はじめに
こんにちは。男爵のYOSHIIです。
ノブレス・オブリージュの精神でこの身をささげた今年のオープンカンパニーもいよいよ終盤です。 先日、5Daysオープンカンパニーを開催して無事に終了しましたので、その様子をお伝えします。
1Dayオープンカンパニーの様子はこちらからどうぞ。
エンジニア体験オープンカンパニー「リアルなWebセキュリティの業務課題にチームで取り組む」@オンライン
8月17日(水)、8月23日(火)~8月26日(金)と、少し変則的な日程で実施しました。
スケジュールについて
以下のようなスケジュールで進行しました。
初日:8月17日(水)
| 時間 | 内容 | 詳細 |
|---|---|---|
| 13:00 ~ 13:30 | オープニング | 自己紹介、全体概要 |
| 13:30 ~ 13:40 | 休憩 | |
| 13:40 ~ 15:40 | ワークの説明 | 各チームでワーク内容の説明と準備 |
| 15:40 ~ 15:50 | 休憩 | |
| 15:50 ~ 16:00 | クロージング |
2日目:8月23日(火)
| 時間 | 内容 | 詳細 |
|---|---|---|
| 10:00 ~ 10:40 | オープニング | アイスブレイク、スケジュール等の諸説明 |
| 10:40 ~ 10:45 | 休憩 | |
| 10:45 ~ 11:55 | 共通セミナー | 会社・業務紹介、情報セキュリティ基礎 |
| 11:55 ~ 12:00 | お昼休みの説明 | オンライン昼休みの説明 |
| 12:00 ~ 12:30 | 昼休み | |
| 12:30 ~ 13:00 | オンライン昼休み | |
| 13:00 ~ 17:30 | メイン作業 | |
| 17:30 ~ 17:45 | 業務報告 | 終了連絡 |
| 17:45 ~ 18:00 | クロージング |
3日目:8月24日(水)
| 時間 | 内容 | 詳細 |
|---|---|---|
| 10:00 ~ 10:30 | オープニング | 業務報告(開始連絡)と参加者同士の交流 |
| 10:30 ~ 10:40 | 諸連絡 | |
| 10:40 ~ 10:50 | 移動と休憩 | 各チーム用のMeetに移動 |
| 10:50 ~ 12:00 | メイン作業 | |
| 12:00 ~ 13:00 | オンライン昼休み | |
| 13:00 ~ 17:30 | メイン作業 | |
| 17:30 ~ 17:45 | 業務報告 | 終了連絡 |
| 17:45 ~ 18:00 | クロージング |
4日目:8月25日(木)
| 時間 | 内容 | 詳細 |
|---|---|---|
| 10:00 ~ 10:30 | オープニング | 業務報告(開始連絡)と参加者同士の交流 |
| 10:30 ~ 10:40 | 諸連絡 | |
| 10:40 ~ 10:50 | 移動と休憩 | 各チーム用のMeetに移動 |
| 10:50 ~ 12:00 | メイン作業 | |
| 12:00 ~ 13:00 | オンライン昼休み | |
| 13:00 ~ 16:00 | メイン作業 | |
| 16:00 ~ 16:45 | 交流会 | 社長&CTOと交流会 |
| 16:45 ~ 17:30 | メイン作業 | |
| 17:30 ~ 17:45 | 業務報告 | 終了連絡 |
| 17:45 ~ 18:00 | クロージング |
最終日:8月26日(金)
| 時間 | 内容 | 詳細 |
|---|---|---|
| 10:00 ~ 10:30 | オープニング | 業務報告(開始連絡)、成果報告会の準備(追い込み) |
| 10:30 ~ 10:40 | 諸連絡 | |
| 10:40 ~ 10:50 | 移動と休憩 | 成果報告会のMeetに移動 |
| 10:50 ~ 12:25 | 成果報告会 | SST社員も参加OK |
| 12:25 ~ 12:35 | 休憩 | |
| 12:35 ~ 12:50 | 参加者のみ振り返り | |
| 12:50 ~ 13:00 | クロージング | |
| 13:00 ~ 14:00 | ランチ懇親会 |
内容について
初日
初日は半日かけて、各チームのワーク説明と環境構築などの準備を行いました。
2日目との期間が数日開けてあるのですが、これは去年のフィードバックの結果です。
準備の日とメイン作業に入るまでの間に期間を設けることで、主に運営側で想定外の作業が発生した場合のバッファを設定しました。
また、参加者にも課題内容をかみ砕くための猶予になるかなという意図も含めていました。
結果としては、運営側はこの期間を有効活用できました。 参加者からどう評価されたのかは不明ですが、少なくともアンケート結果には特に否定的な意見はありませんでした。 なので、まあ成功だったのかな、と思います。
共通セミナー(会社・業務紹介、情報セキュリティ基礎)
昨年と同様に、Web脆弱性診断用のツール(スキャンツール)開発をしている坂本より、会社・業務紹介と情報セキュリティ基礎について説明を行いました。 簡単な会社紹介、情報セキュリティ基礎として改めて「情報セキュリティとは」というところを抑えたのち、Webアプリケーションのセキュリティとして、時代ごとの技術構成の移り変わりなども踏まえたリアルな部分、セキュリティに携わる人として必須である倫理観について説明しました。 また、今回はアドリブでHTTPについての話もありました。
この画像は昨年の記事の使いまわし…ではございません! 左下のSSTロゴが新ロゴになっているのがおわかりいただけるでしょうか。
メイン作業
初日~4日目に、業務として課題に取り組んでいただきました。期間中のほとんどはこの時間となります。
2022年も昨年と同様、インストラクターとして現役のエンジニア1〜2名と参加者1〜2名で少人数のチームを組んでいただくように設定しました。
ありがたいことに今年は多数の参加応募をいただき、全5チームとなりました。
(むしろインストラクターが不足する事態となり、担当チームを兼任することになってしまいました。今後の課題です)
各チームでは以下のような課題に取り組みました。
チームA
HTTP関連のRFCを整理し、RFCの関係性やサマリについて素早く理解できるような、一種のチートシートのような資料を作成していただきました。 パッと見てわかりやすい系統図もあり、RFCを参照する必要に迫られた際にとても役に立つものになりました。 非常にありがたいです。
チームB
レスポンスのContent-Typeがない場合、間違っている場合にブラウザがどのようにContent-Typeを判別するか、最新挙動とその挙動の安定性を調査していただきました。 また、検証自動化ツールを作成されており、実行する様子をデモとして発表していただきました。 個人的に好きなテーマだとCTO長谷川のテンションが上がっていたのが印象的でした。
チームC
任意のエスケープや禁止文字列を設定できるクロスサイトスクリプティング検証環境を開発していただきました。 Web脆弱性診断をやっているとよく遭遇するのですが、「こんな挙動を示すWebサイトでXSSを成功させるにはどうすればよいか?」と相談できるように、診断サイトの挙動を再現できるWebアプリに仕上がりました。 この短期間で作成したとは思えない完成度です。
チームD
Webアプリケーションフレームワークに準備してある脆弱性対策ロジックと、その脆弱性対策を用いた場合でも脆弱性が作りこまれてしまう「抜け穴の部分」を調査していただきました。 今回は、弊社の診断員にとって比較的知見が少ないDjango(Python)について調査していただきました。
チームE
新規追加予定の診断項目の報告書テンプレートを作成していただきました。 2つの脆弱性について調査し、お客様に提出する報告書の内容を検討していただきました。 あえて既存の報告書などは参照せず、ゼロベースで作成していただくことで、今の弊社にない新しい観点からの知見を得られることも期待した課題でした。
どのチームも短期間で作成したとは思えないハイクオリティな成果を上げていただきました。 もし私が同じレベルの仕事をしろと言われても、できる自信はありません。😇
交流会
4日目の16:00 ~ 16:45、社長の大木とCTO長谷川との交流会を実施しました。
この交流会では、作業を忘れて気軽に話していただけるようにとの配慮で、インストラクターは不参加で行いました。
私もインストラクターを兼任していたので不参加だったのですが、今思えば運営として参加してよかったのでは…
さておき、運営渡辺のメモを見た感じ、とても活発な交流ができたようです。
成果報告会
最終日の10:50 ~ 12:25に実施しました。 1チーム12分の持ち時間で報告いただき、講評、質疑応答の流れで実施しました。 発表スタイルは特に指定なしで、各チーム自由に発表していただきました。 発表方法にこだわっていたり、作成したアプリのデモを実施したりと、各チームとてもレベルの高い報告内容でした。
オンライン昼休み&ランチ懇親会
恒例となったオンライン昼休みは今回も2日目~4日目に実施しました。 休憩したい人は休憩し、交流したい人はふらっと参加できるようなラフな時間です。 詳細は過去の記事を参照いただくとして、今回も大いに盛り上がったようです。
また、昨年に続いて最終日のランチ懇親会も実施しました。
初めの30分はメイン作業を共にしたチームで過ごし、後の30分はインストラクターをシャッフルするスタイルで行いました。
私が参加したチームでは麻婆豆腐の作り方について大いに盛り上がり、オープンカンパニー終了後にも坂本から(麻婆豆腐についての)技術的なフォローメールを送り、そのフィードバックをいただくまでに至りました。
まさかセキュリティ企業のオープンカンパニーで中華料理屋のキャリアについて知見を得るとは思ってもみませんでした。
おわりに
以上、2022年のオープンカンパニー企画のレポートでした。
まずは参加者のみなさま、お疲れさまでした。
そして、ご参加いただきありがとうございました。
また、開催にあたりインストラクターなどで直接ご協力いただいた方々、業務の調整などでご協力いただいた方々、社内メンバーに感謝します。
ありがとうございました。とても助かりました。
今年は昨年までの改善案などを積極的に取り込んだトライの回だったと思います。 例えば、昨年はoViceとMeetの併用だったのですが、今年はMeetのみに絞ってみたりとか。 今年も反省点や改善すべき点がたくさん見えたので、今後もより一層良いものにするべく一同精進してまいります。
最後までお読みいただき、ありがとうございました。
それではまた来年お会いしましょう!(多分)
