Zenn
👨‍💻

Flatt Security 2023 サマーインターン 参加記

2023/10/05に公開
Security
#
インターン
idea

2023年9月11日から15日にかけてFlatt Securityのサマーインターンに参加しました!
https://twitter.com/shio_sa1t/status/1702683569070739727

Flatt Securityって何の会社?

一言で表すと、セキュリティの会社です。
脆弱性がないか調査するセキュリティ診断、Webエンジニアのためのセキュアコーディング学習プラットフォーム"KENRO"、クラウド運用を堅牢化するためのセキュリティSaaS"Shisho Cloud"といったサービスを提供しています。
詳しくは、公式サイトを確認してください。
https://flatt.tech/

なぜ応募したのか

私はまだ学部1年生であり、就職について考えたり、インターンに参加したりするには早い時期です。しかし、高校生の頃から技術系のイベントに参加していた影響もあり、周りの人がインターンに行っていて、インターン自体にとても興味がありました。また、SecHack365やセキュリティ・キャンプに参加したり、CTFをやったりしていて、セキュリティによく関わっていますが、業務についてあまり知らず、やってみたいという気持ちもありました。

そして、色々と探していたら、Flatt Securityにたどり着きました。セキュリティ・キャンプに協賛しているため、昔から名前は知っていました。また、Flatt Security Developers' Quizに参加して、Tシャツやステッカー、チョコ[1]を貰っていました。
https://twitter.com/shio_sa1t/status/1534452039719088128
https://twitter.com/shio_sa1t/status/1626450207184674816

ちなみに、Flatt Security以外に応募していないので、落ちていたらインターン行けてませんでした。応募しなかった理由としては、そもそも27卒が対象となっているインターンが少なかったことと、インターンに行ったことが無かったので不安に感じていたからです。

概要

新卒採用の最新情報から見ることができます。
ざっくり言うと、

  • 5日間、Webアプリケーション診断にチャレンジ
  • 前半はトレーニングで勉強
  • 後半はWebアプリケーションを診断して報告書を作成

期間によって人数が違う[2]ようですが、私が参加していた第3期では自分を含めて4人のインターン生に対して2人のメンターが付いていました。

内容

1日目

寝坊しました。
前日にセキュリティ・ミニキャンプの講師[3]をやっていたので、疲れていたのかもしれません。
しかし、タクシーで何とか間に合いました。[4]初日から遅刻しなくて本当に良かった。

冒頭に会社と業務内容の説明を聞き、早速トレーニングが始まりました。
Webアプリケーションの脆弱性に関する基礎知識や発見方法など、セキュリティ診断に必要な知識を学びました。また、それぞれの最後には演習が用意されており、理解が深まりました。1日目では、XSSについて学習することができました。

https://twitter.com/flatt_security/status/1701060848188534946

2日目

しっかり寝ることができました。
1日目に続いて、トレーニングを行いました。
最初はMacの操作が慣れなかったり[5]、JavaScriptに苦しめられたりしていて、進捗が遅かったのですが、段々とこなせるようになっていきました。
2日目では、CSRFについて学習することができました。
時間があったので、OSコマンドインジェクションについても少し学習しました。

3日目

Apple Event[6]を見ていたので、少しだけ寝不足でした。
3日目からは、いよいよWebアプリケーションの診断が始まりました。
オンラインショッピングサイトのようなものが対象でした。

診断では、社内ツールのセキュリティ診断プラットフォームORCAsを使いました。
めちゃくちゃ便利でした。これ無しでは生きていけない。
https://blog.flatt.tech/entry/introduction_to_orcas

4日目

すやすやでした。
3日目に続いて、診断を行いました。
内容は言えないのですが、とても面白かったです。
また、3日目よりも多く発見することができて、嬉しかったです。
Web開発がんばりたいなという気持ちにもなりました。

4日目の夜には、懇親会がありました。
詳しい内容は、最後のセクションに書きます。

5日目

疲れが溜まってきたのか、あまり眠れませんでした。
5日目は、3日目と4日目に見つけた脆弱性をまとめて報告書を作成しました。
報告書では、脆弱性の内容や再現手順だけではなく、対応についても記述しました。
CTFでは壊して終わり[7]だったので、新鮮な経験でした。
そして、最後にはフィードバックを受けました。

https://twitter.com/flatt_security/status/1702626101158383967

ランチ

1,3,5日目は、シャッフルランチでした。
インターン生2人と、ランダムに選ばれた社員2人とランチを食べました。
色々とお話を聞きつつ、美味しいご飯[8]を食べました。
2,4日目は、インターン生とランチ[9]を食べました。
私だけ学部1年生で経験が浅いので、良いお話を聞けました。

美味しいご飯を食べました
めちゃくちゃ美味しかったです

1人だけ大盛
1人だけ大盛を食べるわんぱく少年shio

デイリーチェックイン

月・水・金曜日にはランチ前にデイリーチェックインというものがありました。
出社している人はソファのところに集まり、リモートの人はGoogle Meetに参加して、お話をするというものです。
リモートの人もこうやって人と話す機会があるのは良いと思いました。
インターン生の一人にルービックキューブができる人がいて、すごかった[10]です。(語彙力)
私はそんな見せる特技がないので、ただお話をしているだけでした。。。

懇親会

ピザを食べながら、交流していました。
技術トークはもちろん、大学生活のこと等も話しました。
また、阪神が優勝しそうだったのでテレビで野球を見ていました。
優勝確定後、すぐに道頓堀のYouTube Liveに切り替えるのは面白かった[11]です。
最後は、Tシャツ[12]とタオル、ステッカーを貰い、集合写真を取りました。

その後、私は少し残ってお話をしていました。
なぜかエンジンの話をしていて、エンジンの知識がかなり付きました。
とりあえず、ロータリーエンジンが良いということを知りました。(?)[13]
少し技術に戻すと、JavaScriptエンジンのV8が実際のV8エンジン(V型8気筒)が由来だということを初めて知りました。
その他にも色々な話をして、楽しかったです。

V8
V8のロゴ[14]とV8エンジン[15]

感想

はじめてのインターンでしたが、とても楽しかったです。
「なぜ応募したのか」で記した目的が達成されたことに加え、Webアプリケーションの脆弱性に関する基礎知識をしっかり学べたことは大きかったです。
また、Webアプリケーションの診断を体験することができて、とても良かったです。
同時に自分の実力不足を感じたので、Webセキュリティの勉強を頑張りたい気持ちになりました。
来年もインターンにもっと参加して、色んなことを学んでいきたいです。

最後に、この場を借りてFlatt Secruityの方々に感謝を伝えたいと思います。
このような機会を提供していただき、本当にありがとうございました!

脚注

  1. 今年唯一貰えたバレンタイン ↩︎

  2. 第3期が一番少ない ↩︎

  3. 詳しくはこちら ↩︎

  4. インターン初日からタクシー出社を決めてしまい、大物扱いされてしまった ↩︎

  5. WindowsかLinuxしか使ったことがなかった ↩︎

  6. iPhoneのUSB Type-Cを確認してすぐ寝ました ↩︎

  7. writeupとかで再現手順までは書くけど... ↩︎

  8. チキン南蛮、カレー、焼肉定食 ↩︎

  9. パスタ、ハンバーグステーキ ↩︎

  10. ルービックキューブを持っていて、グチャグチャにしたのをその場で爆速で揃えていた ↩︎

  11. 飛び込みは見れなかったけど、すごい人混みだった ↩︎

  12. 5日目のツイートで着てます ↩︎

  13. あと、星型エンジンについても知りました ↩︎

  14. 画像引用: https://v8.dev/logo ↩︎

  15. 画像引用: https://airandspace.si.edu/collection-media/NASM-A19710916000-NASM2014-02304 ↩︎

Discussion