やる

人生後方歩行

GMOペパボ を退職した 学生エンジニア編

2019年12月12日、アルバイトをしていたGMOペパボへ業務上の最終出社をしました。ポジションとしてはセキュリティ対策室というサービスのセキュリティ強化や水先案内人のような業務を行う部署で学生エンジニアをしていました。

この記事では、振り返りと次のステップのための意気込みを書いていこうと思います。

目次

諸情報

GMOペパボ is ?

詳しくはこちらを見て貰えばわかるとは思うのですが、軽くどんな会社なのかを説明します。

"もっとおもしろくできる"という理念と"インターネットで、可能性をつなげる、ひろげる"というミッションを元に、国内最大級のハンドメイドマーケット「minne」やクリエイターのグッズ販売をサポートする「suzuri」、ホスティングの「lolipop」、ecサービスの「カラーミーショップ」、HP作成支援の「goope」などを展開している会社です。

バイトの概要

  • 期間
    • 1年3ヶ月
  • 職種
    • セキュリティエンジニア
  • 業務内容
    • サービスの脆弱性診断
    • インシデントレスポンスの支援ツールの内製
    • ツール作成
    • 社内のセキュリティ研修向けの教材の作成

ペパボ を知った経緯と入社

当時触っていたフレームワーク「Laravel」の勉強会で当時ペパボ で働いていたhypermktさんの"Passportのパスワードグラントで独自の認証を実装する方法"という発表や2018年のセキュリティキャンプ Bトラックで、当時ペパボ研究所の主席研究員の松本 亮介/まつもとりーさんの講義を聞きペパボ という会社をしりました。

その時は自分自身がバイトに行くとも考えておらず、「すごいエンジニアがいるすごい会社だなー!」程度の感想でした。

azara.hatenablog.com

セキュリティキャンプ後、それまで小規模なベンチャーで開発のインターンをしていたが、もっと自分の技術を磨いていきたい、チーム開発をもっと学びたいと思い学生のエンジニアバイトを募集している会社を探しました。

その時に見つけたのがセキュキャンや勉強会でみていた "GMOペパボ" でした。

その後、エントリーして面接へ。

初めて大きな会社の面接へ、正直面接前から緊張しっぱなしで何もかもがぎこちない状態でした。

面接は、Ruby のCoreメンバーのhsbtさんと会社の技術基盤を担当しているtnmtさんが担当してくれて、普段やっていることや今まで出たコンテストの話、セキュキャンの講義で学んだことについて話して面接は終了。結果は内定をいただき2018年の9月からセキュリティ対策室でアルバイトを始めました。

バイトの内容

Ruby on railsチュートリアル

社内のサービスがrailsでできているものもあるため、一度は触ってみようということでチュートリアルを実際にやってみた感じです。

PHPフレームワークは触ったことがあったので余裕だろと思い挑んだものの、railsのDRYを実践する文化や、テスト駆動の文化に圧倒されながら多くを学ぶことができました。

社内のセキュリティ研修向け教材の作成

社のmrtc0さんの開発したCureVuln問題文と脆弱性のあるページを作成し研修のサポートを行いました。

再現した脆弱性

  • XSS(反射型/蓄積型)
  • CSRF
  • 認証認可の不備
  • アクセス制御
  • セッション固定攻撃
  • docrootの閲覧可能

利用した技術
Docker/Nginx/MySQL/PHP

社内サービスの脆弱性診断(4サービス)

goopeやsuzuri people、カラミーアプリストア、2019年にジョインしたGMOクリエイターズネットワークのウーフーなどをmrtc0さんとペアになり進めて行き、指導のもと網羅的に診断を行いました。

OpenAPI SwaggerをBurpSuiteのrepeaterに展開するextensionの開発

Swaggerで定義されたAPIへの診断をもっと効率的に行うためにBurp SuiteのExtentionを作成しました。

関連ブログ

azara.hatenablog.com

補助用のSlack botを作成

VirusTotalへリンクやHashを投げ簡易的な判定を行うためのSlack botやサーバーのIPアドレスがどこのサービスに属しているか確認するBotを社内のk8sへあげBot牧場をつくっていました.

ポート監視の自動化と通知を行うツールのメンテナンス

nampを用い外部IPからのポート監視とその結果をSlackへ通知するツールのメンテナンスとそのツールの動作するサーバーの細かな管理をしました。

脆弱性情報のトリアージ業務

Slackに毎日JVNやNVDなどから収集してきた情報が流れており、その脆弱性がサービスへ影響するのかを確かめる業務をしていました。 f:id:oukasakura3:20191214173122p:plain

この業務の一環で、PHPimapモジュールの0day(当時)を再現した記事がこちら。

azara.hatenablog.com

その他

社内のサービスや■■■伏字■■■にバグハントをして数件脆弱性を報告をしたり、それが原因で後日変なファイルが生えてしまったり、アラートが上がったり、IPブロックが働いてしまったりと本番環境でミニやらかしてしまった状態になってしまったのは本当に申し訳ないです....

非破壊かと思ったら実は破壊していたり何かができてしまったりと診断って難しいなと思ういい経験でした。

社内の様子と周辺グルメ

残念なことに社内の様子を撮り忘れた....

様子

社内は固定席とフリーアドレスが存在しており、僕が座っていた場所はフリーアドレス(占有ロックをかけていたが)席で、近くにはホスティングの会社らしくUNIXプログラミングや詳解 Linuxカーネルなどの分厚い本やPerlRubyなどの言語に関する本がいっぱい! 社内では活発な意見交換がいろんなところで行われ、自分たちの携わるサービスをより良くしていこうと感じられました! また、お昼には勉強会やゲームをみんなでする風景も多く、みんな仲がいいなと思いました。

またイベントも多く、四半期に一度慰労会のような模様しものがあったり、PTF(Pepabo Tech Friday)という Tech ミーティングが月一で開かれたりと楽しい環境です!

tech.pepabo.com

福利厚生

GMOグループ共通の福利厚生として、Myカップを持っていくことで社内カフェ "Yours" でフリードリンク!しかも毎週金曜日はバーとしてお酒やご飯が飲み食べ放題!(有限個しか用意されていないのでなくなり次第終了)

お昼もフクラスYoursとセルリアンYoursの双方で要予約であるが無料で食べられお財布にやさしい!

f:id:oukasakura3:20191214155758j:plain
フクラスYoursの昼食

GMOペパボ としては、1泊2日の年末社員旅行にバイトでも参加できる! 東京と福岡、鹿児島各オフィスのパートナーが一箇所のホテルに泊まり、交流を深めることが目的です。詳しくはこちら

hr.pepabo.com

周辺ランチ

グルメ情報が長いので興味がある方はどうぞ

グルメ情報 とあるパートナーさんの行きつけのかんからという沖縄料理屋さん
f:id:oukasakura3:20191214163010j:plain
かんから ジューシー定食 冷やし沖縄そば
tabelog.com

優しく包んでくれるようなネパール料理 ネパリコ

f:id:oukasakura3:20191214164003j:plain
ダルバートノンベジ
tabelog.com

排骨担々麺の美味しいRenge no Gotoku

f:id:oukasakura3:20191214163455j:plain
冷やし排骨担々麺
tabelog.com

リーズナブルに回らない寿司が食べられる和泉鮨

f:id:oukasakura3:20191214163639j:plain
tabelog.com

無限にナンが出てくるカンティプール

f:id:oukasakura3:20191214163312j:plain
無限ナン
tabelog.com

美味しい蕎麦とどんもので生きていると感じるためにいくお店 蕎麦由々 金王庵 /

f:id:oukasakura3:20191214164545j:plain
蕎麦セット
tabelog.com

健康的だがクセになるカレー(オフィスから遠いのでいきにくいかった....) tabelog.com

他にも美味しいお店や飲み屋さんがあるのでぜひ渋谷に行った時はいきたいです!

振り返り

今振り返ってみると、入社直後は本当に技術や人間的にも未熟で、何もできていなかったなと感じるほど、この1年と3ヶ月がエンジニアとして、そして学生として成長できるものだったと感じます。

この期間にコーディング面ではクリーンアーキテクチャやDDD、テスト駆動開発という考え方を、環境面ではk8sやDockerをうまく扱えるようになったりandibleなどのツールも使えるようになりました。また、実践でしか経験できないようなことや事業会社のセキュリティ、そしてセキュリティエンジニアはどのようなものなのか、エンジニアとはどうあるべきなのかといった多くのことを間近で学ぶことができ大変勉強になりました。

これから

ひとまず来年の3月までSecHack365があるので、そちらに集中しながら、早期選考をしている会社さんにエントリーする就活生ムーブを決めていこうと考えています。

f:id:oukasakura3:20191213154945j:plain
忍者スリスリくんと自分のパソコン

最後に

ペパボ でエンジニアとして、そしてコード/システム/サービスに対する姿勢や考え方、そして技術を教えてくれたhibomaさんとmrtc0さん、CTOのあんちぽさん、室長のtamonさん、面接をしてくださりそのあとも気にかけていただいていたhsbtさんとつね(tnmt)さま、仲良くしてくださった技術部や多くのパートナーのみなさん、本当にお世話になりました。ありがとうございました!!

P.S endoさん、スマブラ初心者の僕をぼこぼこにしたのはずっと覚えているので覚悟しておいてください!(スマブラ持ってないけどいつの日か!)

P.S 年末の旅行には参加する予定です

学生向けに

百聞は一見にしかず!いまペパボでは ウィンターインターンを募集しているので是非応募して社内の様子を見にいこう!

open.talentio.com

社会人向け

楽しいセキュリティ対策室ではこんな募集があるのでぜひ! www.wantedly.com

www.wantedly.com

後付け

Twitter:

twitter.com

f:id:oukasakura3:20191213154856j:plain
以上!