株式会社BizReach主催「超初心者向けWebセキュリティ研修」に行ってみた話

株式会社BizReach 主催「超初心者向けWebセキュリティ研修」に行ってみた

4/28(木)に開催された 株式会社BizReach主催の「超初心者向けWebセキュリティ研修」に足を運んできました。勉強会というものに参加するのは人生初でかなり緊張したのですが、良い経験になったかなと思います。せっかく行ったので、私自身の備忘録も兼ねてブログを書いておこうと思います。

この勉強会を紹介してくれたのはBizReachに務める社員(研究室の元後輩)です。どうもありがとう。

参加の理由

まず参加の理由ですが、以下の2つの理由から参加を決めました。

まず1点目の「もともとWebセキュリティに興味があった」ですが、研修でstruts2フレームワークを用いてWebアプリを作った経験があり、最近脆弱性がうんたんみたいな記事を読んだので、実際の現場ではどんな感じで

そして2点目の「業界に興味があった」ですが、純粋にWeb業界の人たちがどんな働き方をしているのかなーと気になったからです。私はメーカーSEなので、上流工程やってあとはポイ、なので、中身を知らないんですね。就活もメーカー中心に受けてきたので。実際に現場の方々がどんな感じで開発をしてるのかなーと気になって、足を運んでみました。

また、あわよくば転職も視野に入れてのことです。

内容について

19:50 渋谷でラーメンを食べ、BizReachのオフィスのあるビルに到着。スタッフに案内され、勉強会が開催されているフロアへ。あいにくの天気でしたが、室内はほぼ満席でした。

タイムテーブルはこんな感じでした。

20:00 勉強会スタート。まずはじめに主催者の玉木氏から最近発生したセキュリティ問題についての話。最近発生したApache Struts2 の脆弱性問題 についての講義が20分程度ありました。

そしてその後は「サンプル画面でアタック」ということで、演習を通して実際にどのようなセキュリティの脅威があるかを体感し、それに対応するにはどのようなコーディングをすれば良いのかというのを学びました。

今回の勉強会は「超初心者向け」ということで、XSSとSQLインジェクションの2つがメインでした。(※SQLインジェクションは諸事情で演習が行えませんでしたがそこはご愛嬌ということで。)

演習は、演習用のページを用意してくださっていました。

例えばこんな感じ。

フォームに適当な文字を打ち込むとJavaScript が動作してしまうというよくあるやつですね。正しい実装例のフォームで試すと、同じJavaScript も動作しない、と。こんなのをいろいろ試すのが演習でした。

コードはgithub 上で公開されており、演習後は、正しい実装例と間違った実装例の解説を行ってくれました。

さいごには、OWASP Zed Attack Proxy を用いたアタックのテストということで、今回のサンプルページにXSS のアタックを仕掛けるというのをやりました。で、このあたりで22:00。お開きです。アンケートを記入して退室。

盛りだくさんの内容で大満足でした。

感想

「勉強会」というものに参加したのは初めてだったので、少し緊張しつつ参加しましたが、いざ始まってしまえばあっという間の2時間でした。これからもこういうイベントがあったら行ってみたいなあ。

このあたりはまだまだ知識が足りない部分なので詳しい方の話を聞いてみたい。良い勉強会があったらどなたか誘って下さい。

内容としては、今回の勉強会は良い復習になってよかったなーという感じです。「超初心者向け」ということもあって、初歩的な内容でしたが、セキュリティの重要性を再認識することができました。

また、目的の1つだった、オフィスの雰囲気を知ることができ、さらには、一部ではありますが社員さんの人柄を知ることもできて大満足です。

渋谷のWeb会社の勉強会に来てる。渋谷で働きたい欲が湧いてきたな……

— にっけ (@nikke_1925) 2016年4月28日

なんと言ってもオフィスの立地が良かった。渋谷で働きたいなあ。(もしこの記事を見てくださった社員の方がいらしたら、ぜひお話をお聞かせ下さい。)

次はこれに顔を出してみようかなーと考え中。

▷ 1社だけの合同説明会 | 面白法人カヤック

今年は行動の年にしたいと思っています。よし頑張ろう。それではまた！