AWSのセキュリティインシデント調査ワークショップに参加しました

インフラ担当の柴田です。 1月31日に行われたセキュリティインシデント調査ワークショップに参加しました。

セキュリティインシデント調査ワークショップとは

AWSを利用する中で発生する典型的なセキュリティインシデントの調査方法を、チーム対抗のCTF(クイズ)形式で実際に調査しながら学ぶことができるイベントです。 Amazon OpenSearch Service上にAWS環境で発生したログが集約されており、セキュリティインシデントが発生した時間など、設問の答えを実際にログから調査します。 最初にOpenSearchを使ってログを抽出する方法などは教えて貰えるのと、OpenSearchの初心者向けの問題や、AWSのトリビア問題もありましたので、OpenSearchが未経験でも十分楽しめたと思います。

今回は、AWS Top Engineer向けに限定して参加者が募集されました。参加ルールは次のような感じでした。

  • チームは1名〜4名で編成
  • チーム内にはTop Engineerの方が1名以上必要
  • チームメンバーは、全員AWS Partner Network (APN) に参加している会社に所属している

フェンリルではTop Engineerが2名いますので2チームで参加しました。

ワークショップのおすすめポイント

普段何気なく取っているログの活用方法がイメージできる

AWSのアカウントを取ったらとりあえずCloudTrailやGuardDutyを設定していると思いますが、設定はしているものの活用したことはないという人が多いと思います。 かくいう私もどういったログが取れるのかなどの知識はありますが、そのログを調査する機会は少ないです。

本ワークショップは、そういった普段収集しているけどなかなか見ないログを組み合わせて、インシデントの調査をします。 そのため、具体的なログのフィールドを確認しながら、ログをどう活用していけば良いのかがイメージできたのが良かったです。

聞いたことあるインシデントが起きている

具体的な問題については紹介できないのですが、「こういうインシデント聞いたことある!」が問題として出てきます。実際に起きているインシデントがベースになっているので、業務にも役立ちそうです。 また、聞いたことがあるインシデントを上手く調査できると、「進研ゼミでやったところだ」みたいな楽しさがあります。

ゲーミフィケーションで楽しく学べる

AWS GameDayもそうですが、本ワークショップは単にサービスの使い方を学ぶというワークショップではなく、ゲーム要素が含まれています。 問題を解くとポイントが加算され、他のチームと比較して順位が上下します。 問題も様々で、AWSのサービスの話だけではなく通信についての知識などを活用する必要があったり、多数の問題が用意されているため高得点を狙うためには分担して作業することが必要だったり、チームの総合力が試されると思いました。

今回、システムの不具合で正式に順位付けは行われなかったのですが、時々順位を見ては「今2位だ!」とか「1位すごいな」と順位に一喜一憂しながら楽しく学べました。

スコアボードに解いた問題数とスコアが表示されます

ワークショップ参加時のおすすめ

オフラインで集まる

昨今なかなかオフラインで集まるというのは難しいのですが、個人的にはこの手のイベントはオフラインがおすすめです。 同僚と問題を解くときも、同じ画面を見ながら考えていることを説明しながら解くということができます。もちろんオンラインでもチャットツールなどを駆使すれば同様のことはできますが、ちょっと見てというのはオフラインの方が簡単です。

お菓子を用意する

オフラインで集まるとの相乗効果なのですが、お菓子を食べながら作業することでチームがより打ち解けるように思います。 また、ワークショップ自体が難しく、時間も長いため途中で頭が疲れてきます。そういう時甘いお菓子を食べながら同僚と状況を整理すると良い感じのアイデアが浮かぶことも?

感想

今回のワークショップでは、問題の回答を受け付けるシステム側のトラブルで予定通りとは行かなかったのですが、トラブルがあっても和気あいあいとした雰囲気で進んでいたのが良かったです。 ワークショップの最後に調査方法の解説が行われました。OpenSearchを使い慣れていないこともあって、私の調べ方は力業なところがあり、結果的にはあっていたけれどもなるほどそういう解き方があったのかと勉強になりました。 また、今回私のチームは私だけ所属が違うという混合チームだったのですが、一緒に問題を解くことで良い感じに打ち解けられました。

余談

チームロゴを変更できるようなので、チーム名にあわせてロゴを変えたらメンバーのアイコンぽいところも同じ画像になって、ピザの圧が強いチームができあがりました。

チームロゴにピザの写真を載せたら、全員がピザになった