SSTバックヤード

SSTのサービスや業務など、さまざまな裏側をメンバーよりお届けする社員ブログです。

2020年オンライン業務体験&インターンシップ開催レポート②(1Day編)

はじめに

f:id:kaworu-san:20201112151307p:plain:w100:left f:id:kaworu-san:20201112151320p:plain:w100:leftこんにちは。技術開発部&研究開発部のかをると、人事部の渡辺です。 この記事は、3本立てでお送りしております「2020年オンライン業務体験&インターンシップ開催レポート」の2本目で、1Dayで実施した業務体験について記載しました。 全体感から目を通していただける方は、ぜひ1つ前の企画全体&1.5h編から読んでいただければ嬉しく思います。

1Day業務体験「これって脆弱性?それともバグ?」

8月25日10:30-17:00にて実施しました。(※写真は開始前の待機時間に表示していたスライドです)

f:id:kaworu-san:20201113143909p:plain
1Day業務体験(1.5hに続きビデオ会議システムGoogle Meetで実施しました)

スケジュールについて

以下のスケジュールに沿って1Day業務体験取り組みました。 1.5hと比較して時間的な制約が弱いため、じっくり取り組めたという印象があります。

時間 内容
10:30 ~ 10:50 オープニング&自己紹介
10:50 ~ 11:50 業界説明&会社説明
11:50 ~ 12:00 オンライン昼休みの説明
12:00 ~ 13:00 オンライン昼休み
13:00 ~ 15:00 ワーク「これって脆弱性?それともバグ?」
15:10 ~ 15:50 発表とフィードバック
15:50 ~ 16:30 座談会
16:40 ~ 17:00 クロージング

内容について

ワーク「これって脆弱性?それともバグ?」を中心に、1Day業務体験の内容について以下レポートします。

業界説明&会社説明

業界説明では、ITやセキュリティ業界の構造やサービス内容からのかかわり方の話を軸に紹介しました。 会社説明では、通常お伝えしている会社の話(福利厚生など)に加え、コロナ禍におけるSSTの取り組みについても紹介しました。

オンライン昼休み

お昼休みのランチ時間の過ごし方について、「30分は完全オフライン」「30分以降はオンラインミーティングのお部屋解放します」という設定をしました。

f:id:kaworu-san:20201113143934p:plain

ランチ事情は人それぞれ。"一人でゆっくり食べたい派"、"みんなでワイワイ派"、"外食派"、"テイクアウトやお弁当派"…それぞれに好みがあると思います。 一人でゆっくり食べたい人は60分まるっとオフラインで過ごしていただいてOKですし、ワイワイしたい方は30分経過して参加しながらお昼の続きを食べたり、 ちょっと外食して、戻り次第お部屋でおしゃべりしたり…はじめましての方と終日オンラインは緊張の連続と思います。お昼休みはリラックスして過ごしていただきたいなと思っての企画です。 (最初の30分を完全にオフラインとしたのは、本当は一人で過ごしたい派の方が抜けづらいことに考慮しました。)

私自身はお昼休み終了間際に顔を出したのですが、お話盛り上がっており、皆さん活用してくださったようでうれしく思いました。

ワーク「これって脆弱性?それともバグ?」

脆弱性についての考え方を簡単に学んだ後、提示するWebアプリケーションの挙動について、 脆弱性とすべきか、それとも単なるバグとして扱うのかをグループで考えていただきました。

f:id:kaworu-san:20201113143926p:plainf:id:kaworu-san:20201113143930p:plain

テーマは「なにかコメントに書いてある」。2つのシチュエーションでそれぞれ3パターンのコメント例を用意し、それぞれがWebページのレスポンスに含まれていた場合、脆弱性と判断するか否か、脆弱性とするならどのくらいの危険度として報告するかを考えていただきました。

説明以降の議論と意見の集約の進行は学生さんにお任せさせていただきました。 「私進行します」と場を進行してくださる方や記録をまとめてくださる方、 積極的に意見を出してくださる方と、積極的に参加していただきました。 脆弱性として報告することに賛成/反対のように意見が割れた場合は、なぜそう考えたかの根拠を示しながら意見を伝えられており、とてもスムーズな進行だったことが印象に残っています。

内容についても、こちらの想定以上に様々な見方から考えてくださりました。 システムの一般的な構造から想像してであったり、商流を意識しての確認があったりするなど、非常に深いものとなりました。

チームで考えた後は実際の診断同様に、結論(対応の方向性)を診断リーダーに相談していただきました。

学生さん「1のケースはxxの理由から指摘なしと考えています。」「2のケースはお客様に問い合わせたいです。yyの部分を明らかにしてから危険度を付けようかと。」

リーダー「相談いただいた内容で問題ありません、対応進めてください(お客様に問い合わせが必要な部分は問い合わせをしてください)」 また、業務体験という観点に関するフィードバックとしては「しっかり根拠を添えて方向性を相談いただけれて判断しやすかった」でした。

こちら非常に同感で、ワーク全体をオブザーバー的に参加していた私自身としても、学生さんたちの考え方や伝え方について学ばせていただくことが多いワークとなりました。

座談会

座談会には、2020年に新卒入社した2名と、入社10年近い診断調整業務*1を担当する1名、年次が全然違う3名と気軽にお話できる場を設けました。

「PCの受け取り以外1度も出社していない」「オンラインでの業務のコツ(タイマーを設定して同期の間で連絡をとりあって)」など、コロナ禍中での新卒入社リアルエピソードを中心に、社会人としてやっておくべきことなど、いろいろな話題で盛り上がっていました!

準備裏話

1Dayのワーク内容についても、1.5hから継続して、私(かをる)にて設計させていただきました。

脆弱性診断といえば、難解な値を組み立てたり手法を考えたりして、怪しい挙動を見つける、ということに焦点が当たりますが、 実際は見つけた挙動を脆弱性として報告すべきなのか、報告するのであればどのくらいの危険度とするのかを判定することも非常に重要です。 ものによっては見つける作業よりもそれを報告すべきかどうか判断・判定する時間の方が長いのでは…?ということもしばしばあります。

私自身はこの業務に携わるまでずっと脆弱性診断=単に変な挙動見つけて終わり!のように思っており、 イメージとのギャップがあったので、判断・判定の作業もとても大事、と伝わればいいなとテーマに据えました。

そして、具体的な内容を「なにかコメントに書いてある」とした理由は、 特別な前提知識や脆弱性の知識が不要と考えたからです。

Webセキュリティを大学の研究室で研究されている学生さんから、 業務体験がはじめてセキュリティの分野のきっかけという学生さんまで、 様々な背景の学生さんであっても、同じくらいワークに参加できるものを…という考えでこちらにしました。

ちなみに「なにかコメントに書いてある」は、業務体験用の作為的なものと思われるかもしれませんが、実際に診断で見つかるものです。 管理者の方、不要な情報がコメントに載っていないか、ぜひ点検されてみてください。

おわりに

終日オンラインでチームを組んで、業務体験(特にワーク)をするのは学生さんにとって緊張続きの一日だったかと思います。 最後までしっかりやり遂げてくださりありがとうございました!

1Day業務体験を実施した時期は3Daysインターンシップの申し込みの締め切りが近いころで、 1Day参加者の方から3Days応募にあたっての質問もいただいたりもしました。

「1Dayに参加して、セキュリティ業界への関心をより強くした」、「1.5hと1Day両方をきっかけに3Daysへの応募の踏ん切りがついた」、のようにお話しされていた学生さんもいてくださり、オンラインであっても(従来の1Dayの対面のスタイルでなくても)学生さんに価値を提供できたのであればとてもうれしく思います。

いよいよ、次は3本立てのラスト。 3Daysインターンシップについて紹介します!

*1:診断調整のお仕事はこちらの記事を参考にされてみてください https://blog.securesky-tech.com/entry/2019/11/28/