NFLabs. エンジニアブログ

セキュリティやソフトウェア開発に関する情報を発信する技術者向けのブログです。

【2023年夏】現場受け入れ型インターンシップを実施しました ‐ 2!

こんにちは!
教育ソリューション担当の鈴木です。

教育ソリューション担当では9/4~9/15の2週間で「現場受け入れ型インターンシップ」を実施していました。
ひとつ前のこちらの記事は、研究開発部で実施したインターンシップについての記事となっています。
blog.nflabs.jp

今回のインターンシップで実施していただいた内容は、セキュリティ教育用プラットフォームで使用する学習コンテンツの開発です。
参加していただいた原田さんの参加経緯や業務を体験した感想をご紹介します!

原田さんの体験記

はじめに

こんにちは。インターン生の原田啓佑です。今回9/4~9/15の期間でエヌ・エフ・ラボラトリーズの「現場受け入れ型インターンシップ」に参加させていただきました。インターンシップの体験記として、取り組んだ内容や感想を紹介いたします。

参加の経緯

私は大学でCyber Threat Intelligenceに関する研究に取り組んでいます。その活動に取り組む中で、エヌ・エフ・ラボラトリーズという会社を知りインターンシップに申し込みを行いました。

参加目的

私はこの機会を活かしセキュリティ人材として成長することを目標にインターンシップに参加しました。特にエヌ・エフ・ラボラトリーズにおいては以下を達成できると考え自身の目的として定めました。

  • 高度な技術を提供する会社の中で業務体験をすることで自分を成長させる
  • 高度なセキュリティ技術を持つ方の普段の取り組みや考え方などを少しでも吸収することで今後も継続的に成長するためのヒントを得る
取り組みの内容

私が担当させていただいた取り組みは学習コンテンツの一部分の作成です。

エヌ・エフ・ラボラトリーズではセキュリティ人材として活躍するための研修を提供しています。その研修の中でセキュリティ教育用プラットフォームを提供しています。このプラットフォームではいくつかのコンテンツが用意されており、シナリオに沿ってフラグ取得を目指すことでペネトレーションテストの学習ができるコンテンツなどが存在します。今回はそのコンテンツ作成の一部分を担当させていただきました。

作成に当たって、大きく以下の3つの作業に取り組みました。

①シナリオで用いるLog4Shellと呼ばれる脆弱性の調査
②調査した脆弱性を含んだウェブアプリケーションの作成
③Ansibleを用いたアプリケーションのデプロイ

①シナリオで用いるLog4Shellと呼ばれる脆弱性の調査

まず脆弱性の仕組みの概要と攻撃の際の動きについての調査を実施しました。Log4Shellの脆弱性についての概要と、Log4Shellを利用した攻撃がどのように行われるかについて調査を行いました。また、将来研修を受ける方に向けて脆弱性と攻撃の動きについての解説資料の作成を行いました。

この業務を通じて脆弱性そのものに対する知識を得られただけでなく、社員の方の調査・検索の方法やその際考慮すべきポイントについてアドバイス頂くなど今後に活かせる知見を学ばせていただけたと感じています。

②調査した脆弱性を含んだウェブアプリケーションの作成

次に調査した内容を踏まえ、脆弱性のあるLog4jのバージョンが含まれているアプリケーションをjavaのフレームワークであるSpring Bootを用いて作成しました。そして、作成したアプリケーションに対し攻撃の流れを試すことにより、リモートで任意のコマンドが実行可能になることを確認しました。アプリケーションに対し攻撃の流れを試してみると想定したように動作しませんでした。そのため調査と試行錯誤に多くの時間を使うなど、今回の2週間で最も苦労した作業であったと思います。
この作業を通じて、文書や図を見るだけではわからないことが存在するため、実際に手を動かし自分で試してみることが重要であるということを教えていただけたと感じています。

③Ansibleを用いたアプリケーションのデプロイ

最後に作成したアプリケーションをもとにAnsible Playbookの作成を行い、AWS上にアプリケーションをデプロイすることを行いました。
予想以上にアプリケーションの作成に時間がかかったため短い時間となりましたが、社員の方のサポートのおかげでデプロイまで完了できました。私はインターン参加前からAnsibleに関して興味はありましたが、実際に触るまでの一歩を踏み出せずにいるという状態でした。今回のインターンシップでその機会をいただけて非常に感謝しています。

インターンシップを振り返って

今回のインターンシップは私にとって非常に有意義なものとなりました。実施した取り組みに関連する知識だけでなく、今後の研究生活や社会人生活で活用できるようなアドバイスを数多くいただけたと思います。私が参加前に持った目標・目的を達成できるような10日間になったと感じています。

一方で、自分の実力や取り組みの不足を強く実感しました。セキュリティに関する知識・技術だけではなく、人への伝え方など社会人としての能力も今後磨いてゆく必要があると実感しました。また、社員の方々は新たな技術を学ぶことを楽しんでおられるように感じました。そのような姿勢も身につけられるようになりたいと思います。

今回のような体験ができたことはひとえにエヌ・エフ・ラボラトリーズの皆様のおかげです。 10日間という短い期間でしたがお世話になりました。本当にありがとうございました。