ID:62325さん
3年後の目標や野望
「攻撃者視点を持つ開発エンジニア」としてのポジションを確立したい
自分の強みでもある「攻撃者視点」でのオフェンシブセキュリティスキルを活かして開発エンジニアとして活躍していきたいと考えています。
脆弱性診断士やバグハンターとしての活動を通し、開発者のポジションでセキュリティを意識していれば潰せていたであろう脆弱性を数多く見てきました。また、もともとアプリケーション開発によって世の中をいい方向に変えるようなコミットをしたいという欲望もありました。
これらの想い・経験から自分が開発者側に回り、攻撃者の視点から「セキュアバイデザイン」、「DevSecOps」、「シフトレフト」のようなポリシーを実践することで世の中から脆弱性を一つでも無くすことに尽力したいと考えるようになりました。
最近になってセキュリティ分野に特化した開発エンジニアのことを「セキュリティチャンピオン」と呼ぶことを知りました。現在もセキュリティチャンピオンのようなポジションでアプリケーション開発に携わっていますが、3年後には業界に影響を及ぼすようなポジションを確立していたいと思います。
プロジェクト経験
このプロジェクト詳細は公開されていません
このプロジェクト詳細は公開されていません
このプロジェクト詳細は公開されていません
プロダクトのセキュリティコンサル
1. 概要
副業先で開発していたプロダクトに対してコードレビュー、および動作検証での脆弱性診断を実施した。発見した脆弱性はissueとして修正方法と共に報告した。また、開発段階で脆弱性に気づけるようにSnykによる静的解析を提案した。
2. 具体的な内容
2.1. 脆弱性診断
副業としてジョインしていたプロジェクトでの依頼であったため、プロダクトのコードを読むことができた。プロダクトに深く関わっていたことで以下の点で質の良い報告を作成できた。
- 軽微な問題の組み合わせによる、より影響度の高い攻撃の発見
- プロダクトの特性を踏まえた非現実的な脆弱性報告のフィルタリング
2.2. issue立てと修正方法の提案
通常であればPDF形式で脆弱性の報告書を作成して提出するが、管理されているリポジトリにアクセスできたため直接issueを立てた。脆弱性に馴染みの無いエンジニアであっても脅威度を理解できるようにデモ用のPoCもissueに添付した。また、コードから修正すべき箇所を特定し、修正案も含めて報告した。
2.3. 静的解析ツールによるシフトレフトの提案
該当プロジェクトではテストが充実していたが、セキュリティテストは不足していた。開発エンジニアが開発中にセキュリティ上の問題に気づける方法として、Snykによる静的解析ツールの脆弱性スキャンを調査、導入した。これにより潜在的なコードの問題を修正することに成功した。
このプロジェクト詳細は公開されていません
このプロジェクト詳細は公開されていません
このプロジェクト詳細は公開されていません
このプロジェクト詳細は公開されていません
このプロジェクト詳細は公開されていません
マネージメント能力
アピール項目
アウトプット
今後、身につけなければいけないと思っている技術は何ですか?
- クラウド全般
- システム設計
- より高度なテスト自動化
あなたが一番パフォーマンスを出せるのはどんな環境ですか?
- 最新の技術にキャッチアップし、それを共有できる余裕のある環境
- 互いに認め合える同僚のいる環境
- ガチガチに管理されない環境
キャラクター
やりたい事
基本プロフィール
