OWASP Kansaiに初めて行ってきたけど、ボドゲで遊んでた件

今回はブログ枠で参加したので久しぶりに記事化してみよう。

 

OWASP Kansaiとは?


そもそもOWASPという言葉が聞きなれない人もいると思うのでサクッと説明

OWASP - Open Web Application Security Project とは、Webをはじめとするソフトウェアのセキュリティ環境の現状、またセキュアなソフトウェア開発を促進する技術・プロセスに関する情報共有と普及啓発を目的としたプロフェッショナルの集まる、オープンソース・ソフトウェアコミュニティです。The OWASP Foundationは、NPO団体として全世界のOWASPの活動を支えています。OWASP Japanは、その日本チャプターであり、数々のプロジェクトへの参画による貢献、日本語への翻訳、またプロジェクト設立を行なっています。ローカルチャプターミーティングとして、3ヶ月に一度以上のペースでOWASP Night/Dayを開催しています。また、都心近郊のみならずチャプターの有無にかかわらず日本全国の促進活動や、グローバルの様々なプロジェクトに参画し、また広く活用を促進することにより社会に貢献しています。
About The Open Web Application Security Project - OWASP 

大まかにいうとコミュニティベースでウェブのセキュリティについて
みんなで考えようぜというところだろうか・・(大まかすぎる)

ちなみに、今回の会場はこちらも初めてお邪魔するファーストサーバーさん。

f:id:livace:20180614154733j:plain
Let's Encriptを国内で初めて導入したレンタルサーバーをメインにしている企業です。

 

到着後、早々に受付を済ませると
今回体験する2つのボードゲームから1つを選択してくださいとのこと。

f:id:livace:20180614154605j:plain

JNSAが製作しているMalware Containment(通称マルコン)

www.jnsa.org

f:id:livace:20180614154539j:plain

トレンドマイクロ社のインシデント対応ボードゲーム

インシデント対応ボードゲーム:セキュリティインシデントの模擬訓練で自組織の対応力を強化する | トレンドマイクロの2種類

今回はインシデント対応ボードゲームを体験してみることに。

 

ゲームの詳細については各リンクから参照を。

テーブルについて約20分もの緩くもガチっぽいゲーム設定の説明をみっちり受けたあと
ロール割り振りしていく。

f:id:livace:20180614155918j:plain

割としっかりめの説明

f:id:livace:20180614160004j:plain

f:id:livace:20180614160044j:plain

f:id:livace:20180614160122j:plain

設定がかなり細かい・・。


役割としては経営責任者、情報セキュリティ部門責任者、事業部門責任者、システム管理者、セキュリティ担当者、広報担当者の7つあるのだが
今回4人でプレイすることになったので経営責任者、情報セキュリティ部門責任者、事業部門責任者、システム管理者を決めたあとセキュリティ担当者を事業部門責任者と兼務することになるのだが
どういうわけか4人で譲り合いの精神が発動したのでCEOとしてロールすることになった。

そしてROUND1スタート

ゲームを始めるためにイベントカードを3枚引かなければならないので誰が引くか相談していると
CEO権限で・・と言わんばかりのプレイヤー達から圧を感じたので
気を引き締めながらカード置き場から引いてみる。
するとブランドPT -1のみでインシデント内容としては割と軽微なものばかりが並ぶ。

f:id:livace:20180614155234j:plain


「喫茶店で座席表紛失」
「クレジットの不正決済の使用履歴」
「セキュリティ事故に関する取材の申し入れ」

 

そして、これらに対応するためにアクションカードを選択していく。

ちなみにアクションカードは自由に内容を確認して2枚まで選択することができる。
今回は重要視するとすれば「クレジット使用履歴」と「セキュリティ事故」の部分なので
ひとまず「関係者にヒアリング」「公的・外部機関に連絡する」形で乗り切れそうと判断。

不正利用に関しては、どの層(顧客か消費者かそれ以外か)で履歴が残ってるのか不明なので
一度関係省庁等に連絡し、事例を確認する対応で「セキュリティ事故に対する取材」についてもカバーリングできると判断。
そして「座席表の紛失」はもはやどうしようもないので
(そもそも社員の名字しか載ってない名簿のようなものなので、
会社にとってそこまで大きな被害はないと判断)
関係者にヒアリングを実施することで、防止策の周知徹底で対処できるだろうと決断。

ROUND1が終了したので続いてROUND2に突入。

まさかのアクシデント発生

ROUND2に入る前に他のテーブル(3テーブルでやってた)でも
同様にコストをあまり払わずに通り抜けたところがあったようで、
ファシリテーターから「今からブランドPTを2つ減らしてください」とのお達しが・・。

「2つ減らしたら最悪倒産しないですか・・」
と不穏になりながらも、ここでもCEO権限でイベントカードを引くことに。。

「頼む。。倒産だけは避けてくれ・・」
かつて、ゲームでこんなに祈ることなんかあっただろうか・・
そう思いながら3枚伏せたままで引き終えて並べたあと、全てのカードを開けてみる

f:id:livace:20180614155520j:plain

・・!?

 

まさかのノーコスト引き!
これはいい意味でやらかしたよ、、運使ってしまった。。

気になる内容は・・
「マクロ付きのドキュメントファイルを社員開いてしまったとの報告」
マルウェアと思われる添付ファイル付きメールが大量に届く」
「リアルタイム検出で社員のPCからハッキングツールが検出される」

 

うーむ。マクロ付きのファイル開くのは、ままある話だもんな・・。
ただ、困るのがリアルタイムでハッキングツールが検出されたこと。
しかも認証情報やられちゃうやつだからこれはなんとか対処したい。

悩ましいインシデントであるため話し合いは結構難航する

ひとまず社内・社外でこれ以上の影響が出ないように
運用部門に連絡してマルウェアとマクロ付きファイルへの対処をする。
(本気でややこしいやつなら対象危機から社内LAN引っこ抜けばいいだろうと見解)

最後にハッキングツールの問題は
セキュリティ専門家に依頼するか(金で解決)
一度様子見として、対象機器を調査するかで話し合った結果
まず機器調査してみて、最悪の場合はバックアップツールを走らせようと考慮したので
機器調査で対応することでゲームは終了。

結果としてはROUND1とROUND2前にブランドPTが下がっただけで
そのほかでは一切落とすことなく切り抜けることができた。

結果として3テーブル中総合1位か・・?

2ROUNDプレイして時間もちょうどいいくらいになったので
ポイント数が少なかったテーブルで謝罪会見行うとなんともそれっぽい・・。
ファシリテーターが確認すると自テーブル以外はともに同じポイント数だったらしく
2テーブルで謝罪会見を開催。

f:id:livace:20180614155820j:plain

インシデントの減点ポイントが少なかったにも関わらず
アクションで資金を使ってしまったパターンや
もはや問題視することなくスルーしたインシデントもあったりと
これが本当に会社で行われてたらある意味で怖いなとも思ったり
(飲みながらプレイしてたこともあるので割とどんぶり勘定なところがあったりしてたのも事実w)

ボードゲームでありながらなかなか考えさせられた

総評としては今回は割とライトな形でプレイしてもらうことを目的としてたので
そこまで厳しいツッコミはなかったものの
本気でやるときは監査が入って横から手厳しいことを突かれるらしいので
やってみたい人はそれなりに覚悟が必要かも・・?

ちなみにこのボードゲームは先述したURLからDLは可能だが、
(必要情報を入力する必要あり)
やはり本格的にやりたいとなれば
トレンドマイクロの営業さんを捕まえてプレイする方が緊張感があっていいと思うので
ぜひそちらで体感していただきたい

 

ちなみに

マルコンの方はこんな感じ

f:id:livace:20180614161035j:plain

かなり戦略的でかつ難易度が高そうな雰囲気醸し出してる。。

マルコンは先ほどのリンクから購入が可能。

この記事をシェアする