こんにちは!技術本部情報セキュリティ部 CSIRTグループ所属の松尾です。 去年の12月からセキュリティエンジニアとしてSansanで働いています。 前職では主に情報システム部として社内でのIT戦略やシステム企画から運用・保守、サポート諸々に幅広く携わっておりました。
ITインフラに向き合っていく中でセキュリティの面白さに惹かれて今に至ります。 現在は問い合わせ対応、アラート監視、インシデント対応のようなSOCチームとしての業務をしつつ、企画~運用や内部システム監査など社内のセキュリティと利便性を向上させるための施策に広く携わっております。
今回は7/11(木)にSplunk社主催のCTFである、BOTS(Boss of the SOC)に参加してきましたので、参加レポートで本イベントの魅力が伝えられたらと思います。
Splunkとは
さまざまなITシステムから生成されるデータの収集、検索、分析、可視化を行うために開発されたITシステムのためのマシンデータ分析プラットフォームです。 セキュリティログを収集し適切に環境構築することでセキュリティインシデントの検知・調査・分析が可能となります。 なお、SansanのCSIRTではセキュリティ基盤の強化と、高度な攻撃者に対しての検知能力を強化するために今年Splunkを導入しております。 www.splunk.com
BOTSとは
現実にありそうなセキュリティインシデントを、Splunk関連製品を使いインシデント調査を行って回答を導き出していくCTF形式のイベントです。 参加はチーム戦となっており、2~4名のメンバーで構成されたチームにて点数を競い合います。
CTFの多くは攻撃者視点であることが多いですが、BOTSは防御者指向で考えられたCTFである点が大きな特徴です。
過去のバージョンのBOTSはSplunk社にて公開されているため、Splunkアカウントを作成することで以下から体験できますのでご興味を持たれた方はぜひお試しください。
BOTSのすゝめ
BOTSはSplunkを導入しているならばもちろんのことですが、検討中や導入していなくても非常にお勧めしたいイベントです。SOCチームとして参加することで得られるメリットの一部をお伝えしたいと思います。
実際のインシデント調査に近い形でログ分析を行える
BOTSのシナリオは実際のインシデントを模しており、必要なログが用意されています。 これにより、どんなログが収集されるべきかやその活用方法を理解できます。
SOC初心者から上級者まで、学びが得られる良い機会です。
Splunk関連製品やSOCツールへの理解が深まる
シナリオではSplunkのSPLでログ分析を行いますが、Enterprise SecurityやSOAR、GoogleのOSINT、SOC業務ツールも使用します。
セキュリティオペレーションに役立つ内容です。
業務メンバーと参加することで団結力が上がる
普段の業務仲間と課題に取り組み、異なるスキルを生かせました。同じ問題を解く中で多くの発見があり、異なる視点も共有できました。
密なコミュニケーションも含め、チーム力が向上したと感じます。
BOTS参加
今回はCSIRTグループのSOCチームメンバー4人での参加です。会場には受付時間に間に合うよう13時前に会場入りしました。 「本当のインシデント発生時みたいだねー」とか話しながら、机や電源、カフェインと糖分を用意して開始を待ちます。 今回の参加チームは全体で176名、47チームの参加で過去最多! 広い会場ですが人で埋まっておりました。
作戦を立て、いざ開始!
Splunk社からのイベント前の説明で、シナリオの内容と難易度の説明がありました。
- シナリオ1:Splunk Enterprise Security 難易度★
- シナリオ2:Web App Attack 難易度★★★
- シナリオ3:APT調査 難易度★★★★
- シナリオ4:Splunk SOAR 難易度★★
- シナリオ5:??? 難易度★★★★★
そこで相談して次のような方針で解いていこうという事だけ決めました。
- 難易度の低いシナリオ 1, 4 を2名ずつで分担して解く
- シナリオが終わったら 2, 3 のシナリオを2名ずつで分担して解く
- Slackチャンネルへシナリオごとにスレッドを立てて競技中の状況を共有
参加者全員で14時のカウントダウンと共に競技開始です!!
途中経過
問題解答により得られるポイントは1問50pt程度から1500ptと難易度に応じて設定されており、解答に誤りがある場合には10pt/回の減点があります。 各問題には早く解けば解くほど得られるスピードボーナスがあります。スピードボーナスのメリットは非常に大きく、仮にスタート後すぐに1500pt問題を解けた場合、1500pt+1500ptで3000ptを得られます。
また競技開始から1時間おきにヒントが自動開示されるため、少し粘って解けない問題は飛ばしてヒントが開示された後に再度アタックすると良いなと思いました。
結果発表
長いと思っていた4時間の競技時間はあっという間に過ぎて18時になり競技終了!
所属チームTeam33の結果は全47チーム中8位でした。
まとめ
初回参加で勝手がわかっていない中では奮闘したと思う反面、途中から順位が下落してなかなか伸びなかった悔しさをバネに次回は表彰される順位を目指したいと思います。 競技後の解説会・交流会の中では、解けなかった問題の考え方やBOTSへ臨むための戦略や情熱などを改めて知る事ができてよかったです。
次回参加メンバーには以下をシェアして、今回を超えてその先を目指したいと思います!
- BOTS体験、関連製品を学び事前準備をしっかり行う
- 1人1シナリオで効率よく問題を解いていく
- 減点リスクを恐れず高得点問題を早く解く
本記事を見て少しでもご興味を持っていただいた方は、ぜひ次回会場でお会いしましょう!