初めに

今年の4月に新卒で入社したid:aaaaaaaaaaaaaaaaaaaaxです。 新卒研修の「脆弱性の理解」の研修のまとめとして、この研修について振り返りを書きました。

• 初めに
• 研修について
  • これまでの研修について
  • 今回の研修の目標
  • 今回の研修の内容
• 振り返り
  • 「課題書籍を用いた学習」について
  • 「脆弱性をテーマにディスカッション」について
  • 「模擬報告会」について
• 終わりに

研修について

これまでの研修について

初めにこれまでに受けた研修について説明します。この研修までに受けた研修は以下の通りです。

1. テクニカルライティング
2. PHP入門&Webアプリ開発

テクニカルライティングについては以前のブログで紹介しています。
PHP入門&Webアプリ開発では、HTTPの基礎からwebアプリがどのような機能で構成されているかについて学びました。

今回の研修の目標

この研修の目標は「脆弱性の本質を学ぶ」であり、ゴールとして以下のことが設定されていました。

1. 受動攻撃・能動的攻撃の違いを理解している
2. それぞれの脆弱性がwebアプリケーションのどんな機能で発生するかを理解している
3. それぞれの脆弱性の発生原理・脅威・対策を、適切な資料を用いて説明できる

今回の研修の内容

研修の内容については以下の通りです。

• 課題書籍(体系的に学ぶ 安全なWebアプリケーションの作り方)を用いた学習
• 脆弱性をテーマにディスカッション
• 模擬報告会
• ブログの執筆

ディスカッションでは、実際のサービスに脆弱性があると仮定したときにどのような悪用シナリオが考えられるか、というようなテーマについて現役の診断員の方と話し合いました。

模擬報告会では、資料作成をした後に報告会の実施をしました。 資料作成では、アプリケーションを診断した結果、脆弱性が見つかったという想定で脆弱性の情報が与えられました。 そして、その脆弱性について報告するための資料を作成しました。報告会では、現役の診断員が診断の報告を受ける開発会社の立場の役（PM、PL、開発担当者）として報告会に参加するというシチュエーションで、作成した資料を用いて報告と質疑応答をしました。

続いて、研修の内容について振り返っていこうと思います。

振り返り

「課題書籍を用いた学習」について

自分は研修を受ける以前に2,3回課題書籍を読んでいる状態であったため、復習をするという形で進めていきました。 セキュリティの勉強を始めた頃に読んだ時はなかなか読み進められず苦労しましたが、 今回改めて読んでみると、当時に比べて読みやすかったと感じました。 理由は、脆弱性の仕組みに注目して読めたことだと思います。 受動攻撃と能動攻撃など、脆弱性を考えるときに注目する点がわかっている状態であったためこのように感じたと思いました。

「脆弱性をテーマにディスカッション」について

ディスカッションの準備として、自分が脆弱性の悪用シナリオを考える際に、脆弱性があるとできることとしてテンプレート的な回答を多く書いていました。 しかし、ディスカッションでの診断員の方の回答はアプリケーションの特性や情報を踏まえたものでした。 このことから脆弱性診断員は脆弱性の理解だけでなくアプリケーションの理解をすることが大切だと感じました。

「模擬報告会」について

模擬報告会では、「聞いててわかりやすかった」というフィードバックをいただきました。しかしその一方で、「セキュリティについて知らない人が聞いてもわかりやすいかどうかはわからない」というフィードバックもありました。 そのことから、読み手の前提知識はどのレベルであるか想定することが大切だと思いました。

終わりに

以上、簡単にはなりますが、新卒研修の「脆弱性の理解」の研修の振り返りでした。