サマーインターンを経て長期インターンに参加した学生メンバーの視点で、Flatt Securityの業務やカルチャーを紹介します!
はじめまして!2023年12月から長期インターンとして働いている、セキュリティエンジニアの shio (@shiosa1t) です。本記事では、約5ヶ月間Flattmate*1として過ごした感想とインターンの内容について書きます。Flatt Securityのインターンに興味がある方の参考になれば幸いです!
自己紹介と経緯
早稲田大学基幹理工学部情報通信学科の学部2年で、コンピュータサイエンスについて学んでいます。高校生の頃からSecHack365やセキュリティ・キャンプといった人材育成プログラムに参加していました。イベントの参加者にCTFを勧められ、Webの問題をやっているうちに脆弱性診断業務に興味を持ち始めました。
長期インターンとして働き始めた経緯としては、Flatt Security 2023 サマーインターンへの参加がきっかけです。サマーインターンは、5日間オフィスでWebアプリケーションのセキュリティについてしっかり学ぶことができる上に、報酬もしっかり出ます。さらに、交通費や宿泊費*2も負担してくれるので、東京の近くに住んでいなくても大丈夫です。また、ランチが美味しかったです。
<2024年度サマーインターンの応募はこちら>
インターンシップの内容
仕事内容
主にWebアプリケーションの脆弱性診断を行っています。最初の2ヶ月間はトレーニングを行いました。主に社内学習ツールのFlatt Security Trainingや弊社が提供しているセキュアコーディング学習プラットフォームのKENROを用いました。また、社内で内製されたオンラインショップを題材としたWebアプリケーションへの脆弱性診断も行いました。現在は、実際の案件にアサインされています。
働き方
メンターとのコミュニケーションを活発にさせるため、インターン生は原則オフィスワークとなっています。しかしながら、体調や都合などをメンターに相談することによって、リモートワークに変更することが可能です。個人的には、一緒にランチが食べたいので、できるだけオフィスに行くようにしています。また、試験など学業の状況次第で勤務時間の調整を柔軟に行うことも可能です。
学んだこと
先述の通り、私はCTFからセキュリティを学んでいて、いかに攻撃を成立させるかを重点的に考えていました。そのため、発生原理をきちんと理解しておらず、基礎がしっかりしていなかったように思えます。例えば、以前はSQLインジェクションではWAFを回避しつつ、どのようなSQL文を送れば不正に文字列を得られるのかだけを考えていました。しかし、トレーニングを受けて、なぜ発生しているかはもちろん、修正方法についてもしっかりと学ぶことができました。
このように、Webセキュリティについて基本的な要素を網羅的に学習できました。実践形式でのトレーニングもあったため、診断業務についても理解を深めることができました。また、実際の脆弱性診断では、案件に使われている技術が多種多様です。あまり触れたことがない技術もあり、それらの知識が得られてとても勉強になりました。
苦労したこと
上述した通り、案件によって使われている技術は異なるため、それらをキャッチアップするのは少し大変です。また、Flatt Securityではソースコード診断を無料付帯*3しているため、ホワイトボックス診断を行うことがしばしばあります。私は様々な言語でソフトウェア開発をしてきたわけではないので、特定の言語では特有の文法に慣れず、コードリーディングに時間が掛かってしまうこともありました。
しかしながら、分からないときは質問してすぐに解決することができます。社内には優秀なエンジニアが多くいるため、何を聞いてもしっかりと返ってきて、とても心強いです!
これからやりたいこと
まずは、Webアプリケーション診断の技術力を向上させていきたいです。ある程度できてきたら、スマートフォンアプリ診断やペネトレーションテストも学びたいと思っています。また、OSCPなどの資格も取得したいと考えています。
Flatt Securityのカルチャー
交流
午前中にオフィスに出社しているときは、必ず一緒にランチを食べています。オフィス周辺は美味しいご飯屋さんばかりで、いつも幸せな気持ちになっています。また、社内イベントにも積極的に参加しています。入社してから2週間のときには忘年会に参加し、特に忘れたいこともなかったのですが、クイズ大会などが用意されていてとても楽しかったです!
勉強会
隔週くらいの頻度で社内勉強会が開催されています。各自が興味のある内容や研究している内容を題材として開催しています。毎回多くの議論が発生しており、とても学びのあるものになっています。私はこちらにも積極的に参加していて、最近ではContent-Type勉強会が面白かったです。こちらについては、弊社セキュリティエンジニアの azara (@a_zara_n) さんと ei (@ei_01241) さんがBsides Tokyo 2024で発表していて、スライドも公開されているのでぜひご覧ください。私も、いつかこのような社内勉強会を開催したいと思っています。
趣味チャンネル
Flatt Securityには「部活」という概念はありませんが、様々な趣味チャンネルがSlackに存在します。私はFPSゲームが好きなので、#zz_fpsというチャンネルに参加しています。特にVALORANTというゲームをやり込んでいて、社内にも好きな人がいるため、そのメンバーで大会の観戦を行いました。他にも、#zz_ramen_jiroチャンネルなど色々なところに参加しています。
おわりに
Flatt Securityでのインターンを通じて、圧倒的な成長をすることができました。本記事がFlatt Securityのインターンやカルチャーについて知る一助となれば幸いです。繰り返しにはなりますが、今夏に開催予定のサマーインターンはおすすめなので、ぜひご応募ください!
<2024年度サマーインターンの応募はこちら>
*1 “Flattmates”は、Flatt Securityメンバーを指す愛称です。「同居人」を意味する“flatmate”が語源です。
*2 東京近郊に在住の場合は宿泊費は支給されません。