OCA大阪デザイン&テクノロジー専門学校の学生がGSXでインターンシップを行いました。
~インターンシップの内容~
2022年8月17日(水)~19日(金)にかけて、OCA大阪デザイン&テクノロジー専門学校(以下、OCA)の学生計4名(3名:竹芝本社、1名:リモート)に対してインターンシップを行いました。
(左から、インターンシップ講師担当 Sさん、OCA スーパーゲームIT科 ホワイトハッカー専攻Mさん、Nさん、Kさん)
今回のインターンシップでは「TTS事業部」で脆弱性診断※1の業務を3日間かけて体験していただきました。TTS事業部のTTSとは「Tiger Team Service」の頭文字であり、主に脆弱性診断やペネトレーションテスト※2などを行うタイガーチームサービスをご提供しております。
※1 ネットワークシステムに内在する脆弱性の有無を診断すること
※2 ホワイトハッカーが実際の攻撃者と同じ行為を擬似攻撃として実施し、侵入を含むあらゆる攻撃の可能性をテストする
タイガーチームサービスとは、GSXのホワイトハッカーが対象のネットワークシステムに対してハッカーと同じ手法を用いて擬似攻撃を実施し、システム内の実害につながりうる脆弱性を検出し、対策方法を含めてご報告するサービスのことです。GSXに所属するホワイトハッカーはCEHで学習する知識を保有し、お客様のご相談に対して確かな技術力と倫理観を持ってサービスをご提供させていただいております。
1日目 | ・オリエンテーション |
---|---|
・事前課題(Webアプリケーション作成)の発表とフィードバック | |
・ハンズオンのレクチャー | |
2日目 | ・脆弱性診断業務 |
・業務報告書の作成 | |
3日目 | ・報告会 |
学生の皆さんがオフィスに到着。
ご挨拶とPCのセットアップを行い、早速インターンシップを開始します。
まず初めに、事前課題として各自で作成いただいていたWebアプリケーションのプレゼンテーションを行っていただきました。講師からは「デザインを凝ることよりもまずはプログラムを組み立てることを優先すること」「仕上がりが途中になってしまったものに関してはインターンシップが終了したらぜひ完成させてほしい」などのフィードバックをしました。
お客様のWebアプリケーションの脆弱性診断をするために必要な一連の流れをご説明し、実施していただきました。
今回は模擬環境(やられ環境)ではなく、過去に診断実績のある対象を使用して、インターンシップ期間中にできそうな内容に絞って実践しました。
・脆弱性診断の全体概要説明
脆弱性診断を行う前に、まず「脆弱性診断」にかかわること全体についてのご説明をしました。
お客様への説明事項や、安全への意識、法令順守など、「技術以外」にも必要となる大切にすべき点をお伝えしました。
・見積もり作成
お客様にご提示するお見積もりを作成するために、診断対象のWebアプリケーションを操作して診断対象となるシステム一覧を作成していただきました。
・脆弱性診断の実施
お見積り作成後に、脆弱性診断を実施しました。
インターンシップで利用できる時間の都合上、全項目を診断することは難しかったため、今回は「クロスサイトスクリプティング※3」「SQLインジェクション※4」の2つの項目について診断をしていただきました。
※3 攻撃者がWebサイトの脆弱性のある部分に、悪質なサイトへ誘導する簡易プログラムを仕掛け、サイト訪問者の個人情報などを詐取する攻撃のこと
※4 攻撃者がWebアプリケーションの脆弱性を利用し、「SQL」という言語を悪用してデータベースを不正に操作する攻撃方法のこと
・報告書作成
自身で出力した脆弱性診断の結果についての報告書を作成しました。結果を機械的にまとめるのではなく、読み手(主にお客様)の立場を意識した報告書の取りまとめをするように依頼をしました。
・脆弱性診断結果の報告会(プレゼンテーション)
各自で作成した報告書をもとに、GSXの事業部長や各事業担当者に向けて脆弱性診断の結果について報告会を実施しました。報告書を作成する際と同様に、報告会では「ただ機械的に説明すること」ではなく「相手の立場に合わせたご説明」を意識して実施していただきました。
・インターンシップ全体の振り返り
3日間の活動の振り返りを行い、インターンシップを終了いたしました。
2022年10~12月にかけて1DAY体験型インターンシップを行います。
今回インターンシップで携わったTTS事業部※4より「ハッキングされてみよう」、コンサルティング事業部※5より「エモ写をSNSに投稿しただけなのに」、SAT事業部※6より「不審なメールを見極めよう」、の3事業部からご興味のある内容を選択して参加することができます。Webで開催する日程もございますので、東京本社へお越しいただくことが難しい場合でも参加することができます。
下記マイナビのサイトバナーより、ぜひご応募ください。
※4 事業内容は「インターンシップの内容」ページを参照、TTSは「Tiger Team Service」の頭文字
※5 監査やお客様が抱えるセキュリティのお悩みをヒアリングして、解決に導くサービスをご提供する事業部
※6 トラップメール(GSX標的型メール訓練サービス)やMina Secure(セキュリティ教育のeラーニングサービス)をご提供する事業部、SATは「Security Awareness Training」の頭文字
GSX新卒採用ページ
はこちら
本記事のシェアはこちらから