社内勉強会、公開しました!~RECRUIT Technologies NIGHT Vol.3開催レポート!
@mookjp
ITソリューション統括部 インフラソリューション2部 インフラソリューショングループのmookjpです。
リクルートテクノロジーズでは、弊社の社員がプレゼンター・パネラーとなるイベント「RECRUIT Technologies NIGHT」を定期的に開催しています。
2/3(金)に、その第3弾として「【RECRUIT Technologies NIGHT vol.3】Jxckとにしむねあが語る Webのセキュリティ技術」を開催しましたので、イベントレポートをお届けします!
今回は弊社のセキュリティエンジニア西村と、社外からのゲストスピーカーJxckさんをお迎えして、Webのセキュリティ技術をテーマに設定しました。
「Webとセキュリティ」というテーマはやはり注目度が高かったようで、当日の参加者は120人を超える大盛況となりました。
前半は、社外からのゲストスピーカーであるJxckさんより「CSP による防御とリアルワールドレポート収集」というテーマで40分のトークをしていただきました。
CSP による防御とリアルワールドレポート収集/csp-and-real-world-reporting // Speaker Deck
CSPとは、「Content-Security-Policy」ヘッダをレスポンスに含めることで、コンテンツ取得の許可リスト(ポリシー)を定義することができる機能です。
MDNでは、CSPを使い、あらかじめサイトの管理者が実行を許可するスクリプトの提供元を定義しておくことによって、XSSが発生する箇所を”削減・根絶することができます”…と紹介しています。
CSPには、ポリシー定義に加えて、report-uri(またはreport-to)というディレクティブを書いておくことにより、ポリシーに違反した内容を指定したURLに送信してくれるという機能もあります。
Jxckさんは実際に自身のWebサイトがCSPヘッダを返せるように変更し、report-uriでどのような内容が送信されてくるのかを約1年間検証されたとのこと。
その際に見えてきた、CSP実運用の課題点などを様々なポイントから解説していただきました。
休憩をはさんで後半は、弊社のセキュリティエンジニア西村より「脆弱性発見者が注目する近年のWeb技術」としてトークセッションを行いました。
脆弱性発見者が注目する近年のWeb技術 // Speaker Deck
セキュリティエンジニアとして注目している最新のWeb技術とその脆弱性について取り上げた濃い内容でしたが、なかでも盛り上がったのはFlyWebの脆弱性を体感できる「参加型」コンテンツでした。
FlyWebとは、Mozillaが実施しているWebと物理デバイスを連携させる機能のプロジェクトです。
まだ実験段階であるため、Firefox Nightlyのコンフィグで機能を有効にしないと使えません。
FlyWebはBonjourプロトコルにも対応していることから、オフィス内のネットワーク機器のふりをしてFlyWebサーバを起動し、誤って接続してきてしまったユーザを攻撃できてしまうのでは?と気づいたとのこと。
会場では実際に攻撃者としてFlyWebサーバを起動し、そこからユーザにドライバファイルに見せかけた悪意のある実行ファイル(ただしデモなので計算機が起動するだけ)をダウンロードさせるというデモを行いました。
脆弱性のデモのはずが、弊社西村のデモサーバに対して数分程度で逆攻撃に成功する猛者が現れるなど、参加者の技術レベルの高さも伺えるセッションとなりました…!
トークセッションの後の親睦会中では、弊社のエンジニアよりカジュアルLTを3本させていただきました。
内容は
・LT(自由)
※執筆者注: 内容はニューラルネットワーク(リアル脳のほう)についてでした
・early-hints
・本当は怖いデータ復元
と、かなりテーマが分かれたLTとなりましたが、弊社のエンジニアのバラエティ豊かさが参加者のみなさんにも伝わったのでは…!とポジティブな感触を得ています。
弊社は「何をやっている会社かわからない」と言われてしまうことがたびたびあるのですが、今後もこのようなイベントを通して現場のエンジニアがどんなことに取り組んでいるのか、社外の方にもどんどん伝えていきたいです。