オワスプナイトカンサイにLTの煽り役として潜入してきた

2018-10-20

こんにちはどりぃです。しょくぎょうは**えんじにあ（仮）**です。

先日10月17日（水）に某所で開催されたオワスプナイトカンサイに潜入してまいりましたのでその様子をお届けしたいと思います。

RGBカラーで構成されているステッカー（実は3色フルコン）

オワスプナイトカンサイとは

OWASP Kansaiの会場としての定番、某卓球バーを貸し切りわちゃわちゃいろんな企画を開催するイベントです。

会場バレ

今回はLT（厳密には5分ではないのでLTではない。そして今回LTはむしろ余興）で、われらが血みどろフレンズ（古）なだーやま氏がHardenining を語り尽くすということで、これはどりぃが応援にいかねば！と満を持して乗り込んでいったわけなのです。

Hardening とは

基本的にはWASForumが主催するHardening Projectのことを指すのですが、そこから派生した様々な規模のものがあります。
詳しくはこちらを見てね。

Hardening 2017 Fesでリアルな悩みを経験した話 — R3 Cloud Journey

第７回tktkセキュリティ勉強会〜Micro Hardening〜で汚名返上しようとした結果 — R3 Cloud Journey

今日はそういえばセキュリティマイスター道場(SecDojo) というイベントの中でnano Hardeningなるものが開催されているらしい。
これも本家Hardeningをリスペクトした有志が立ち上げたものみたいですね。
セキュリティマイスター道場(SecDojo) ~大阪場所~

決してHardening Projectの回し者でもなんでもないんですが（しかも今年はエントリーすらしてない）個人的にはすごくすごく推している（ただのファン）イベントのひとつです。

前置きが長くなりましたが、とりあえず今回のオワスプナイトカンサイをダイジェストでお届けしたいと思います。

オワスプナイトカンサイダイジェスト

まずはOWASP Kansaiとはどんなコミュニティなのか？というお話があってからの。

「三十路インシデントレスポンス体験記」神戸デジタル・ラボ山下高範さん

情シスからSIRTに移った山下くんからインシデントつれーわｗｗｗというお話。

社内で専任は一人らしいんですが、情シス上がりの知識だけでのインシデント対応はなかなか骨の折れるお仕事のようで…
SIRTってドMじゃないとやれないと思うんだけどどうだろう（

資料ももうUPされてます。さすが！仕事はやいよ。

ちなみに情シス時代はkintoneのイベントにも登壇経験があるという、非常に幅広いスキルをお持ちの三十路です。KDLさんの守備範囲広いわまじ。

そしてセキュリティ、情シス周りのKDLメンバーには地味に知り合いが多いというこれなんて（

「IDSの初歩オープンソースIDS『OSSEC』の歩き方」OWASP Kansai 桝谷昌史さん

お次もKDLのまっすんこと桝谷くん。いつの間にか（前から？）OWASP Kansaiのボードメンバーになっていた！

実はKDLさんが産官学連携の取り組みでやっていたまっすん講師の脆弱性診断トレーニングにもひっそり参加したことがあるどうもわたしです。

まっすんのLTが始まると突如卓球を始める参加者たち。

そう。LTはあくまで余興なのです。真の目的は参加者同士での交流を深めることだ！

IDS/IPSって個人で触るにはお金もかかるし、Theエンプラ！Theマネージド！ハードル高い！みたいな先入観があると思うんですが（少なくともわたしはそう）なんとオープンソースのIDSがあるということでそのご紹介をしていただきました。

ただ昨今はOSSECのメンテナンスが手薄になっていることから、OSSECをフォークして立ち上がった**WAZUH（ワザー）**が主流らしい。
Wazuh · Open Source Host and Endpoint Security

よしきた。わたしも使ってみよう（
オープンソースの手軽さはまじすばらしい。

セキュリティって身近なんですよね。しかもいろんなツールがけっこうな割合でオープンソースで公開されてるので、めちゃくちゃ気軽に試すことができる。だからこそセキュリティ界隈には老若男女が集まるのかな、と思いました。

「血みどろがきっかけでHardeningに参加したら人生変わらなかったけど優勝した話」株式会社KDDIウェブコミュニケーションズ山田直哉さん

そして話を始めると長いという噂のだーやまさんです。

だーやまさんは実は前職からの知り合いだったりします。でも前職の時、絡んだことはほぼ皆無で、わたしが入社して1年経たないうちにだーやまさんは転職。そこから何年も経ってコミュニティで再会した、というそんなかんじです。

いやまじで世間って狭いなと思う。関西のIT界隈ってどこからともなく知り合いの情報入ってくるんですよね。どんなネットワークだ。。。

だーやまさんは、どりぃが去年参加して登壇をした Hardening 2017 Fes の血みどろLTがきっかけで、Hardeningに参加する決心がつき、今年7月に宮古島で開催された Hardening II Collective に初参加。

するとなんと優勝をかっさらっていってしまったんですよね。どんな猛者だよ。

LTの内容は、けっこうなネタバレを含むので、細かくは語りませんｗがｗ

今後Hardening参加してみようかな…と思う人にはすごくメリットのあるLT内容でした。

そして味をしめた（ちがう）だーやまさん、次回宮古島で開催される Hardening II SecurEach にも参加することが確定してるらしい。連勝目指してがんばれ！

とりあえずみんな来年以降のHardening参加してみたらいいと思うの（雑
エンジニアじゃないからとか、みんなの足を引っ張るとかいってる人ほど実はけっこう当日活躍したりするのです。

開催地が開催地なので宿泊の手配とか、会社への稟議とかは必要になってくるけど、Hardening Dayは1日耐久（去年のFesは延長戦もあった）なのでモチベーションの維持とか、Kuromame 6の攻撃のプレッシャーに耐えられる強靭なハートを持って臨む…というところがクリアできたらそんな敷居高いものじゃないと思います。

ちなみにどりぃは去年わりと忙しい時期だったこともあり、心に余裕がなく（前日も確か東京からの出張帰りにカフェでHardeningの競技資料を読んでた記憶）おそらくめっちゃ周りに対してイライラしていたと思います（特に2日目の延長戦な…）せっかく淡路島でしかもウェスティンとか泊まってるのに、資料作りやらであんまり楽しめてなかった。。。