FFRIエンジニアブログ

株式会社FFRIセキュリティのエンジニアが執筆する技術者向けブログです

トップ > トレーニング > 2022 年度新人研修 ~全体の振り返り~

2022 年度新人研修 ~全体の振り返り~

トレーニング トレーニング-新人研修

はじめに

こんにちは。 2022 年度新卒入社の髙松です。

この記事では 2022 年度の新人研修を振り返り、幾つかの研修をピックアップして紹介していきます。

FFRIセキュリティでは入社後 4 ヶ月かけて新人研修を実施し、その後 OJT 期間に移行します。

入社式と PC の支給がある 4 月 1 日だけ出社しましたが、その後の研修は、新型コロナウイルス感染症対策のため、すべてリモートで行われました。

対象読者としては、「FFRIセキュリティに興味があり、入社後にどういったサポートやトレーニングが受けられるのか、その詳細を知りたい」という現在就職活動中の方を想定しています。

募集要項の要件「必須条件」に「※セキュリティに関しての事前知識は必要ありません。」と書いてはあるものの、実際のところセキュリティの事前知識なしで大丈夫なのかと不安に思う方もいらっしゃると思います。私もそうした一人でした。実際、私は大学で応用数学を専攻していました。IT に関する知識は C++ を多少書いたことがある程度と乏しく、セキュリティに関しては完全な素人でした。入社前はとても不安だったことを覚えています。この記事では、そのような私の経験談をご紹介しますので、皆様の勇気づけになれば幸いです。

また、昨年度までの新人研修の記事もあるので、こちらもぜひ読んでみてください。

2022年度の新人研修の内容

4 ヶ月に亘って以下の研修が実施されました。

4 月

  • 管理系研修: 3 日間
  • 技術系部署の全体像と役割: 0.3 日間
  • 企業インフラ研修: 1 日間
  • 開発チュートリアル・プログラミング研修: 8 日間
  • ExpertSeminar: 5 日間

5 月

  • エクスプロイト開発研修: 10 日間
  • Windows 解析研修: 5 日間
  • IoT ペンテスト: 5 日間

6 月

  • 製品開発研修: 14 日間
  • 脅威動向と感染事例: 1 日間
  • 検知ロジック開発研修: 5 日間

7 月

  • 品質保証研修: 5 日間
  • ActiveDirectory 研修: 2 日間
  • サポート研修: 2 日間
  • IncidentResponse: 2 日間
  • 過検出判定研修: 3 日間
  • ネットワーク基礎: 2 日間
  • Web ペンテスト技術: 1 日間
  • クラウドサーバー研修: 1 日間

8 月

  • 機械学習研修: 5 日間
  • 文書作成スキル: 0.5 日間
  • ダンプ解析研修: 1.5 日間

上記の研修で今年度から新たに加わった研修を中心に 6 つピックアップし、紹介していきます。

エクスプロイト開発研修

様々なエクスプロイト手法に対して、講義、演習、解説という流れで研修は進んでいきました。

演習では主にスタックバッファオーバーフローや任意アドレス読み書きの脆弱性をもつ様々な Windows アプリケーションのサンプルプログラムが用意されていました。x86 と x64 用の2つのアプリケーションがそれぞれ用意されているため、呼出規約の違いを理解することが出来ました。

最初は Windows の防御機構を OFF にした状態でシェルコードを作成しエクスプロイトを行いました。その状態から徐々にデータ実行防止(DEP)、Address Space Layout Randomization(ASLR)、Stack Canary といった防御機構を ON にした状態でエクスプロイトをすることで防御機構のバイパス手法を学びました。さらに研修の最後には総合演習として、脆弱性が多く仕込まれたサンプルプログラムの解析とエクスプロイトを行いました。

演習全体を通して WinDbg Preview を使ってサンプルプログラムの脆弱性を見つけ出しました。WinDbg は使いこなすことが難しいツールですがこの研修のおかげで慣れることができました。また、脆弱性の根拠を逆アセンブリコードから特定することが求められるため、アセンブリのリーディング技術も鍛えることができました。

新人研修の中で最も難しいと感じた研修でしたが、パズルのような面白さがあり最も面白いと感じた研修でもありました。特に Return-Oriented Programming(ROP) という DEP のバイパス手法は、ROP ガジェットと呼ばれるコード片を組み立てていくのでその面白さを強く感じ、研修中で一番印象に残っているほど心惹かれる技術でした。研修期間中には理解が足りていない部分も多くありましたが、研修期間後も繰り返し復習をして身につけたいと思えるそんな濃密な研修でした。

製品開発研修

2 人か 3 人の新人チームに分かれて FFRI AMC ( FFRI yarai を管理する Web アプリケーションコンソール ) の運用補助ツールを開発しました。 日程としては仕様書の書き方ガイドラインに関する講義を受けた後、仕様書の作成を約 1 週間、C++でのプログラムの実装を約 2 週間行い、最後に各チームの成果物を発表しました。

私のチームは 2 人チームでした。私はこれまでチームでの開発経験がなかったため、最初は付いていけるか心配でした。しかし、パートナーと slack 上でいつでも通話できる状態にしてコミュニケーションを取ったおかげで、優秀なパートナーに助けられながらも楽しく開発することが出来ました。本当に楽しかったです。

ユーザーが使いやすいように意識して作っていましたが、発表時にもそのことが褒められて嬉しかったです。 開発の進め方やプログラミングの実装方法などは比較的自由である研修のため、チームごとの特色が出ていて面白いと感じました。

ActiveDirectory研修

まずはじめに講義を受けた後、ハンズオンを 2 日間にかけて行いました。 Windows Server の VM に Active Directory をインストールし、クライアント VM 2 台の環境でハンズオンを実施しました。

ハンズオンでは Powershell で書いたスクリプトをログオフ時やスタートアップ時に起動するように GPO (グループポリシーオブジェクト) を作成して適用しました。他にも FFRI yarai をインストールするスクリプトの作成などを行いました。

私は Active Directory について名前すら聞いたことがなかったため、最初の講義の段階では付いていけませんでした。しかし、ハンズオンは手順が細かく示されていたので安心して取り組むことができ、手を動かしているうちに徐々に理解することが出来ました。細かい設定ミスが原因でハンズオンの課題が終わらなかったのですが、研修後にヒントを出してもらい、翌日の朝に無事に解決することが出来ました。

ネットワーク基礎

基本的なプロトコルの仕組みについて Wireshark でキャプチャされたパケットを確認しながら学習しました。 また、セキュリティプロトコルや Python によるソケットプログラミングの講義があり、最後にレポート課題がありました。

ネットワークについて勉強したことがあれば復習になる内容だったと思います。

私はネットワークについてあまり勉強したことがなかったので丁度良い機会となりました。

Webペンテスト技術

Web アプリケーションの脆弱性診断の各項目に対して、講義を受けた後演習する形で学びました。具体的には以下に示す 6 つの脆弱性診断項目について学びました。

  • クロスサイト・スクリプティング(XSS)
  • SQL インジェクション
  • クロスサイト・リクエスト・フォージェリ(CSRF)
  • OS コマンドインジェクション
  • パストラバーサル
  • 認可制御の不備

脆弱性のあるサーバー VM を診断用クライアント VM からアクセスするという形式で演習しました。私は Web アプリケーションの脆弱性について全く知識の無い状態で研修を受けましたが、1 日の短い研修でも Web ペンテストの入門として体系的に学ぶことが出来ました。 演習が知識の習得に効果的だったと思います。

文書作成スキル

報告書作成の勘所を内容編と体裁・日本語編の 2 編に分けて講義を受けた後、それぞれ実習をする形で学びました。

内容編は、用意された Microsoft Word のテンプレートを使用して、調査したツールに関する報告書を作成する実習でした。 実際に作ろうとすると文章を思いつかないことがもどかしくて、報告書の勘所である「過不足なく作成すること」の難しさを実感できました。また、他の研修では Markdown もしくは Microsoft PowerPoint でレポートを作成することが多かったため Microsoft Word の使い方に少し苦戦しました。

体裁・日本語編の実習も内容編と同様に報告書を作成する実習でした。「英語で書かれたニュース記事を日本語でまとめて報告書を作成する」という実際の業務に近い実習でした。時間の都合上この実習は行いませんでしたが、講師の方が実際に作成する過程を画面共有で示しながら作成時のコツを説明しました。経験豊富な方の報告書を作成する様子は今までほとんど見たことがなかったため、新鮮でもありとても参考になりました。

0.5 日間という短い研修でしたが今後の業務で活用できる学びが多い研修だと思いました。

しかし私は元々文章作成が得意ではないこともあり、ビジネス文章の作成に課題が残っています。研修だけでは改善できなかったため、 OJT では社会人として適切な文章表現ができるように取り組みたいです。

おわりに

ピックアップした研修の紹介については以上になります。

研修全体の感想として以下の 3 つのことを感じました。

  • 「セキュリティに関する事前知識」がなくても研修資料が充実しているので、「セキュリティ技術」はその場で勉強しながらでも十分理解できるように研修が組まれていると感じました。一方、ネットワーク、OS、プログラミング技術などのコンピュータサイエンスの基礎が定着していないと、その応用である「セキュリティ技術」を身につけることは難しいとも強く感じました。まだ私はネットワークや OS に関する理解が不十分であるという課題が残っているため、OJT 期間も継続して勉強に取り組みたいです。

  • どの研修でも講師の先輩に質問しやすい雰囲気ができていると感じました。そのため、躓いたところもたくさんありましたが、なんとかこなしていけたかなと思います。

  • 研修では講義だけではなく与えられた課題を自力で解決していく演習形式の物が多いため、実際の業務で必要となる課題解決能力も育まれたと思います。

本記事がFFRIセキュリティの新人研修制度に興味や不安がある方の参考になれば幸いです。

FFRIセキュリティの新人研修について

FFRIセキュリティでは、毎年 4 月から 4 ヶ月間、新入社員を対象に研修しており、セキュリティに関して事前知識がなくても、研修中に一通りの知識を学べるようになっています。

採用に関しては、採用情報を参照ください。 新卒・キャリア採用、双方の情報を掲載しています。