サイボウズサマーインターン2020 セキュリティコース 開催報告

こんにちは!Cy-PSIRTの純平です。

本記事は7月に行われたサマーインターンシップの開催報告です。

例年、「品質保証セキュリティコース」として開催していたセキュリティコースのインターンですが、 より対象者を明確にし、充実したコンテンツにするため今年より「品質保証コース」と「セキュリティコース」を別開催といたしました。 さらに、今年のインターンは新型コロナウイルス(COVID-19)の影響によりフルリモートで開催いたしました。 blog.cybozu.io

概要

セキュリティコースは 7/1 ~ 3の3日間、2名の学生に参加いただき、PSIRTが普段行っている業務のうち、脆弱性診断、脆弱性評価、外部からの脆弱性報告(外部通報)対応や振り返りなど体験していただきました。

PSIRTの紹介はこちらの記事をご覧ください。 blog.cybozu.io

脆弱性診断

今回はサイボウズ製品であるGaroonに対しての脆弱性診断を体験していただきました。 脆弱性診断をするには製品に対する知識を得たうえで脆弱性診断仕様書を作成する必要があるため、実際に診断をする前に、Garoonに触れていただきました。

製品への理解ができてきたところで早速脆弱性診断仕様書を作成いただきました。数年前まではExcelで作っていましたが、現在は弊社が提供するクラウドサービスkintoneで作成しています。

実際にインターン生に作ってもらった脆弱性診断仕様書
実際にインターン生に作ってもらった脆弱性診断仕様書

kintoneを用いての脆弱性診断仕様書の作成は慣れていない中、短い時間で完成度の高い仕様書が出来上がり、メンターもビックリしました!

脆弱性評価

続いては脆弱性の評価です。PSIRTでは、検出された脆弱性がどれぐらいの影響があるのかを評価するための方法の1つとしてCVSS v3を用いてスコアリングしています。インターン生の方々は実際にスコアを算出した経験はあまりないにも関わらず、普段からCVSSスコアを見る機会もあるからか、大きく困ることなく適切に評価できていました。

kintone上で評価と議論をする様子
kintone上で評価と議論をする様子

「なぜその評価になったのか」を説明できることも大切だと考えているため、評価によってはレビュー担当のメンターとコメントで議論する場面もありました。

ランチ🍖

業務体験とは離れますが、PSIRTのメンバーとインターン生でオンラインランチを実施しました。 インターン自体オンラインの開催ですが”チームを知ってもらいたい!”、”インターン生のことをもっと知りたい!”という気持ちは変わりません! チームの雰囲気を知ってもらうためにオンラインでつないでざつだんしながらランチタイムです。

ランチの様子
ランチの様子
※実際のランチ中のスクリーンショットを撮り忘れてしまったので、ランチ直後の様子です。

外部通報対応

次に外部通報の対応です。サイボウズでは報奨金制度を自社で運用しており、サイボウズ製品の脆弱性情報が寄せられています。製品理解、検証の流れ、評価方法を知っていただいたところで、それらすべての理解が必要な外部通報の対応も体験していただきました。外部から通報された報告のトリアージ、再現確認、評価の一連の流れを体験していただき、サイボウズ脆弱性報奨金制度の運営側を知っていただくことができました。

振り返り

3日間毎日振り返りを実施しました。KPT方式を採用し、その日のできごとでよかったこと(Keep)、問題点(Problem)を挙げ、次の日にどのように改善するか(Try)を共有する時間です 。

実際に登録された振り返り
実際に登録された振り返り
最終日の振り返りの様子
最終日の振り返りの様子
振り返り自体も普段PSIRTが行っている改善活動の一つです。

懇親会🍻

もちろんオンラインでの開催です!PSIRTメンバーのLT、ざつだんや感想などで盛り上がりました。 最後には恒例の完走賞もお渡しいたしました。

懇親会の様子
懇親会の様子

いただいた感想

いただいた感想をご紹介いたします。

普段個人でセキュリティをやっているとなかなか学ぶことができない、会社としてのセキュリティ向上のプロセスを知ることのできる貴重な機会でした。


リモート開催で不安でしたが、特に困ることなく作業を進めることができました。3日間でしたが、もっと体験したいと思えるインターンシップでした。

まとめ

今年はセキュリティコースの初めての単独開催でした。実際にPSIRTが普段行っている業務を体験していただきました。参加していただいたインターン生も普段はセキュリティを勉強している方々でしたが、ユーザー企業としてのセキュリティ品質向上の活動を体験していただいて得た学びを活かして今後も活躍していただけたら嬉しいです!