はじめに
こんにちは。技術開発部&研究開発部のかをると、人事部の渡辺です。
2020年も残すところあと半月!一年あっという間と感じています。2020年のメンバーブログは「新しい生活様式」「在宅勤務」などのコロナ禍でのキーワードについて取り上げた記事が多く更新されてきました。 業務体験やインターンシップも「新しい生活様式」を考慮し、参加者の方や弊社のメンバーの安全を第一に考え、対面ではなくオンラインで開催しました。
SSTではオンラインでの業務体験やインターンシップの実施は初めて、原則在宅勤務という状況で、準備もすべてオンラインという初めてだらけの取り組みで不安なことも多かったですが、さまざまな社員と一緒に準備した企画の全日程を終えることができました。
終了したいま振り返ると「オンラインでも、学生さんとアクティブに業務体験やインターンの内容に取り組めた、想像以上だった」「SSTという会社を伝えることができた」と手ごたえを感じています。オンラインならではの業務体験やインターンシップについて、企画の裏側なども織り交ぜつつ、以降かをる目線で記事にしたいと思います。
断続的ではありますが、8月から10月の期間の実施内容を盛り込み、企画裏話も書いたところ、かなりの記事ボリュームになってしまったので、 開催レポートは「企画全体と1.5h」(本記事)と「1Day編」、「3Days編」の3本立てでお送りします。
企画全体の構想について
企画の基本軸に据えたのが例年の1Day&対面での業務体験です。
まず考えたのは、従来の行っていた「対面」という方法について。 社員や学生さんの安全を最優先に考え、「対面はとりやめる。オンラインで実施する。」はごく早い時期確定事項となりました。
となれば、あとはシンプルに「1Day」の実施内容そのものを考えればよいのですが……オンラインとなったことで、コンテンツもこれまでと大幅に変更する必要が出てきました。
例えば、これまでの実施内容で学生さんから好評だった"実際に脆弱性診断を体験してみよう"の内容。 実施のためには、さまざまなツールやソフトウェアが必要です。 従来はオフィスに業務体験用の設定済のPCを準備できましたが、オンラインではそれができません…。 学生さんに設定いただくとしても、それだけで1日終えてしまうことが容易に想像ができました。
そこで、コンテンツもオンラインならではのものへと変更し、環境構築などが不要な業務体験を扱う「1Day」と、 環境構築も含めより実践的な業務内容を扱う「3Days」インターンシップ(選考あり・日当あり)となりました。
というわけで(?)無難に2本立てで行くと思っていたのですが、渡辺により以下を考慮した結果、「1.5h(1時間30分)業務体験」も追加されました。
- 学生さんは初対面の社会人に対して緊張しているだろうから、終日オンラインは負担が大きいのではないか
- オンラインにまだ慣れていない学生さんや、授業が忙しい学生さんであっても、短いものがあると参加しやすいのではないか
- 会社の雰囲気を気軽に知ることができ、いい会社だと感じていただいたら終日のものにつながるのでは
「まずは1.5hに気軽に参加してもらって、学生さんが"SSTよさそう"と感じたら、1Dayや3Daysにもぜひ応募していただければ…」という、参加しやすさを考えた提案でした。以降はこの方針に沿って、1.5h、1Day、3Daysの企画をつくっていきました。
ここからは具体的な開催レポートです!
1.5h業務体験「脆弱性診断報告会のお試し業務体験@オンライン」
8月4日 11:00-12:30、8月12日 14:00-15:30、8月20日 11:00-12:30の合計3回実施しました。(※写真はイメージです。)
スケジュールについて
1.5hという限られた時間で何をするかが非常に悩みました。 ぎゅーーっと詰め込んだ以下のスケジュールで実施しました。 (午前開催のもの。午後開催は14:00でよみかえてください)
時間 | 内容 |
---|---|
11:00 ~ 11:10 | 自己紹介&会社紹介 |
11:10 ~ 11:50 | ワーク「脆弱性診断報告会のお試し業務体験@オンライン」 |
11:50 ~ 11:55 | 休憩 |
11:55 ~ 12:15 | 模擬報告会&フィードバック |
12:15~12:30 | 質疑応答と座談会 |
内容について
メインで内容であるワーク「脆弱性診断報告会のお試し業務体験@オンライン」は、完成済のWebアプリケーション脆弱性診断の報告書をもとに、 報告内容の準備と、報告会を模擬的に体験するという内容を実施しました。
こだわったポイントとしては、1.5hという短い時間であっても、少しでもリアルに近い業務体験の時間となるように、 特別にあつらえた報告書ではなく、実際にお客様に提出している様式で、実際にWebアプリケーション脆弱性診断サービスの診断担当が記載した報告書を用意しました。
また、報告書は2パターン用意しており、1つは画像投稿SNS風Webアプリ、1つはECサイト風Webアプリに対しての報告書です。 学生さんは2チーム(各2~4名)に分かれ、チームごとにどちらかの報告書の内容について報告していただきました。
報告会の模擬体験は時間の都合上、「まず対応すべき項目を一つ挙げるとするなら?」のお題に回答する形式としました。 (実際の報告会では、報告書に沿って検出された脆弱性の内容をお客様に報告しています。)
質疑応答&座談会は15分という本当に短かったですが、少しでも…少しでも会社の雰囲気が伝われば…!!とスケジュールにいれました。 より実務に踏み込んだ質問や、学生生活や就職活動の相談などが寄せられました。
準備裏話
1.5hインターンシップ報告書掲載の診断対象はお客様の実際のサイトではなく(念のため)、自分の手元で動作させたWebアプリです。
画像投稿SNS風Webアプリは以前SSTエンジニアブログで紹介した ひとりだけ○○で開発合宿に参加しました - SSTエンジニアブログにて開発・作成したものを拡張していったものです。 意図的に脆弱性を作りこんだWebアプリを俗に"やられサイト"と呼ぶこともあるのですが、あれから日々改良(改悪)を加え、たくさんの"やられ"部分が存在するようになりました。 報告書ではシステム構成を記入する欄があるのですが……(せっかく脆弱性が出にくい仕組みを採用してるのに、こんなにボロボロにしてごめんね…)と報告書を書きながらちょっと心が痛みました。
ECサイト風Webアプリは、なんと2019年入社の方が新卒研修で作成したアプリの一つが"やられサイト"役で、作成者本人に実施いただきました。 新卒研修では、セキュリティに対しての研修以外にも、幅広くWeb技術やプログラミングに関して学んでいただいています。 (2019年は、Web開発研修の後に本格的にWebセキュリティに関する研修を実施しました。) 当時「セキュリティは気にしなくてOKです。作ってください。(※納期は短いです)」と指示し、作成いただいたものを引っ張り出していただいたのですが…
見事に(?)脆弱性が発見され、セキュリティを意識した開発の重要性を改めて認識することとなりました。 やり取りの中で「今と当時と、Webサイトの見方(考え方)変わったりする?」とお話を振ってみたところ、 「だいぶ変わりましたね、1年前の自分を閉じ込めて問い詰めたいです」(どうしてそんな実装にしたのか聞いて、セキュリティに考慮した実装方法を教えたい)ということでした。
…私個人的に"マイナスの個数の商品をカートに入れると、合計金額から値引きされて会計できる"はつい笑ってしまいました。
おわりに
学生さんにとっては、初めましての方とオンラインでチームを組み、1.5時間(賞味40分)という短い時間で 著名な脆弱性から、先の例(マイナス個数で値引き)のようなものまで、たくさんの記載がある報告書から回答を導くのは大変だったと思います。 「容易に攻撃可能であり、また、風評被害も懸念されるのでxxの項目をまず対応すべきでは?」 「攻撃には専門知識が必要だが、成功すると情報漏洩が発生するため、優先してyyの項目を対応してはどうだろう」 「xxの項目とyyの項目で悩ましい、修正のコストを勘案して着手容易なものから着手してみる?」 等々。 丁寧にいろいろな視点から話し合いいただき、ワーク作成者冥利に尽きます。うれしかったです。
さて、運営として振り返ると…意外と当日の運営が大変なのが「1.5h」でした。 というのも、些細なオンライン接続のトラブル(例:うまく会議URLにアクセスできない、音声が入らない)などで、 5分の遅れがあったとしましょう。1Dayですと5/420分(60分7)→ 約1.2%ですが、1.5hは5/90(601.5)→約5.6% 数分の遅れが全体のスケジュールに影響する割合が大きいためです。 表では進行しつつも、裏では時間の計算をずっとしていました。
とはいえ、「楽しかった、セキュリティ業界面白いと思った」「SSTさんの社風が(その学生さんにとって)よい印象だった」。 「気軽に応募できてよかった、1Dayにも応募してみたい」と、のちの1Dayや3Daysに応募してくださるきっかけにもなったようで、 実施してよかったと思っています。
1Day業務体験と3Daysインターンシップの詳細についても、1Day編、3Days編にて紹介していきます!