top

OCA大阪デザイン&テクノロジー専門学校の学生がGSXでインターンシップを行いました。
~インターンシップの内容~

2022年10月14日 トピックス
OCA大阪デザイン&テクノロジー専門学校 GSX

2022年8月17日(水)~19日(金)にかけて、OCA大阪デザイン&テクノロジー専門学校(以下、OCA)の学生計4名(3名:竹芝本社、1名:リモート)に対してインターンシップを行いました。

(左から、インターンシップ講師担当 Sさん、OCA スーパーゲームIT科 ホワイトハッカー専攻Mさん、Nさん、Kさん)

(左から、インターンシップ講師担当 Sさん、OCA スーパーゲームIT科 ホワイトハッカー専攻Mさん、Nさん、Kさん)

インターンシップの内容

今回のインターンシップでは「TTS事業部」脆弱性診断※1の業務を3日間かけて体験していただきました。TTS事業部のTTSとは「Tiger Team Service」の頭文字であり、主に脆弱性診断やペネトレーションテスト※2などを行うタイガーチームサービスをご提供しております。

※1 ネットワークシステムに内在する脆弱性の有無を診断すること
※2 ホワイトハッカーが実際の攻撃者と同じ行為を擬似攻撃として実施し、侵入を含むあらゆる攻撃の可能性をテストする

タイガーチームサービスとは?

タイガーチームサービスとは、GSXのホワイトハッカーが対象のネットワークシステムに対してハッカーと同じ手法を用いて擬似攻撃を実施し、システム内の実害につながりうる脆弱性を検出し、対策方法を含めてご報告するサービスのことです。GSXに所属するホワイトハッカーはCEHで学習する知識を保有し、お客様のご相談に対して確かな技術力と倫理観を持ってサービスをご提供させていただいております。

インターンシップ概要

1日目 ・オリエンテーション
・事前課題(Webアプリケーション作成)の発表とフィードバック
・ハンズオンのレクチャー
2日目 ・脆弱性診断業務
・業務報告書の作成
3日目 ・報告会

◆オリエンテーション

学生の皆さんがオフィスに到着。
ご挨拶とPCのセットアップを行い、早速インターンシップを開始します。

◆事前課題(Webアプリケーション作成)の発表とフィードバック

まず初めに、事前課題として各自で作成いただいていたWebアプリケーションのプレゼンテーションを行っていただきました。講師からは「デザインを凝ることよりもまずはプログラムを組み立てることを優先すること」「仕上がりが途中になってしまったものに関してはインターンシップが終了したらぜひ完成させてほしい」などのフィードバックをしました。

事前課題(Webアプリケーション作成)の発表とフィードバック
◆Webアプリケーションの脆弱性診断業務

お客様のWebアプリケーションの脆弱性診断をするために必要な一連の流れをご説明し、実施していただきました。
今回は模擬環境(やられ環境)ではなく、過去に診断実績のある対象を使用して、インターンシップ期間中にできそうな内容に絞って実践しました。

・脆弱性診断の全体概要説明
脆弱性診断を行う前に、まず「脆弱性診断」にかかわること全体についてのご説明をしました。 お客様への説明事項や、安全への意識、法令順守など、「技術以外」にも必要となる大切にすべき点をお伝えしました。

・見積もり作成
お客様にご提示するお見積もりを作成するために、診断対象のWebアプリケーションを操作して診断対象となるシステム一覧を作成していただきました。

・脆弱性診断の実施
お見積り作成後に、脆弱性診断を実施しました。 インターンシップで利用できる時間の都合上、全項目を診断することは難しかったため、今回は「クロスサイトスクリプティング※3」「SQLインジェクション※4」の2つの項目について診断をしていただきました。

※3 攻撃者がWebサイトの脆弱性のある部分に、悪質なサイトへ誘導する簡易プログラムを仕掛け、サイト訪問者の個人情報などを詐取する攻撃のこと
※4 攻撃者がWebアプリケーションの脆弱性を利用し、「SQL」という言語を悪用してデータベースを不正に操作する攻撃方法のこと

OCA大阪デザイン&テクノロジー専門学校の学生がGSXでインターンシップを行いました。 ~インターンシップの内容~

・報告書作成
自身で出力した脆弱性診断の結果についての報告書を作成しました。結果を機械的にまとめるのではなく、読み手(主にお客様)の立場を意識した報告書の取りまとめをするように依頼をしました。

・脆弱性診断結果の報告会(プレゼンテーション)
各自で作成した報告書をもとに、GSXの事業部長や各事業担当者に向けて脆弱性診断の結果について報告会を実施しました。報告書を作成する際と同様に、報告会では「ただ機械的に説明すること」ではなく「相手の立場に合わせたご説明」を意識して実施していただきました。

OCA大阪デザイン&テクノロジー専門学校の学生がGSXでインターンシップを行いました。 ~インターンシップの内容~

・インターンシップ全体の振り返り
3日間の活動の振り返りを行い、インターンシップを終了いたしました。

2024年度新卒向けインターンシップのご案内

2022年10~12月にかけて1DAY体験型インターンシップを行います。
今回インターンシップで携わったTTS事業部※4より「ハッキングされてみよう」コンサルティング事業部※5より「エモ写をSNSに投稿しただけなのに」SAT事業部※6より「不審なメールを見極めよう」、の3事業部からご興味のある内容を選択して参加することができます。Webで開催する日程もございますので、東京本社へお越しいただくことが難しい場合でも参加することができます。
下記マイナビのサイトバナーより、ぜひご応募ください。

※4 事業内容は「インターンシップの内容」ページを参照、TTSは「Tiger Team Service」の頭文字
※5 監査やお客様が抱えるセキュリティのお悩みをヒアリングして、解決に導くサービスをご提供する事業部
※6 トラップメール(GSX標的型メール訓練サービス)Mina Secure(セキュリティ教育のeラーニングサービス)をご提供する事業部、SATは「Security Awareness Training」の頭文字

本記事のシェアはこちらから

お問い合わせはこちら

お問い合わせ

セキュリティに関するどのようなご支援をご希望ですか?
ご質問・ご相談・お見積りなど、お気軽にお問い合わせください。