチーム分けとかも決まっています。とりあえず一報を送る必要があるので、週末でも確認できるメールアドレスで申し込みするのが吉
8/23まで チームリーダとチーム名の報告 早いよって感じですが、すでにチームビルディングが始まっています
8/27正午くらいまで チーム自己紹介動画提出 チーム名にリーダー選出だけでも早いのに動画作成とか大変じゃないですかって気持ちになります
8/27 キックオフミーティング 全員参加のオンラインミーティング。チームごとの自己紹介動画を流して、ここから始まりますよ的なやつです。
8/23- チームビルディングと競技への準備 ここがかなり肝な部分。ここから競技開始までチームビルディングしながら競技への準備を行います
10/11 事前資料公開! PreparationDayに公開されると思った資料がここで公開。つまりは何かしら特別なものがあったということです
10/15 PreparationDay ここで翌日衞るべきシステムの情報が提供されます。大体夕方の18時くらいなのでそれまでにメンバー集合できるといいかな
10/16 HardeningDay 競技当日です。このために2ヶ月弱準備してきたので、全力を出し切ってがんばりましょう
10/17 AnalysisDay SofteningDay用の資料作成の日。大体午前中で叩きを提出して、午後はNetworking Dayという形での交流会があります。今年はBBQとハーリーでした
10/18 8時 発表資料最終提出 発表用の資料の最終提出はここになります。
10/18 SofteningDay 全チームの発表と、運営側の発表、そして表彰などがあります。これで全日程が終了です
以降 振り返り会 振り返って共有して学びを最大化するのがこのHardening。ということで、まだまだ続きます

細かく書くとこんなところかな。


ビジネス大事

Hardeningと聞くと、技術側がバリバリ頑張って、穴を塞ぎましょうとか攻撃から守りましょうというイメージなんですが、このHardening Projectが実施しているHardeningはそれだけじゃないところが面白いところだと思っています。

サーバを衞るのはなぜなのかというところに立ち戻ると、その上で動いているサービスを止めてはいけないからです。
サーバが攻撃されていたから止めましたという部分も大事ですが、そこでサーバを止めなかった事によってサービスが継続できたという点が大事なんです。
それを実践的に理解してもらうために、Hardening projectが実施しているHardeningでは「ビジネス」が存在していて、それに関する評価があると思っています。

だからこそこのイベントではビジネスと技術のバランスが大事だと思っています。ただビジネス寄りかというとそうでもないので、バランスよく目バーを配置するのがいいのかなぁと思います。

こういうイベントの参加者はだいたい技術寄りなので、その中でどこまで 「ビジネス大事」 をアピールしてチーム内で浸透させるのかが勝利へのポイントだと思います。


過去の情報は大事

Hardening Projectでは「どういう競技でどういう学びがあったのか」がポイントですが、「今回の環境はこういう環境でー」と環境の話をするのは個人的にアウトかなーと思っているところです。
ここに関しては前回も書いたのですが、どこまで情報共有すべきなのかという点に集約されると思っています。

先ほど書いたとおりにこのイベントは技術だけではなくビジネス側の対応も必要になってきます。また去年の情報が今年も通用するのかというと、環境資料が公開されるまでわからないんですよね。
それを踏まえると 「去年はこうだったのでこのイベントの攻略法はこれ!」なんてことはありえないので、それを攻略法のようにとらえて一点集中されると、「そんな装備で大丈夫か」となってしまうわけです。

ただ、過去の資料は大事です。公開されているYouTube動画などもあるので、穴が開くほど見ることは間違っていないと思います。

こういう動画ですね。これは今年のSofteningDayの動画です。各チームの取組みに関する発表などを見ることができます。

[H2024C] Hardening 2024 Convolutions - Softening Day - YouTube

また、参加するとなった場合どこかしらからやってくる過去資料があると思います。過去の対応した内容もそうですが、過去公開された資料を熟読することは大事だと思います。
読み慣れておくことで前日発表された資料を読むときの助けになります。

まとめると、過去の資料はすごく大事。ただ過去の資料が完全攻略法が書かれているものではない ということです、はい。


チームビルディング大事

スケジュールにも記載しましたが、チームが決まってから名前とリーダーの選出、そして動画作成という流れ。否が応でも話し合いをしないといけないんですが、正直なところこの時点でチームがまとまることはないと思います。

誰か引っ張ってくれる人がいてその人に引っ張られている、そういう状態からスタートすると思うんですが、果たしてそれでいいのか。
それで最後の最後まで引っ張られたまま過ごして、最後は「あー、なんか引っ張ってくれた人がなー」みたいな感想持つのもよろしくないですよね。

もし時間が無くてなんとなくリーダー決めたのなら、それはチームでちゃんとフォローするべきだし、最初からリーダーやりますって人がいればその人にやってもらいつつ、自分が違うと思うところは違うと言える空気を作るのが大事なのかなと思います。

まあこのへんはチームビルディング難しいとこですよね、特にオンラインがメインになるチームビルディングなんでそこはムズカシイ。その難しさを越える面白さもありますよね。

このあたりは私もまだまだなのでがんばっていきたいところです。


じゃあ技術的なところは

技術的なとこわからねーじゃんって話があると思いますが、正直この辺はもう教えつつ教えられつつ、チームとしてどうやるのかを準備期間に話していくべきです。

あとは演習ですかね。MicroHardeningに参加するのもいいですが、オンラインで他のメンバー交えて演習するのはすごく成長するのにいい機会だし、本番への練習にもなりますからね。

今年のチームでは、技術チーム側でAyato-Hardeningを実施して「わからないなー」とか作業の共有を行っていました。ayatoさんに感謝です。 ayato-shitomi/ayato-hardening

ayatoさんが実際にHardeningのチームビルディングで使用したレポートも書いていますので、そちらも参考にしてください。 Hardening 2024 Convolutionsに向けてAyato Hardeningを開催した話 #チームビルディング - Qiita

その他諸々の技術的なところは、ここに書くのも野暮かなと思うので、参加してから十二分にコミュニケーションを取って吸収しましょう。
どういうものが得られるのかは、参加してからの楽しみに取っておいてください。


聞こう

聞こう。

自分が疑問に思ったこととか、わからないなということは聞きましょう。

今回は「メンター」と呼ばれる過去参加者の方々がおり、その方々から色々な話を聞く機会がありました。

チーム内では私が経験者というポジションでしたが、わからないことに関しては「メンターさんに相談してください」と誘導していたのですが、それだけではなくて私も一緒にメンターさんと話を聞くというアクションが出来ていればなと反省しています。 たぶんその方はメンターさんへの相談を行っていないと思っています。まあ相談できる人とはいえ面識のない人とオンラインで話すというのはハードル高いですからね。

次回以降にこのメンターシステムが導入されるのか不明ですが、チームに居る経験者だけではなくて誰かに聞くのはすごく大事です。聞きましょう。
あと聞く際には「何がどうわからないのか」をはっきりさせておくのがベターですが、話しているうちにそれが明確になることもあります。まずは聞きましょう。 間違ったことを聞いてもオンラインであれば噛みつかれることもありませんから、安心して聞きましょう。

メンターの方々にはものすごくお世話になりました。
寝た方がいいのか寝ずに準備するべきなのか悩みましたが、チームメンバーは徹夜でがんばっていた方々もおりました、アドバイスありがとうございました。(冗談です、すいません)


交流しよう

とりあえず顔を売りましょう。とりあえず。

そんな気持ちで交流していました。まあ中身がなかったかもしれませんが、いつか何かしらのとっかかりになってくれればなと思っています。

ミスで目立ったとしても、次からミスしないようにしたらいいわけですし、そのミスを使って自分の顔を売るなんていうこともできるんじゃないですかね、はい。


まとめ

セキュリティ大事というイベントなんですが、技術だけではなくチームビルティングやビジネスという点にも着目された(と私は思っている)いいイベントです。

MicroHardeningの延長かなくらいで参加すると、2ヶ月間でなかなかの地獄を味わうことになるかもしれませんが、その期間に何も得ることがないなんてことはないです。

このイベントの攻略法は まずは動いてみる だと思います。誰かに聞くとか自分の意見を述べるとか技術的な何かを提供するとか、まずは自分から動いてみるのが一番です。その先にはきっと結果がついてくるでしょう。


参考にしたサイトや本

このあたりはビジネスの事業継続性とかそういう話になってきますね。
事業継続性はよくわからないなーという場合にはこのサイトを読んでみると良いかと思います。
中小企業BCP策定運用指針

またCISOもセキュリティ界隈ではよく聞く言葉ですが、私が競技までに参考にした(と言ってもまだ熟読できていない)のは以下の本です。
CISOハンドブック ――業務執行のための情報セキュリティ実践ガイド

これはいまから読んでみようかなと思ってますが、チームビルディングに関する書籍です。 改訂 チームビルディングの技術