Boss of the SOC Vol.9 に参加して来ました

イベント Splunk

こん○○は!にょもこ(twitter@tmkymd_)です。
2025年10月2日(木)のLINEヤフー本社の会議室を会場に行われた、Splunkのセキュリティ運用ハンズオンイベント「BOTS(Boss of the SOC)」に出前館のメンバーで初参加してきましたので、その時の様子をお伝えします。

BOTSのイベントについて


BOTSは、Splunkの利用スキルとセキュリティに関する知見の向上を目的に取り組む競技イベントです。
世界中で同じ問題を色々な時期に、色々な会場で取り組むイベントのため、具体的な問題内容や解法に触れるとネタバレになってしまうようなので、その辺に触れずに当日の雰囲気を皆さまにお伝えしようと思います。

出前館としてこのイベントには初参加で、Splunk導入に携わったIT本部(いわゆる情シス)から私(にょもこ)、SIE村(SIEM導入プロジェクトが始まって名前が似ているので名付けられた新村)さん、二宮さんの3人が参加することに決めました。

競技は2〜4人のチーム単位で行われ、手分けして問題に取り組むことができるため、IT本部ではないプロダクト本部の竹内さんをSplunkの経験者だという事で気軽に勧誘してみたら快くOKしてもらえましたので合計4名で参加することになりました。

Splunkを導入したての微経験者ばかりで競技会なんて大丈夫なのだろうかと不安だったところに経験者が1人でも参加してくれるとそれだけでチームの安心感が違います。

当日の会場にはおよそ160名の参加者が集まりました。机を向かい合わせにしたレイアウトで、制限時間は4時間、各チームが黙々と手を動かしつつ、時にはわいわいと相談するような、活気と集中が同居する空気でした。
簡単な問題は100点、高難易度の問題は500点、最高難易度の問題は1500点と難易度別に得点が設定されていて時間が経つとヒントが公開されるがヒントが出る前に早く回答するとボーナスポイントがもらえるという上級者はポイントがたくさんもらえ、初級者でもヒントを元に回答できるかもしれない…というゲームとしても盛り上がる要素が含まれていてとてもやりがいがあります。

成績は49チーム中28位でしたが、初参加としては頑張ったのではないでしょうか?次回はチームメンバーそれぞれSplunk力を高めるのとより多くの問題に挑める体制を整えて再挑戦したいと思います。

自チームの結果が表示されたスコアボード(運営がチームとして入っているので全50チームのように見えるが実際の参加チームは49チーム

導入してない製品の問題も出ます

情シスの新村(SIE村)です。

出前館ではSOARを導入していませんが、今回のBOTsでSOAR問題が出題され、9月のSplunkワークショップで触った経験から担当となりました。
BOTsのサイトではシナリオ数や概要が事前公開され、v9は7つのシナリオでした。毎年、架空企業のセキュリティ担当として多様なサイバー攻撃に対応する内容です。

SOARは当社に環境がなく不安に苛まれていましたが、担当シナリオが「難易度・低」と聞いて少し安心。英語の問題文は翻訳付きで配布され、説明後に競技がスタートしました。会場は自由に出入りでき、洋楽の懐メロが流れる中、各チーム集中して取り組みました。

出前館チームではシナリオを分担し、終わったら他メンバーをサポートする方針。各問題の回答は約20問のキーワード入力式で時間経過とともにヒントが表示されていきます。
出題はSOARの操作に関するものや、画面上の操作結果から得られる値、イベントの見方など、普段SOARを使っている人からしたらボーナス問題かと思うような内容が多く、操作画面上で誤答をしながらも何とか答えを見つけ出すことができる難易度でした。
誤答には減点があるので慎重に進め、最終問題以外は完答。終了後にはSplunk社によるピックアップした問題の解説(誤答の多いものを選んでいたっぽい)も行われました。
誤答を繰り返すとペナルティのマイナスポイントが増えていく仕組みなので、「数打ちゃ当たる」戦法はおすすめしません。

結果は49チーム中28位。SOC経験者が多い中では健闘したと思います。
4時間ぶっ通しだったせいか、知恵熱がでて週末から風邪をひきました。

注釈:SplunkのSOARとは…
Splunk SOAR(Security Orchestration, Automation and Response)は、セキュリティ運用を自動化・効率化するためのプラットフォームです。
アラート対応やインシデント処理を「プレイブック」で自動実行し、対応時間を短縮します。SIEMやEDRなど外部ツールと連携して、情報収集から対応までを一元化できます。これにより、SOC業務の品質向上と人手作業の削減を実現します。

ベテラン以外でも楽しめるイベント

出前館 IT本部IT戦略グループの二宮と申します。
IT戦略グループはSaaSの全社導入・運用改善などを行う部署です。
自分はその中でも自動化などの開発を主に担当しています。
セキュリティは専門分野ではなく、今回導入したSplunkで初めてSIEMを使ったレベルの初心者です。
そのような門外漢ではあるのですが、導入の際に一部SaaSのログ取り込みを行った関係で今回のBOTsメンバーに加えてもらいました。(嬉しい)

出るからには少しでも得点を得たい!と思い、公開されている過去問を解いたり、過去参加者のブログを読んだりしました。
これだけではぜんぜん太刀打ちできる気がしないものの、「雰囲気だけは分かった」という状態で当日に臨みました。


そうこうするうちに迎えた当日。
メンバー4人中、自分がもっとも経験が浅いということで、簡単なシナリオ1を割り当ててもらいました。
セキュリティ以前の知識というような問題も多く、Google検索したり、たどり着いたダッシュボードをちゃんと見れば分かったりするパターンもありました。
問題が難しすぎたらどうしよう、歯が立たなくて時間を持て余すかも…?という心配はまったくの杞憂でした。
4時間余裕で集中できましたし、もっと時間があればもう少し解けたのに!という状態でタイムリミットになりました。
気づけば自チームの得点がたくさん取れていて、頼もしい同僚たちに感謝です。


運営の方から「これはお祭りなので楽しんでください」という言葉があった通り、ベテラン以外の参加者も楽しめるような配慮を感じました。
あっという間に時間が過ぎ、思いのほか解けて嬉しい気持ちと、もっとできるようになりたい悔しい気持ちで帰宅しました。
恐れずに参加してよかったです。

参加を迷っている方は、ぜひ一度出てみることをおすすめします。おやつと飲み物の持参も忘れずに!
(イベント中に自由に買いに行けますが、少しでも長く問題を解きたくなると思います)

 

Splunkとセキュリティの知見を問われる一日

にょもこです。普段はIT本部ファシリティグループでデバイスとネットワークのお世話をしています。

私の担当したのはAzureとWindowsのログから侵入の形跡をたどり、何が起こったのかを問われる問題でした。
具体的な出題内容は書きませんが、「組織のITリソースにこのような形で外部からの侵入が行われることがあるのだな」と実際にこれが起こった現場を想像するとお腹が痛くなるようなシチュエーションの問題でした。

難問が多く、最後まで解けなかった問題も少なくありませんでしたが、高難易度の1500点問題をヒントが出きる前に1問解けたのでとても嬉しかったです。ただ、この問題はSplunk力というよりもWindowsを使いこなす力が問われた印象で、Splunkを使いこなす力とセキュリティに関しての知見がまだまだ足りないな…と思わされました。逆に普段からSplunkでさまざまな調査を業務として行っているならこの問題はもっと簡単に解けたのでは無いかと思えるような問題も多かったです。

私のように今までログをgrepawksed等のターミナルからのコマンドの組み合わせで頑張って調査していたようなSplunk初学者はこういう出力を得るためにはこういうクエリを書くというようなチートシートのような物を用意しておくと良かったのではないかと思いました。チートシートの作成は普段の業務にも役に立ちそうです。

なお私は当日IT戦略グループのマネージャから差し入れてもらったエナジードリンクとケーキでカフェインと糖分をもりもり取ってさらに追いエナジードリンクで4時間の集中力を得るという暴挙にでた結果、翌日ヘロヘロの状態で業務を行う事になった…という事を付記しておきます。orz

Splunk力とセキュリティに関する知見を増やして次回もまた参加したいと思います。

参加賞にもらったステッカーがカッコイイので私物のスマホに挟んで持ち歩いている図

セキュリティに関連する一般的な知識を幅広く問われるイベント

出前館プロダクト本部インフラ部の竹内です。
今回はIT本部の皆さまのチームにお邪魔させていただき、Splunkのイベントに参加させていただきました。

担当したシナリオ

AWSに関連するシナリオとSplunk Attack Analyzer(SAA)に関連するシナリオを担当しました。

いずれのシナリオも、Splunk自体の製品知識を深く問われる問題はあまりなく、どちらかというとセキュリティ関連の一般的な知識が必要な問題が多かった印象でした。
ただし、前者のシナリオではAWSの基礎的な知識や、ログをクエリするためのSPLの構文も必要でした。
SAAを扱ったことがなかったため後者のシナリオでは面食らいましたが、設問の誘導や画面内のUIに従って、丁寧にドキュメントを読めば解ける問題が多かったです。

良かった点・反省点

  • 良かった点
    • 2つのシナリオに手を付けられた
  • 反省点
    • 難しい問題で時間を多く消費してしまった
    • BOTSは早く解けるとボーナスポイントが入るので、簡単な問題を優先して手早く解いたほうが良い

今回参加させていただいた「Splunk Boss of the SOC v9 Competition in Tokyo」、非常に楽しかったです。
次回以降もぜひチャレンジしてみたいです!

まとめ

長くお付き合いいただきありがとうございました!SIE村からイベントのまとめを

- 事前練習は必須
- 次回は、SplunkやセキュリティのスキルアップをしてSplunk Cloud、ESの方の問題もやりたい!
- 他社さんの参加ブログにもあるように分担や解き方、情報共有の仕方は戦略、戦術がいることを実感
- 過去問の類似問題が出る傾向があるので、参加経験ありのチームはこなれており有利

BOTs v10はもうシナリオが出ています!!日本での開催が待ち遠しいですね!