レアゾン・ホールディングス 2024新卒エンジニア セキュリティ研修・クラウド研修 -フィッシングサイトに飛ばされて-

導入・挨拶

2024年新卒、menu事業部マイクロサービス基盤チームの立木です。
大学院で5年間マウスの脳を研究していました。卒業後エンジニアを志し、新卒就活を経て株式会社レアゾン・ホールディングスに入社。現在はmenuアプリのマイクロサービス基盤のインフラや運用改善、およびGoによるアプリ開発に携わっています。

研修の概要

研修の概要はオウンドメディアの記事で詳しく紹介していますので、こちらからご覧ください。

セキュリティ研修

テーマの概要（セキュリティ研修）

セキュリティ研修では、講義形式で、セキュリティがなぜ必要か・ないと会社にどのような損害があるか・基本的なセキュリティの考え方や用語などを教わりました。

テーマの詳細（セキュリティ研修）

講義は主に研修の運営責任者である窪田さんにより、日英スライド・日本語スピーチで行われました。
以下のような流れで講義は進んで行きました。

• セキュリティの必要性
• 情報セキュリティの三大要素（可用性・完全性・機密性）
• クライアントサイドのセキュリティ
• サーバーサイドのセキュリティ
• インフラのセキュリティ
• ゲームのセキュリティ
• 認証・認可の考え方

まず窪田さんから研修資料のURLが共有され、僕たちは疑うことなくそのURLを開いてしまったのですが、そのURLの先は...

僕たち研修生は配布されたURLの怪しさに気づくことなくフィッシングサイトのリンクを開いてしまい、のっけからセキュリティリテラシーの大切さを叩き込まれたのです...

Owasp Juice Shopを使用した実践形式のセッションもありました。これは脆弱性を発見するゲーム形式のアプリケーションで、社内サーバーでホスティングされ、全員で同時に取り組みました。（以下サイトで配布されていますhttps://owasp.org/www-project-juice-shop/ ）。講義中もポコポコと誰かが発見した脆弱性報告が流れてきて楽しかったです。

技術的なお話（セキュリティ研修）

認証と認可について、かなり間違えやすいなと思いました。

1. 認証(Authentication)：ユーザーが本人かどうかを確認する
2. 認可(Authorization)：認証後、ユーザーにリソースへアクセスする権利を付与・確認する

セキュリティは知識ゲーという窪田さんのお言葉が印象に残りました。

クラウド

テーマの概要（クラウド研修）

クラウド研修では、主にハンズオン形式で、フロントエンドアプリとバックエンドアプリをそれぞれGoogle Cloud Runにデプロイし、協調させるというものでした。

テーマの詳細（クラウド研修）

研修は全体的に弊社エンジニアのKurtisさんを中心に、主に英語で行われました。

初めは英語で行われる研修に戸惑いましたが、三分の一近くがバイリンガルである新卒エンジニアとグローバル化を推進する弊社の組み合わせならではと納得しました。
私自身は海外留学経験もないですが、しばらく聴いていると英語に耳が慣れてきました。またお二人とも日本語が上手なので、本当に困ったときは日本語で質問できて助かりました...
講習パートは、チームごとに「クラウドコンピューティング」についてネットで調査し、発表しました。

ハンズオンパートは下のような流れで進んで行きました。

• 講師陣の用意したフロントエンド（Next.js）とバックエンド（Ubicorn）のアプリをそれぞれDockerイメージにビルドする
• Artifact Registryにイメージをアップロードする
• それぞれのアプリをCloud Runでデプロイし、DNS設定を追加する。
  

技術的なお話（クラウド研修）

• Dockerファイルやdocker-composeを書いてイメージを作った経験が皆あまりなく、皆戸惑っている様子でした...
• またnpmのパッケージがとんでもなく容量を食うため、デプロイの至る所で重く、かなりデプロイに時間がかかりました。マルチステージビルドなどを使って、node_modulesを抜いた軽量なイメージをデプロイすべきだったなと思います。
• GCPを使ったdeployはほぼ全員が未経験だったので大変でしたが、講師の方々がせっせと回って解決してくださるおかげでなんとか食らいつくことができました。

まとめ

セキュリティの基本概念を新卒エンジニア研修で学べたことは非常によかったです。現代の開発では、多くのセキュリティ対策がフレームワークに組み込まれていますが、基礎的な考え方は開発プロセス全体を通じて重要だと思っています。実務でセキュリティを試行錯誤しながら学ぶのは困難なため、キャリアの初期段階でこうした知識を得られたのは大変良かったと感じます！

Docker とクラウド技術に関する研修経験も、実務において非常に有用でした。 特に、ローカル環境でのみ動いていた成果物を、より広範囲にアクセス可能な形で公開する過程を学べたことは貴重な経験だと思います。実際には社内IP からのみアクセス可能な設定でしたが、一応世界に成果物を公開するプロセスは、実務でのデプロイを理解する上で大変参考になりました！

研修も業務も勉強することばかりで楽しいです。学ぶことに興味ある方は是非弊社に！

▼採用情報

レアゾン・ホールディングスは、「世界一の企業へ」というビジョンを掲げ、「新しい"当たり前"を作り続ける」というミッションを推進しています。

現在、エンジニア採用を積極的に行っておりますので、ご興味をお持ちいただけましたら、ぜひ下記リンクからご応募ください。