はじめに
こんにちは。最近1回目のコロナワクチンを打ってきたのですが、会社のワクチン休暇制度のおかげでゆっくり休むことができて満足なshigaです。 ワクチン接種休暇制度とは、ワクチンを接種した日と翌日を特別休暇として休むことができる制度で、ワクチン接種1回目、2回目のそれぞれ4日間休暇を取得できます。なんと、このワクチン休暇制度は有給休暇とは別で、有給休暇が消化されることはありません!この制度のおかげで、会社に「ゆっくり休んでください」と言ってもらえている気がして、ワクチン接種後に安心して休むことができました。実際にワクチンを打った翌日には熱が38.6℃まで上がって体の節々が痛かったので、この制度を作ってくれた会社の人たちに感謝です!
さて、急ですが本題に移ります。今回は9/5(日)にセキュリティ・キャンプの協賛企業企画に参加してきました!
セキュリティ・キャンプの協賛企業企画とは?
協賛企業企画とは、セキュリティ・キャンプの協賛企業がセキュリティ・キャンプ生と会社紹介や発表などを通して交流できる企画です。今回の協賛企業企画はオンラインで行われ、oViceという会議ツールをバーチャル会場として使用しました。セキュリティ・キャンプ生は自分の興味がある協賛企業、もしくは企画に70分の間自由に参加する形式でした。企業ごとの発表やテーマ内容はバラバラで、どこも盛り上がってました。
企画内容について
SSTでは会社紹介とメインテーマ「脆弱性診断ではどんな脆弱性が見つかるのか?」について発表してきました。最初の会社紹介では教育事業、脆弱性診断、WAFの3つについてざっくりと話し、その後に軽い自己紹介と最近ハマっていることについてセキュリティ・キャンプ生とお互い話し合いました。oViceでのやり取りが慣れていない部分もありましたが、発表の途中で誰でも質問や発言できるように、リラックスして参加してほしいと思っていたので、お一人ずつ話してもらいました。
メインテーマ「脆弱性診断ではどんな脆弱性が見つかるのか?」では、本来の想定とは異なる権限を持つユーザを作成できてしまう脆弱性についてお話しました。発表で例に挙げた脆弱性の見つけ方はシンプルではありますが、「この脆弱性を含む機能はいったいどんな風に動いていると思いますか?」と、セキュリティ・キャンプ生に聞いてみたところ、回答してくださったみなさんの考えはどれも鋭く、少ないヒントから想像を働かせてくれました。SSTの脆弱性診断は診断対象のコードは確認せずに、ブラックボックスの状態で診断をするので、内部では実際にどんな風に動いているのかはわかりません。しかし、想像を働かせたり、対象サイトの挙動からヒントを拾ったり、時には経験則やカンに頼ることで脆弱性を発見できたりすることがあります。そういったブラックボックスな部分を少しでも楽しんで貰えたら良かったかなと思います。セキュリティ・キャンプの学生の皆様、お疲れ様でした。
所感
脆弱性診断について、どんどん質問してくださる方がいて私自身も答えながら楽しめました。診断の仕方を知っていそうな方が何名かいらっしゃいましたが、「実際の診断だとこういったトラブルはどう解決していますか?」など、こういう場でしか聞けないであろう実務に関する質問が飛んできました。セキュリティの業務に少しでも興味を持ってもらえている様で嬉しいのと同時に、自分も学生時代似たような質問をしたことがあったなと思い出し、今は自分が学生に答える立場になっているのが驚きです。 最後に、セキュリティ・キャンプの運営の皆様、お疲れ様でした。