あっという間に秋になりましたね。エンジニアの小川(mitsuruog)です。
9/3にWebアプリケーションセキュリティというテーマで社内勉強会を開きましたので、その話を紹介します。
（特にディスカッションが面白かったのでその話を中心にします。）

Webアプリケーションセキュリティについては、新人時代などに一度は学習する方は多いと思いますが、それ以降は実践の中で学習していく人の割合が多いのではないかと思います。
とはいえ最近は「できてて当たり前」となっているWebアプリケーションのセキュリティ。

今回は普段やっていることの復習も兼ねて、社内で勉強会を開いてみました。

実施内容

内容は次の通りです。

• Webアプリケーションセキュリティの概要とよくある脆弱性について
• Force.comのセキュリティについて
• Webアプリケーションセキュリティについてのディスカッション

特徴は、弊社の強みであるSalesforce.com上でのセキュリティ対策についてと、設計についてのディスカッションです。

Salesforce.com上でのセキュリティ対策については模様はこちらを参照してください。
　→　セールスフォースの豆知識: セキュリティに気をつけてForce.comで開発しよう！

ディスカション資料はこちらです。

ディスカッションは、4人ずつ班に別れ架空のSNSサービスの設計に潜む脆弱性を探します。
ねらいは、異なる視点の意見を聞きながら、脆弱性につながりかねない設計上のポイントについて、新たな気づきを得ることです。

単に脆弱性がありそうというだけではなく、

• どんな攻撃ができるか
• どんなまずいことが起きる
• どう防御すれば良いか

についてまで踏み込んで指摘できることが大事です！

これらのことを念頭にディスカッションしてもらいました。

実施風景

(真剣なディスカッション)

(脆弱性がある箇所に付箋を貼っていきます)

(ディスカッションにタイムキーパーは必須です)

ディスカッション終了後は、全員で発見した脆弱性の報告会。
その後、ビールを片手にさらなるディスカッションが展開されました。

まとめ

脆弱性を見つけてくれるか少し心配したのですが、ほとんど見つけられてしまいました。
さすがです！！
（とはいえ、少し簡単すぎたかな。。。）

実際にディスカッションをやってみて、次の学びがあったと思います。

• やっぱり集合知はすごい
  • 複数人でチェックすることで、全ての班でほとんどもれなく抽出できた。
  • ベテランと若手で班になると、教育効果としても良さそう。
• 短時間で共通認識を得ることができた
  • 発見した脆弱性を全員で共有することで、設計の危ないポイントについて全員で共通認識を得ることができた。
• 設計を題材とすることで、エンジニア以外も参加できた
  • 実装より設計の方が対策コストが低い、もちろん要件の方がもっと低い。
  • 次回は要件編をやっても面白そう。

(各班同じような箇所を指摘しています)

このような「できて当たり前」の共通認識の浸透は、ついついおそろかになってしまいがちですですね。
地道に続けていく事で少しずつ強いエンジニア組織になっていくのではないかと思ました。

少し長くなりましたので、発見した脆弱性のレポートについては次回にします。

解答編はこちらです。
フレクトのクラウドblog(New): Webアプリケーションセキュリティについての社内勉強会を開いてみた(解答編)

ではではー。