AWS パートナー限定イベント「セキュリティインシデント疑似体験調査ワークショップ」に参加してみた

AWS パートナー限定イベント「セキュリティインシデント疑似体験調査ワークショップ」に参加してみた

Clock Icon2023.10.26

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは!AWS事業本部コンサルティング部の和田響です。
先日AWSパートナー限定イベントである『セキュリティインシデント疑似体験調査ワークショップ~1 Day Solution Dive Deep シリーズ~』に参加しました。

この記事ではイベントの概要や勉強になったことを振り返りも兼ねて記載します。 (具体的にどんな課題を行なったかは記載致しませんのでご了承ください。)

セキュリティインシデント疑似体験調査ワークショップとは

概要

セキュリティインシデントが発生したら、何をすべきか、インシデント調査をどうしたら良いかの悩みはありませんか?本ワークショップでは AWS 環境上の典型的なセキュリティインシデントを再現させたログを使って、チームでの CTF (クイズ) 形式で開催します。参加によっては一般的なインシデント調査の技術を習得できます。使用するツールは Amazon OpenSearch Service です。未経験者でも楽しんで参加できるように分析方法の簡単な説明も冒頭行います。

簡単に説明すると、Amazon OpenSearch Serviceを使ってインシデント調査を擬似的に体験できるイベントです!

ワークショップの参加条件

セキュリティインシデント疑似体験調査ワークショップの参加条件は以下の3つでした

  • 最小 1 名〜最大 4 名のチームで参加する
  • 中級者 (目安:Associate レベルの資格保持者) 以上のレベルである
  • AWS Partner Network (APN) に参加している会社に所属しているAWS エンジニアである

チーム構成

イベント当日は合計35チームが参加しており、 私はemiさん、おのやんさん、平木佳介さんと一緒のチームで参加させていただきました。 チーム名は「Team 張角」です!!(どうやら各チームに三国武将の名前が割り当てられるようです)

ワークショップの内容

ワークショップ用のダッシュボードが用意されており、チームごとミッションに挑みます!

ミッションは「Level 0」「Level 1」「Level 2」が用意されており、Level 0はAWSのトリビア問題とSIEMの基礎的な問題で、Level 1,2が本題のセキュリティインシデント調査を行う問題でした。

私は初めにトリビア問題に挑戦し、その後Level 1,2のインシデント問題に挑戦しました。 トリビア問題は比較的簡単な知識を問う問題でしたが、全くわからない問題が一問ありました。

インシデント問題は以下のようなOpensearch ServiceのDashboardを使いこなす必要があり、実際にインシデント調査を行なっているようでした!!
参照:https://dev.classmethod.jp/articles/aws-top-engineer-2022-security-incident-workshop-report/

各問題に正解するとポイントが獲得でき、そのポイントの合計でチームの順位が決まります! 間違えると正解時のポイントが減少したり、ヒントをもらうことができたりと、クイズバトルのような感じで楽しめました!

勉強になったこと

1.Opensearch Serviceの操作を学習できた

ワークショップのほとんどがOpensearch ServiceのDashboardとの睨めっこでした。
Dashboardの使い方はワークショップの冒頭で簡単にレクチャーいただけたので、初めての方でもある程度使いこなせるようになると思います!
個人的には「どうやって検索したら良いか?」を考えるのが非常に面白かったです!

2.どのログを見るべきかを学べた

Opensearch Serviceには非常に多くのログが集約しているため、むやみに探しても必要な情報は見つからず、今欲しい情報はどのログにあるのかを考える必要がありました。
例えば実行されたAPIの情報が見たいのであればCloudTrailのログを見る必要があり、それ以外の情報は排除する必要があります。私は「ログの抽出・除外」をうまくできていなかったのですが、チームメンバーに教えてもらいながら何とか数問答えることができました。

3.チームプレーの大切さ

今回のワークショップは制限時間2時間の中でどれだけ問題を解けるかを競っていました。
実際のインシデント調査でもなるべく早く問題の特定や解決が求められるため、チームメンバーとの連携が必須だと思います。
私はこのワークショップで「今どこまでわかっていて、わからないのはどこか」を正確にチームメンバーに伝えることが大切だと実感しましたので、今後のコミュニケーションに活かしていきたいです!

最後に

Team 張角 はこのワークショップで優勝を目標に事前に予習を行なっており、万全な状態で挑みました。
その結果、21位!!(35チーム中)
目標には遠く及びませんでしたが、非常に楽しい時間でした!!

今回はAWSパートナー限定のイベントでしたが一般公開も検討しているようですので、もし機会があるなら積極的に参加してみることをおすすめします!!

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.