見出し画像

攻撃先は自分たちのサービス!Happy Hacking Dayを開催しました!

Eito Takase / aisaac

こんにちは、アイザック株式会社でエンジニアをしている高瀨英都と申します!
2024年アイザック株式会社アドベントカレンダー最初の記事は、今年社内で開催された「Happy Hacking Day」という、自社サービスをチームで攻撃し合う㊙️セキュリティイベントについての開催レポート記事です!

その他のアドベントカレンダーについてはこちらからどうぞ!
https://adventar.org/calendars/10795

アイザック株式会社は「世の中を実験しよう。」をミッションに、完全自己資本で 10個以上の事業を運営している事業会社です。
今回のイベントは実験的に開催したアイザックらしさが溢れるイベントになったので、開催理由から事後対応まで含め、アイザック株式会社がどのような組織なのか、また、サービスを守るためにどのような取り組みを行なっているかについて深く知っていただけると嬉しいです!

※ 事業のセキュリティに関わる部分になってしまうためインシデントの詳細については割愛させていただきます、セキュリティに関する専門記事では無い点ご留意ください

始まりは「ソーシャル・ネットワーク」

みなさんは、映画「ソーシャル・ネットワーク」をご覧になったことはありますか?
エンジニアなら一度は目にしておきたい名作中の名作。まだ観ていない方は、この記事を読む前に観てきてください!

この映画の中にはエンジニアなら誰もがワクワクするワンシーンがあります。

そう、暗い部屋の中で、ショット🥃を片手にハッキングを繰り広げる、あのシーンです!

The Social Network, 2010 より

部屋の照明を落とし、ひたすらパソコンに向き合いながら、一定時間ごとにショットを煽る――そのカオスな雰囲気。「こんなことをやってみたい!」と胸が高鳴った瞬間を今でも鮮明に覚えています。

この話題が社内で何気なく話されたのは、若手エンジニアで集まってソーシャル・ネットワーク鑑賞会をした翌日のことでした。

鴫原(若手): 「昨日みんなでソーシャル・ネットワーク観たんですよね!」
田中(代表): 「お、いいやん!」
田中(代表): 「酒飲みながらハックするやつ僕らもやりたいよね!」
高瀨(自分): 「わかる、せっかくだし自社サービスボコしましょ!」

この瞬間に、自分たちで自分たちの事業を攻撃しあう危険なイベントの開催が決定しました。

攻撃先は自分たちのサービス!

アイザック株式会社では現在 10個以上の事業が進行中で、それぞれユーザーの大事なデータを守る責任があります。
普段の業務では自分たちのサービスを守る視点で考えているのですが、今回は他事業を攻撃することで、今まで持っていなかった視点でセキュリティについて考えることができました。

会議室に集まって酒と飯を食べながら黙々ハッキング

ルールはなるべくシンプルに

セキュリティイベントと聞くと難しいイメージを持たれる方が多いと思うのですが、なるべく幅広いレベルのエンジニアが気軽に参加して、攻撃視点について学べるようにとてもシンプルなルールを作成しました。

・ハッカーっぽく部屋を暗くする
・4人で1チームを作る(幅広いレベルの人をバランスよく)
・攻撃する事業を決める
・緊急度の高い脅威を探す
・30分おきに何も見つけられていない人はショットを飲む (飲みたい人だけ)
・見つけたインシデントの重要度に応じて個人とチーム報酬が出る(最大HHKBの価値があるものも、、、!

ハブ酒!!!!

弊社のバリューの1つに「Less is more」という、選び抜かれた少ないものの先に本質的な価値があるという内容のバリューがあるのですが、これを体現したわかりやすいルールとなっています。
弊社バリューについて気になる方は以下の記事をご覧ください!

いざ開幕!

ルールも整ったところでいざ開幕!当日は 18時から会議室に集まってチーム決めを行いました!チームTシャツも配って準備は万端です。

オトコルハックチュウ

熾烈な殴り合いの始まり

開催の合図とともにショットを飲んで気合いを入れる人やもくもくハッキングを始める人が現れ、事業と事業の威信をかけた戦いが始まりました。

熱狂でブレブレの乾杯

開始から30分ほど経った頃に、非常に軽微なものでしたが脆弱性を見つけたとの声が上がりました!攻撃された側の事業エンジニアからは「うわっぁぁぁぁぁ」と悔しそうな声が、、、

今やられた分さらに自分達もサービスも強くなる!という高揚感!逆に攻撃をすることで見えてくる新たな視点や可能性!この激情の感情にかられているうちにあっという間に3時間が経過しました。

最後までユーザーに不利益が出るような脅威は見つからず、軽微な不具合のみが見つかる結果となりましたが、攻撃側の視点でセキュリティについて考えるとても良い機会となりました。
その分たくさんハブ酒のショットを飲みました、、、美味しかった、、、!

脅威を排除するまでが Happy Hacking Day

Happy Hacking Dayの目的はハッカーみたいなことをしながら事業にある脅威を無くすことでした。
今回はユーザーに不利益があるものは見つかりませんでしたが、見つかった不具合は全て社内で共有と修正を行いこのイベントは幕引きとなりました。

完.

ここまで読んでくださった皆様と参加してくださったハッカーの皆様に感謝します👏

最後に

以上 Happy Hacking Day開催レポートでした!

アイザックでは事業も取り組みも含め、一緒に「世の中を実験する」仲間を募集しています。ご興味を持ってくださった方は、こちらのお問い合わせフォームからエントリーください。採用に関する詳細は以下のページをご覧ください。


明日の記事

明日は自分と同い年の海斗くんが謎解き?についての投稿をしてくれます、お楽しみに!

いいなと思ったら応援しよう!

この記事が参加している募集

#イベントレポ

29,598件