KDL BLOG

インターンシップ最終発表:セキュリティ事業部ではこんなこと学びます

KDLは新卒採用の一環として、インターンシップ制度を導入しています。
先日セキュリティ事業部でインターンシップを行った方(以下:Mさん)の最終発表を行いましたので、その様子を取材しました!
※現在、インターンシップの募集はすべて終了しております。(2019年9月20日現在)

どんなカリキュラム?

Mさんへ設定したテーマは「WEBアプリケーションの脆弱性診断を経験する」です。
WEBアプリ診断を2日間、最終発表に1日の計3日間のインターンシップです。

in_sec01.jpg

Mさんの発表

趣味で情報セキュリティの勉強をしているというMさん。
脆弱性診断ツール「Burp Suite 有償版」を使用して脆弱性のあるWEBページを診断する作業に取り組みました。

in_sec02.jpg

Mさん独自の脆弱性診断はこんな流れで進めたそうです。

  • ・サイト全体の機能を確認する
  • ・脆弱性のありそうな部分に対してツールで診断をかける
  • ・入力値がどのように反映されるのかを調べるために値を入力し確認する
  • ・メール送信やCookieのシリアライズされた値を詳しく調べる

診断してみると「意外と多く見つかってびっくりした」というMさん。
見つかった脆弱性について感じた点、ツールでアラートが上がっている場所があっても脆弱性と確証を持つところまではたどり着かなかったという反省点、他の脆弱性にも気づくことができた点、などについても発表いただきました。

また、個人的に面白いと感じた脆弱性や、ツールを使うことのメリットデメリットにも触れ、発表会を聴講していたセキュリティ事業部メンバーも感心した様子でした。

in_sec03.jpg

「脆弱性を見つけるのに、絶対的な方法はないのだと痛感しましたが、社員の皆さまは自分のやり方を持っていて、それを僕も早く見つけて技術をつけていきたい」とのまとめには拍手が起こりました。
今後は、趣味でバグバウンティもやってみたいとのこと。ぜひぜひ、頑張ってほしいです!

会場からは質問の嵐

・KDLのインターンシップに参加した理由は?
関西で情報セキュリティを社内でしっかり調査する企業は少ないと感じています。勉強会でここにもお世話になっているので技術力も十分だと思ったし、安心感もありました。

・なにが一番勉強になりましたか?
本を読んで勉強するのは一人でも可能ですが、実際に診断を経験することは一人ではできないことがたくさんありましたので、サポート体制があるのは心強いと感じました。

また、僕にレベルを合わせてくださったのがありがたかったです。
既に知っていることもある中で、今から基礎を教えられても意味がありません。自分に合ったやり方を提供していただけたのですごく有意義なインターンになりました。

・もっとこういうのがやりたかったということはありますか?
→インターンに実際のシステムを触らせるのは危険だとは分かっていますが、せっかく企業に来ているので本番環境で脆弱性を見つけるなど実践的なことをしてみたかったです。社員の方と一緒に、頭をひねりたかったです(笑)

教育担当の思い

in_sec04.pngMさんとは外部の情報セキュリティ系の勉強会やセミナーなどで顔を合わせる仲だったので、勉強会以上のことを経験してほしいと思い、WEBアプリケーションの脆弱性診断を経験していただくことにしました。KDLのインターンシップは大抵1~2週間ですが、今回は3日間という短期間。普段使っていないという有償版のセキュリティツールを使い、脆弱性を見つけていただきました。かなり難易度の高いインターンシップを経験してもらえたのではないかと思います。今後彼が取り組んでいくであろう脆弱性診断という業務には、実はあまり使われていない場所に脆弱性が潜んでいることが多々あるので、そういったところにも興味をもって挑んでほしいです。(セキュリティ事業部 安達智弘)

Mさんお疲れ様でした!
これからも技術を極め、一緒に情報セキュリティ界を良くしていきましょう!

社内からも参加表明OK

実はKDLのセキュリティ事業部では行っているインターンシップの内容(脆弱性診断のトレーニング)を、経験してみたいというKDLの社内エンジニアも募集し、参加を促しています。脆弱性診断ができる社員が増えれば、会社的にも個人のスキルアップにも好影響を与えるはず!ということで、KDL社員の皆さまご応募お待ちしています。