2024年に月1回以上勉強会を開いてみて

こんにちは、GMO Flatt Securityの森(@ei01241)です。普段はセキュリティエンジニアとしてWebとスマホの手動脆弱性診断に携わっています。社内の有志で将棋の研鑽も積んでおり、社内懇親会の途中で対局が始まることもしばしばです。

さて、弊社では社内文化として、Webやクラウドを中心とした勉強会が開催されています。2024年には合計23回の勉強会が開催されました。

その中で、これは2024年に私が社内で開いた勉強会の一覧です。

1. HTTP Request Smuggling(基礎編)

2. HTTP Request Smuggling(応用編)

3. HTTP Request Smuggling(発展編)

4. 社内で発見された脆弱性を語る会 1

5. CDN

6. OAuth/OIDC

7. postMessage

8. BSides Las Vegas発表練習(私が海外登壇にチャレンジしたもの)

9. 社内で発見された脆弱性を語る会 2

10. WebSocket

11. WebRTC

12. Unicode + UTF-8

今回の記事では、勉強会を月1回ペースで開催する中で、1年を通して試したことや感じたことなどをお話します。

はじめに

弊社では多くのお客様から手動脆弱性診断をご依頼いただきます。しかし、手動脆弱性診断では高度な技術力が必要になります。当然、そのような高度な技術力の維持・向上には知見の共有が必要になります。このような機会をどう作るかが難しい課題としてありました(これは手動脆弱性診断だけでなく開発などでも言えることかもしれません)。

そこで、私は2年ほど前から自身の学習や復習を兼ねて勉強会を開催し、知見を共有するようになりました。特に、2024年は「月1回以上勉強会をする」を裏目標とし、合計12回の勉強会を開催しました。月1回に設定した理由は、自分以外にも勉強会を開いてくれる方がいることに加え、自分のアウトプットの質を担保できるのが月1くらいだったからです。

勉強会の内容

弊社ではWebやクラウド関連の診断依頼が多いため、勉強会のテーマも自然とそれらが中心になることが多いです。通常であればテーマ選びに悩むこともあるかもしれませんが、意外なことに困ることはほとんどありませんでした。私は定期的に勉強した内容をまとめており、それを勉強会用のテーマに少し加工するだけで済んだおかげかもしれません。

また、弊社には社内で知見を共有するための技術ブログがあり、そこからテーマを選ぶこともよくありました。社内技術ブログについては、以下の記事に詳しく記載されていますので、ぜひご覧ください。

Flatt Securityの社内技術ブログを紹介します！ - 株式会社Flatt Security

勉強会の形式

Google Meetで画面共有を行い、オフラインとオンラインの参加者を交えた講義形式が主流となっています。しかし、最近ではAIを活用した実装のハンズオンや、CTF形式で問題を解く内容も取り入れるようになりました。これは、勉強会を始めた当初はすべて講義形式でしたが、参加者から「ずっと話を聞き続けるのは辛い」といった意見が寄せられたことがきっかけです。そこで、実際に手を動かすコンテンツを追加することで改善しました。

他にも、内製脆弱性管理システム「ORCAs」によって、日々の業務の中で発見した脆弱性がデータベース化され知見共有を図れる仕組みが整備されているため、雑談形式で各々の診断員が見つけた脆弱性を解説する会も定期的に開きました。ORCAsについては以下の記事に詳しく記載されているため、こちらを読んでみてください。

業務効率化・品質向上をエンジニアリングする - Flatt Security のセキュリティ診断プラットフォーム「ORCAs」 - GMO Flatt Security Blog

社外への公開

また、2024年は初めての試みとして、社外の方も自由に参加できる「公開社内勉強会」を企画・開催しました。この勉強会は、社内で培ってきた知識や取り組みの雰囲気を社外の方にも感じてもらいたいという想いからスタートしました。初めての社外向けの取り組みということで不安もありましたが、予想以上に多くの方に関心を持っていただき、なんと100名以上の参加者が集まるコンテンツとなりました。

【イベント】社外の方が誰でも参加できる「公開社内勉強会」を初開催します | GMO Flatt Security

実際に開催してみて、社内だけでなく社外の方とも知見を共有することで、新たな視点やアイデアを得られることを実感しました。初めての挑戦ではありましたが、「やって良かった」と思える取り組みとなりました。

おわりに

月並みな感想ではありますが、1年間にわたって社内勉強会を開催する中で、最も困難だったのはモチベーションの維持でした。その一方で、これは自分にとって非常に有意義な挑戦でもありました。継続的に勉強会を開催することは、自分自身のインプットを増やすだけでなく、アウトプットの質を高める貴重な機会になりました。

開催前に、説明内容に抜け漏れや理解の甘い部分がないかを振り返ることで、自分の知識のギャップに気付きました。また、他者に伝えるために情報を整理し、分かりやすく説明する過程を通じて、自分の理解がより深まったと実感しています。

開催中に、勉強会参加者とのやり取りの中で、新しい視点を得ることができた点も大きな収穫でした。参加者の疑問への回答を通じて、自分だけでは気付けなかったアイデアや解決策を見つけることも多くありました。それを適切に修正することで技術力向上ができたように思います。

開催後に、自分以外の方が勉強会で扱ったテーマの脆弱性を発見することがあり、知見共有の効果を実感しています。

最近では、他のメンバーも以前に増して積極的に勉強会を開くようになりました。社内文化が醸成されていることを嬉しく思います。

勉強会は新しいメンバーが入ってきた際の育成にも、既存メンバーの復習にも最適なコンテンツだと思っています。2025年4月には5人の新卒を迎えることもあり、2025年も月1回は勉強会を開いてみようと思います。

もちろん、社内だけでなく、社外にも何回か発表できるようにしようと思います。その際にはよろしくお願いします。

セキュリティエンジニア積極募集中です

弊社ではセキュリティエンジニアを積極募集しています。ぜひ、本記事で紹介したような勉強会も通して、技術力を高められる環境に身を置いてみませんか？

弊社に興味を持ってくださったセキュリティエンジニアの方は採用情報ページをぜひご覧ください。カジュアル面談も大歓迎です！まずは説明を聞いてみたい、というだけでもお気軽にお申し込みください。

採用情報｜Flatt Security - GMO Flatt Security株式会社

カジュアル面談フォーム
https://docs.google.com/forms/d/e/1FAIpQLSer6NxiQSAxmMpPYnHjzcxWYCxaV41c_j-HtKW_YKmK5cZYiQ/viewform

また、中途採用だけではなく26卒セキュリティエンジニアも積極募集中です。業務内容や求める人物像など気になる方はぜひ新卒採用情報ページ・カジュアル面談をご活用ください！

新卒採用｜Flatt Security - GMO Flatt Security株式会社

では、ここまでお読みいただきありがとうございました！