RubyKaigi 2017に参加を検討されているみなさま、こんにちは。
マネーフォワード CTOの中出です。

今年もマネーフォワードは Ruby Sponsor で協賛させていただくことになりました。

　　※ 出典：「RubyKaigi 2017」Sponsorsより http://rubykaigi.org/2017/sponsors
　

マネーフォワードはRuby on Railsを開発基盤として多数のサービスを開発しています。

また、マネーフォワードの技術顧問でありRuby on Railsコミッター兼Rubyコミッターである松田さんや、フルタイムRubyコミッターである卜部さんの活動を通してRubyの設計、開発支援を積極的に行っています。

6/23(金)～6/24(土)に開催されました、「Hardening 1010 Cash Flow」に参加してきました。

こんにちは、CISOの市川です。

（今回のエンジニアブログはセキュリティの話です、コードの話は出てきません）

Hardening Project（ハードニング プロジェクト） とは

• WASForumさまのサイト　https://wasforum.jp/hardening-project/
• とある6人が1チームとなり、15チーム合計100人ぐらいが、1泊2日で一箇所に集まるサイバーセキュリティの競技プロジェクト。
• 各チームで、仮想の会社とECサイト（脆弱なシステム）の運営を任せられ、チームプレイでシステムを堅牢化（ハードニング）しながら攻撃者からサイトを守りつつECの売上を争う。
• セキュリティ技術の競い合いだけではなく、技術はビジネスの手段であり、任された会社の価値をセキュリティを通じて最大化することが重要。
• 競技中は、サーバーが落とされたりサイトが改ざんされるなど、事件が次々と発生し食事をゆっくり取る時間もないような状態でサバイバルする10時間耐久レースです。

参加者は全員「仮想の攻撃者」にボコボコにされます

そんな競技の何がいいか？

• まず、人がいい。
  • 会社や立場に縛られず、「個人」として純粋にセキュリティ関連の力を高めようとしている人が競技者として集まってきます。
  • また、開催者もこのセキュリティ・プロジェクトを通じて日本のセキュリティを高めていこうと「実践的な競技」に力を入れていることが伝わってきます。
  • 全般的に「みんなでいいものを作っていこう」という雰囲気が、オープンソースのコミュニティに近いと感じました。
• 次に、すごくいい訓練場所である。
  • セキュリティやインフラに携わる人は、日々の業務では「攻撃者に乗っ取られないように」構築したり運営したりしています。だから乗っ取られた際の対応を実務の中では普通できません。
  • よって、有事の際の訓練をCSIRTなど自組織内で実施していますが、自作の訓練の精度を上げるのは相当難しいです。
  • そこで、このプロジェクトでは実践に近い形で訓練できる為、非常に有益です。
• 最後に、技術だけではないところがいい。
  • 例えば、パッチ当て勝負、ミドルウェアのコンフィグの見直し勝負、FireWallのACL最適化勝負でも競技は成り立つかもしれません。
  • ただ、このプロジェクトはもっと広い範囲を見ているため、ECサイトの顧客対応や警察との対応含め総合的な評価をされます。
  • そのため、より実際の会社の運営に求められるような組織の運営という観点で取り組むことが出来、非常にリアルです。