# MBSD2020メモ ###### tags: `MBSD Cybersecurity Challenges` 発表12分 審査員7名 チーム名、学校名、発表時間の順 1位:0xDEADBEEF 2位:失踪者 3位:非の呼吸　ファイアウォール - 午前の部 ## 0xDEADBEEF - ECCコンピュータ専門学校 ## Zone - 日本工学院北海道専門学校 ほぼぴったり12分 - 研修の流れ 1. オンライン抗議 2. 理解度テスト 3. 社内資格 - 受講対象者 - 管理職、PM、1名ずつ、最大10名 - ツール - オンライン会議 ##### 講義内容 1. セキュリティ動向と対策 2. 実際例紹介(標的型攻撃メール) 3. 実際例図解解説 4. 標的型が5年連続1位 5. 情報の取り扱い　～日常編～ - 個人情報の適切な取り扱い方法 6. 個人情報漏洩の紹介 7. (5.) ～内部犯行による個人情報流出～ 8. 持ち出し手口紹介 9. 拡散された例 - 標的型攻撃メールによるウイルス感染動画紹介 ##### 理解度テスト - ox形式 - 合格、不合格見れる - 社内資格 - 80%以上 ##### 料金 - サブスク制 - 月額20k(税込み) Q: (社内資格で給料UP?) 月額料金、社内人数に関係ない？ A: サブスク制の他に受講者3k/1人もある、最安4kだった、最安更新する 資格導入したのは社員同士で話し合える、好成績な人は給料UPしてあげても(笑) Q: サブスクアップデート、資格もアプデされる？ A: 内容が変わるので、資格の更新は予定している、頻度は決めてない Q: 資料が更新されたら社員資格も更新する？ A: そうなります Q: 新たな脅威、今後のロードマップ、こういったもの追加したいとか？ A: セキュリティ会社の発表見て総合的に判断する、日々進化しているので時代のトレンドを入れてい ## 非の呼吸ファイアウォール - 静岡産業技術 11:40 ### 意識改善Project - WAF導入したけどまだ脆弱性あるわ... - リテラシー足りない... ##### 結論 - 足りないのは**やる気**と**危機感** - やる気があればやるべきことに気付ける - 危機感があれば問題に対処できる - 意識の改善する - ~~対処法を教える~~ ##### 使用ツール - PC,教科書,サブテキスト ##### 流れ 1. 現状把握 - 理解度を測る - 個人課題、グループ課題 - PCでやる - グループ課題 - PCでやる - 別チームと相互評価 - 被害想定をする - 個人とチームの実力を認知、教育の必要性を理解 2. 被害の認知 - インシデントの怖さを知る - 紙とパワポ - 損害賠償6億3767万 - 高い！ - 企業、顧客・社会へのダメージを知る - 責任の重さを知る - 危機感を持ってもらう 3. 自社の環境に置き換える - 脆弱性を考える - グループ課題 - 自発的に脆弱性を発見する - 危機感が責任感になる - 知識+**意識**が大切!!! ##### まとめ - 意識の改善 Q: 意識の改革、どう評価する？ A: 会社内で教育者を立てる、(評価方式パワポ、1~5点数、グループ課題の一言コメント) Q: やる気がない人にこの講習やる気を持ってもらうには？ A: 受けてはもらえると思う、グループ課題で意見を色々知れる ## おさかなのくに - 東京電子専門学校 10:50 - メンバー紹介 1. 講座の狙い 2. 講座の流れ - 午前の部 - IPA「5分でできる情報セキュリティ自社診断」 - WAFについて - 午後の部 - リスク分析(グループワーク) - ストレッチ - セキュリティ(セキュ狼) - 総括 1. 講座の目標 3. 講座の特徴 1. 2. リスク分析 - リスク分析シート - 脅威レベル、脆弱性レベル、... 3. セキュ狼 - オンライン用に改善 4. 総括 - 講座の録画 - 確認テスト - 合格基準9割 - 採点はAWSのAIによる自動 - セキュリティセミナーの参加 - MBSDのセミナー紹介 4. ストレッチ (実演) Q: 採点、AIサービス、どうやって実装？AIを使う必要性？AIの正解率？ A: 持続的なこと考えるとAIのほうがいい、最初は正解率低いけど徐々に上がっていく Q: セキュ狼について A: テストは6人、村人4人狼2人、4:2は人数が曖昧だったかな Q: 受講者のターゲットの意図 A: ネットワークエンジニア、開発の人でも受けれるもの、営業の人でも可 ## カメジョ - 日本工学院北海道専門学校 11:40 - 流れ - テキストによる座学 - 確認テスト - 攻撃体験 - サイト説明 - 専用サイトを用意 - QRコード - WAF,ヒューマンエラー - テキスト - WAF - ヒューマンエラー - 攻撃手口 - WAFで制御可能 - OWASP TOP10 - テキストの工夫 - 重要箇所を強調 - 説明→原因→対応 - 図解 - 確認テスト - 4択 - 即時採点 - 合格点65点以上 - 不合格はやり直し - 攻撃体験 - 攻撃者視点の習得 - 調べて考えてやってもらう - OWASP Juice Shop on Docker - Dockerインストール手順、トラブルシューティング資料 - SQLインジェクション、ディレクトリトラバーサル、XSS - 実践手順資料 - アンケートの実施 - 各種難易度、感想 - まとめ - 座学で知識のインプット - 確認テスト、攻撃体験でアウトプット Q: 自分で考えてやるのがコンセプト、詰まったら質問してもらう？ひたすら考えてもらう？ A: 同じ会社の中で考えてもらう Q: やられサイトJuice Shop、なぜJuice Shop？ A: OWASPTOP10参考、Juice Shopの提供がOWASPだから --- ～～～　休憩 ～～～ --- - 午後の部 ## †CC_RAST† - 日本電子専門学校 11:40 - 不正アクセスインシデントの動向 - 脆弱性対策の手法 - WAFの利用 - Webアプリケーション自体の脆弱性対策 - 脆弱性診断サービスの利用 - 「セキュアなWEBアプリケーションの開発」研修 - 到達目標 - 不正アクセスの手口説明できる - 攻撃手法と対策の説明できる - 講義 1. 現状 - セキュリティ意識の向上 - セキュリティ対策への積極的な取り組み 2. 代表的な脆弱性 - SQLインジェクションとXSS - セキュリティ知識の向上 - 攻撃手法を知ることで対策できる - 実習 - 脆弱性の検査及び対策ができる - OWASP ZAP - PDFドキュメント - 脆弱性の体験や、対策を学ぶ - 理解度確認テスト - Googleフォーム - (研修映像) - よくあるオンライン授業みたいな - 会議ツール使用 - 受講者の声 - まとめ Q: そもそもWAF入れても脆弱性がある、そんな会社でもいける？ A: あまりセキュリティの知識がない人向け、とても簡単な研修になっている、ドキュメントもある Q: ZAPで見つけた脆弱性、対処のサポートとかしてもらえる？ A: ZAPで確認したうえで、実習のドキュメントでもまとめてる Q: ドキュメントで全部わかる？ A: 全部ではない、IPAのドキュメントなども見て Q: (受講者の声)悪い声は？ A: 改善点などは特にない Q: 提供したやられサイト、認証無く脆弱性にアクセスできる、他社も使うだろうので認証ぐらいは欲しい A: 申し訳ございません、対応します ## センスオブセンス - 創造社デザイン専門学校 11:50 教育コンテンツURL https://senseofsense.education - あかねちゃん - 導入 - セキュリティリテラシーとは - どうやったら上がる？ - 現状の課題 - 従業員のセキュリティリテラシーを上げる - 低い原因 - 学習機会が少ない - 全ての人をセキュリティ人材へ - コンテンツ内容 - 初回テスト - Iパスから引用 - 学習講座 - あかねちゃんと、楽しく学ぼう！ - 16の講座 - ノベルゲーム形式 - 修了テスト - 成果をテストで確認 - 本当に効果的？ - 初回テストと修了テスト - 飛ばしちゃったら意味ない？ - サボらせないよう工夫が必要！ - 最初は初回テストのみ - 順にしか進めない - 動画早送りできない - 知識の獲得、意識の向上 - 分かりやすい内容 - 自分事で考えられる - 全ての人をセキュリティ人材へ - ベーシックコース - 少し物足りないかも... - アドバンスコースもご用意！ - コスト - あかねちゃんの使用が非商用に限る - まさかの**無償**！！ - まとめ - セキュリティを学べる - 分かりやすい、理解 Q: (あかねちゃんインパクト強すぎ)4人まで、あかねちゃん入れると5人ですが A: 盲点でした... Q: 無償で大丈夫？ A: あかねちゃんをリストラすれば... Q: 契約は？ A: 管理者用アカウントを渡します Q: それでも無償なんですね A: 非営利団体なので Q: 間違いがあった時は責任？ A: 考えてませんでした ## セキュリティなんもわからん - 麻生情報ビジネス専門学校 10分ぐらい - インシデントの75%は人為的ミス - 被害額4.5億 - 対象：社員全員 - 流れ 1. 導入 - コンテンツの理解 - 実際の事例紹介 2. 攻撃手法と対策 - コンテンツの理解 - ソーシャルエンジニアリング、標的型メール攻撃 - 標的型メール攻撃のサンプル - 標的型メール攻撃の対策 3. 確認問題 - Googleフォーム - 学習の確認、理解度を図る - 20問 - 20,40,20分の時間配分 - 全体としては1~2時間 - 付録資料 - 個人向けセキュリティ対策手順書 - コンテンツ実施による効果 Q: コンテンツ効果、下がっているところがある、何もしないと下がる？ A: 継続的に勉強しないと下がる、このコンテンツで Q: (個人でできるセキュリティ)ブラウザのパスワード管理を切る、覚えないといけないので簡単なパスワードになってしまう、管理させたほうが長い安全パスワード A: 長いパスワードでも別の誰かが使えてしまう、ネット上に流れない紙等で保存したほうが良い ## ふしぎなポッケ - HAL東京 10:30 - すごろくをしながらセキュリティを学ぶ - すごろくゲーム - Zoom - すごろく - サイコロ - バンコク旅行すごろく - 観光マス - トラブルマス - 50分以内に羽田空港に帰ってくる - ガードカード - 予防策がガードカードになる - ガードカードx10点 - ガードカードをたくさん作る - もう1度バンコク旅行すごろく - 事前に作成したガードカートを使う - 情報セキュリティすごろく - トラブルマス　→　様々な情報漏洩 - ガートガートを作成する - 50分 - もう1度情報セキュリティすごろくをする - 特別ルール - ストップマスx5か所 - 3択クイズ - ex.使用した公衆Wi-Fi、設定どうする → 消すが正解 - トラブルマスはガードカード、ストップマスは全問正解を目指す - 総評 - A:150~ - B:100~150 - C:0~99 - 上位を発表 - 感想を送信 - セキュリティとは**幸せ** - セキュリティを強化することで安心・安全に暮らせる Q: 研修を受講している人向けの資料、発表資料ではない？ A: 1次審査を元に作成した、とらえ方を間違えていた Q: (バンコク旅行すごろく)バンコクに何か思い入れが？ A: 犯罪とかは海外旅行が多い、バンコクは渡航者No.1 Q: すごろく自体はある？ A: すみません、無いです ## 失踪者 - 新潟コンピュータ専門学校 11:30 - 目次 1. 研修概要 - グループワークをする 2. 政策背景・方針 - IPA情報セキュリティ10大脅威 2020 - 新しくスマホ決済の不正利用 - セキュリティ意識が低い人を足掛かりにされる - 会社全体のセキュリティ上げる - 社内コミュニケーションが重要 3. 研修のポイント - 気づき - 情報共有 4. 研修内容 - 個人ワーク - 気づき - グループワーク - 情報共有 - 情報の格差を埋める - 発表 - 総合的な課題 - 知識の共有 - 配布資料 - 架空の会社概要 - ミニシナリオ - 分野別にいくつか - シナリオ内に問題がある - 到達目標 - シナリオ内のインシデントを発見する - インシデント対処法を説明できる 5. 実習環境 - zoom - ブレイクアウトルームでグループワーク - 使用するのはzoomのみ 6. 評価方法 - シナリオ終了後に解説・講評 - グループワークのフィードバック - アンケートによるフィードバック 7. 研修の進め方 1. 個人ワーク 2. グループワーク 3. 発表 4. 解説・講評 - これを計3回 8. 料金 - 商品パッケージ 30k - +研修費 20k - 基本 50k - 人数x5k Q: 最大何人？ A: 1グループ6名、想定30名、最大60名ほどなら Q: もっといた場合、2回,3回と別に分けて？ A: 追加料金がかかるが、可能 Q: 営業秘密の3要件、なぜ3要件？ A: 法律があるから、アドバイザからこうしたほうが良いとアドバイスがあった --- ## セミナー ### セキュリティ人材のキャリアについて - 就職 - 将来に向けてどのようなキャリアを形成するか - キャリア形成 - 仕事を通じて経験を積む - 仕事を通じて人間性を磨く - あなたが描く将来像は・・・？ - ランサムウェアの被害が増えている - セキュリティ人材の働き甲斐(やりがい) - 人の役に立ちたい - セキュリティ人材が足りてない中でスペシャリストを目指したい - セキュリティ技術を追求したい - 仕事の内容(MBSDの場合) - セキュリティ診断エンジニア or セキュリティ監視エンジニア - 以下多岐にわたる... - 実現するキャリア - 社会貢献度の高い仕事 - 人材が少ないからこそ希少価値 - MBSDとは？(提供サービス) - 診断サービス - 監視サービス - コンサルティングサービス - MBSD新卒採用活動 - セキュリティの世界に多くの人が入ってほしい - 頭の柔軟な若い人が入ってほしい - 会社にいい刺激 - スペシャリストが多いので若い人にもいい刺激 - 色々な取り組み - リモートワーク - 福利厚生 - MBSD入社後は... - スペシャリストとして活躍するための土台作り - それぞれのスペシャリストを目指す環境づくりを会社がしてくれる - 会社概要 - Webにもある - MBSD事業概況 - サーバーセキュリティの世界へチャレンジを！ - そういうきっかけになれば - MBSDにも興味を持ってもらえれば ### 学ぶということ - 自己紹介 - ペネトレーションテストとは - ペネトレーションテストで必要なこと - 何をするのか - ゴール例 - サーバーに侵入できるか等 - 具体的に - パスワード使いまわし、踏み台にしてDBアクセス - よく検出する問題 - 単純なパスワード - アプデしてない - なぜ同様な問題が出てくるのか - 大体同じような運用 - 失敗から学び、知見を蓄積していく - 問題の対応だけでなく、問題の原因分析 - 問題の原因への対応 - お客さんからの一言 - セキュリティアップデートってやらないとだめなんですか？ - セキュリティアップデートの必要性 - 問題を修正するもの - 悪用される - 何が問題か - 課題に対して - アップデートの実勢 - 教育 - コンテストの振り返り - 脆弱性を指摘されたWebサイトの運営会社は～... - あなたのチームは社員のセキュリティリテラシー... - ここにフォーカスしたチームが多かった - 誰のためのコンテンツだったのか - エンジニア？社長？ - なぜ脆弱性を作りこんだ - WAF導入してもなぜまだ脆弱性があるのか - 何が問題か - 課題、リスク、原因 - 原因を解消するには - 設計上 - セキュアコーディング知識不足 - 人の入れ替わりノウハウが蓄積できない - ドキュメント - 具体的な教育 - 過去事例 - 脆弱なでもサイト構築 - 経験してみる - 経験や失敗から学び、生かすことが大事なんだよ ## 講評 - 今度はなんと教育でした - 次回にご期待ください(笑) - 是弱性診断(2016,2017) - フォレンジック(2018) - WAF(2019) - 教育(2020) - 以下スクショ - 0xDEADBEEF - Zone - 非の呼吸　ファイアウォール - おさかなのくに - カメジョ - †CC_RAST† - センスオブセンス - クライアント端末側 ← 間違い - セキュリティ何も分からん - ふしぎなポッケ - 失踪者 - 最終評価内約