<p>こんにちは、PLAIDのエンジニアの<a href="https://twitter.com/jumpei_ikegami">gami</a>です。<a href="https://twitter.com/search?vertical=default&amp;q=%23%E3%81%97%E3%81%8C%E3%81%AA%E3%81%84%E3%83%A9%E3%82%B8%E3%82%AA&amp;src=tyah">趣味はポッドキャスト配信</a>です。</p>
<p>さて、先日2019/6/10(月)に、縁あってDeNAさん、Google Cloud Japanさんと共同でクローズドなGCP勉強会を開催しました。</p>
<p>PLAIDではリアルタイムユーザー解析サービス「<a href="https://karte.io/">KARTE</a>」の開発や提供に、GCPの各種サービスをヘビーに使っています。今回の勉強会では、同じく様々な事業でGCPを早くから採用してきたDeNAさんと、有意義なディスカッションをすることができました。</p>
<p>この記事では、そんなGCP勉強会の様子をご紹介します。</p>
<h1>乾杯から始まる勉強会</h1>
<p>クローズドでカジュアルな勉強会ということで、集まっていきなり乾杯をしました。PLAIDの人工芝での開催なので、野外フェス感があります。</p>
<p><img src="https://ik.imagekit.io/newt/61b151f921640c0018173598/a1961b43-1563-4eea-8ebe-83577f196e46/001-1.jpg" alt="001-1"></p>
<p>司会は、PLAIDのエンジニア採用担当のmattyが務めました。笑顔が渋い。</p>
<p><img src="https://ik.imagekit.io/newt/61b151f921640c0018173598/68508977-32c3-4b3e-b836-0d54cebab974/002.jpg" alt="002"></p>
<h1>各社からのLT</h1>
<p>次に、PLAID、DeNA、Googleの3社それぞれから、LTがありました。</p>
<h2>PLAID</h2>
<p>PLAIDからは、CTOの牧野からKARTEの紹介やGCPを使うことで得られるメリットなどについて話しました。</p>
<ul>
<li>KARTEでは、BigtableやBigQueryを中心にGCPの導入が進み、最近はDataflow、Cloud Spannerなど使うサービスの種類も増えている</li>
<li>扱うデータ量が膨大になっており、BigQueryでのStreaming Insertで1PB/monthほど</li>
<li>解析数やデータ量が増えてもコストはそこまで増えていないという点で、GCPの恩恵を受けている</li>
</ul>
<h4>参考記事:</h4>
<ul>
<li><a href="https://codezine.jp/article/corner/711">大規模解析サービスを支えるGCP活用事例連載一覧：CodeZine（コードジン）</a></li>
<li><a href="https://www.youtube.com/watch?v=8UuiJjTW12Y">Plaid's Journey to Global Large-Scale Real-Time Analytics With Google BigQuery (Cloud Next '19) - YouTube</a></li>
</ul>
<p><img src="https://ik.imagekit.io/newt/61b151f921640c0018173598/00a4a01c-0f6e-4dec-8933-c65fbdb6b7e4/003.jpg" alt="003"></p>
<h2>DeNA</h2>
<p>DeNAの菅原さんからは、DeNA San FranciscoでGCPに出会ってから、DeNA内でGCPの利用が広がっていった歴史についてお話しいただきました。</p>
<ul>
<li>Mobage WestでGoogle App Engine Javaを利用し、Auto Scaleによる安定運用を実現できた</li>
<li>2016年頃から、日本のDeNAでも<a href="https://www.andapp.jp/">AndApp</a>などでGCPの利用を本格的に開始</li>
<li>現在では様々な事業で GCP は活用されており、『逆転オセロニア』や自社のAI学習基盤などのAI分野でもGCP活用の幅が広がっている</li>
</ul>
<h4>参考記事:</h4>
<ul>
<li><a href="https://cloudplatform-jp.googleblog.com/2019/03/DeNA-Advanced-Solutions-Lab-GCP.html">Advanced Solutions Lab で培った知見を踏まえ Google Cloud Platform 上に AI 基盤を構築。『逆転オセロニア』のプレイヤー体験を向上</a></li>
</ul>
<p><img src="https://ik.imagekit.io/newt/61b151f921640c0018173598/b241d38d-6179-4f5c-a8bc-d0ae4c9b64be/004.jpg" alt="004"></p>
<h2>Google Cloud Japan</h2>
<p>Google Cloud Japanの白川さんは、以前AWSでも働いていたことがあるとのことで、Amazon(AWS)とGoogle(GCP)を比較するというエッジの効いたトークをしていただきました。</p>
<ul>
<li>AWSは2006年にリリースされたS3から、GCPは2008年にリリースされたGAEから始まっている</li>
<li>Amazonの組織は一般にメンバーがセクションで明確に分かれているが、Googleはチームを超えて色々な人がつながっている</li>
</ul>
<p><img src="https://ik.imagekit.io/newt/61b151f921640c0018173598/24a49dce-9052-4cab-82e7-8b860679497b/005-1.jpg" alt="005-1"></p>
<h1>懇親会</h1>
<p>LTの後は、セミナースペースでお酒や食事を囲んで技術の話に花を咲かせました。</p>
<p><img src="https://ik.imagekit.io/newt/61b151f921640c0018173598/018f0952-7ca3-498c-b1a8-50f7adca0b14/006.jpg" alt="006"></p>
<p><img src="https://ik.imagekit.io/newt/61b151f921640c0018173598/2bf88d92-b961-4a80-a06f-45c8faed93bf/007.jpg" alt="007"></p>
<p><img src="https://ik.imagekit.io/newt/61b151f921640c0018173598/a2d7555d-fcf0-40b2-9c5c-4bfc2a079663/008.jpg" alt="008"></p>
<p><img src="https://ik.imagekit.io/newt/61b151f921640c0018173598/56a67f6a-8829-4c8c-966c-c99999b5d152/009.jpg" alt="009"></p>
<p><img src="https://ik.imagekit.io/newt/61b151f921640c0018173598/d9c660df-0b30-4c88-b244-2f84dc09993d/010.jpg" alt="010"></p>
<h1>最後は集合写真！</h1>
<p>懇親会の最後は、参加者みんなで集合写真を撮りました。</p>
<p><img src="https://ik.imagekit.io/newt/61b151f921640c0018173598/fbc3ed8b-7b40-4da7-9a24-62e9195efd77/011.jpg" alt="011"></p>
<p>普段、PLAIDのエンジニア同士で話すときはKARTEのアーキテクチャなどを暗黙の前提にしていることが多いです。今回は、全く違うサービスやアプリケーションを開発しているDeNAのエンジニアのみなさんと話すことで、かなり刺激を得ることができました。</p>
<p>このような技術交流の機会を定期的に持つことで、凝り固まった頭をほぐすことができてとても良いと思うので、ぜひまた開催したいです！</p>
<p>以上、GCP勉強会のイベントレポートでした。</p>
<p>なお、DeNAさん側でもこちらのイベントのレポートが公開されていました。あわせてご覧ください！</p>
<p><a href="https://engineer.dena.jp/2019/06/dena-plaid-googlecloud.html">DeNA x PLAID x Google Cloud 交流会を実施しました！ - Technology of DeNA</a></p>
<hr>
<p>リアルタイムユーザー解析プラットフォームの「<a href="https://karte.io/">KARTE</a>」を運営するプレイドでは、KARTEを使ってこんなアプリケーションが作りたい！ KARTE自体の開発に興味がある！というエンジニア（インターンも！）を募集しています。</p>
<p>詳しくは<a href="https://plaid.co.jp/recruit/engineer.html">弊社採用ページ</a>または<a href="https://www.wantedly.com/companies/plaid/projects">Wantedly</a>をご覧ください。 もしくはお気軽に、下記の「話を聞きに行きたい」ボタンを押してください！</p>
<div class="wantedly-visit-button" data-visit-button-id="lyE_IgY4VF5ukBo_EUKZLg" data-width="300" data-height="60"></div>
<script>
  (function(d, s, id) {
    var js, fjs = d.getElementsByTagName(s)[0];
    if (d.getElementById(id)) return;
      js = d.createElement(s); js.id = id;
      js.src = "https://platform.wantedly.com/visit_buttons/script.js";
      fjs.parentNode.insertBefore(js, fjs);
    }(document, "script", "wantedly-visit-buttons-wjs"));
</script>


2019/6/10(月)に、縁あってDeNAさん、Google Cloud Japanさんと共同でクローズドなGCP勉強会を開催しました。様々な事業でGCPを早くから採用してきたDeNAさんと、有意義なディスカッションをすることができました。

DeNA、Googleと共同でGCP勉強会を開催しました！ | PLAID engineer blog

DeNA、Googleと共同でGCP勉強会を開催しました！

<html><head></head><body><h2 id="BigQueryの監査ログは役に立つ">BigQueryの監査ログは役に立つ</h2>
<p>PLAID Engineerの 原田(@harada_hi) です。</p>
<p>弊社製品KARTEでは行動データという大量データの集計においてBigQueryを多用しています。<br>
今回はそのBigQueryのパフォーマンス確認やトラブル時の調査に利用しているBigQueryの監査ログの話を紹介します。</p>
<h3 id="集計を実施する上で確認したい内容">集計を実施する上で確認したい内容</h3>
<p>BigQueryはSparkやHadoopを組み合わせて実施していた集計処理を賄うことが可能です。<br>
前述のとおりPLAIDにおいてもユーザーの行動データをBigQueryに収集し、クエリを実行して集計を実施しています。<br>
BigQueryで集計を行う上で次のような点を確認したい場面があります。</p>
<ol>
<li>各集計クエリの実行時間</li>
<li>時間帯ごとの集計クエリの同時実行数</li>
<li>各集計クエリで使用しているslot</li>
<li>動的に生成される集計クエリそのもの</li>
</ol>
<p>1を確認したい理由はパフォーマンス確認の一つとしてです。<br>
2,3を確認したい理由は、BigQueryの制限によるものです。</p>
<p>Bigquery &gt; Documentation &gt; Quotas &amp; limits<br>
<a href="https://cloud.google.com/bigquery/quotas" target="_blank" rel="noreferrer">https://cloud.google.com/bigquery/quotas</a></p>
<p>この中での<br>
<code>Concurrent rate limit for interactive queries — 100 concurrent queries</code><br>
が理由です。<br>
この制限に掛かっている場合、新規のインタラクティブ クエリを実行しようとすると強制的にエラーとなります。<br>
2は同時実行の数そもそもを確認して、現状で危険な時間帯はないかを確認するために必要です。<br>
3はこの制限にかかる潜在的なリスクを確認するためのものです。<br>
slotを使いすぎている集計が存在するとその集計がボトルネックとなり他の集計が終わらず同時実行数が増えてしまうことがあります。</p>
<p>4を確認したい理由は、何らかのバグを確認した場合やパフォーマンスが悪いことを確認した場合に該当のクエリがわからないと対策が打てないためです。<br>
変更のないクエリであれば問題になりませんが、動的にクエリを変更・生成している場合は重要です。</p>
<h3 id="BigQueryのデータアクセスログ">BigQueryのデータアクセスログ</h3>
<p>上記で確認したい点はシステムからクエリを実行する以上、自前のログに書き込むことで確認は可能です。<br>
しかしBigQueryの監査ログには自動的に上記の確認したい情報が入るので自前で用意する必要がありません。</p>
<p>BigQueryを含めたGoogle Cloud サービスの監査ログ(Cloud Audit Logging)の詳細は次の公式ドキュメントが存在しています。</p>
<p>Stackdriver &gt; Documentation &gt; Logging &gt; Cloud Audit Logging<br>
<a href="https://cloud.google.com/logging/docs/audit" target="_blank" rel="noreferrer">https://cloud.google.com/logging/docs/audit</a></p>
<p>この監査ログの中には以下の3つが存在しています。</p>
<ul>
<li>管理アクティビティログ</li>
<li>システムイベントログ</li>
<li>データアクセスログ</li>
</ul>
<p>このうちの<code>データアクセスログ</code>が上で記載している確認したいことをカバーしています。<br>
データアクセスログは各CRUD処理が全てログとして残ります。<br>
こうした特徴から出力する対象のサービスは任意で指定する必要がありますが、<br>
BigQueryに関しては標準で出力されています。</p>
<p>Stackdriver &gt; Documentation &gt; Logging &gt; Configuring Data Access Logs<br>
<a href="https://cloud.google.com/logging/docs/audit/configure-data-access" target="_blank" rel="noreferrer">https://cloud.google.com/logging/docs/audit/configure-data-access</a></p>
<p>実際の確認方法は以下の2つです。</p>
<ol>
<li>Google Cloudが提供しているログビューワーからの確認</li>
<li>監査ログをGoogle Cloudサービスにエクスポートして確認</li>
</ol>
<p>推奨は2番目の<code>監査ログをGoogle Cloudサービスにエクスポートして確認</code>で、BigQueryに監査ログをエクスポートして確認することです。<br>
クエリで確認する情報を絞ることで調査を容易にすることにも繋げられる他、調査クエリを残しておくことで誰でも調査しやすい環境を作ることができます。<br>
ただしBigQueryで監査ログを確認していくには次の対応が必要となります。</p>
<p>BigQuery &gt; Overview &gt; Stackdriver Logging exports<br>
<a href="https://cloud.google.com/bigquery/docs/reference/auditlogs/#stackdriver-logging-exports" target="_blank" rel="noreferrer">https://cloud.google.com/bigquery/docs/reference/auditlogs/#stackdriver-logging-exports</a></p>
<p>1のログビューワーでの確認は監査ログのデータ構成を確認するのに利用するのにおすすめです。<br>
これはBigQueryで監査ログを確認するにあたって監査ログのデータ構成を理解する必要があるためです。<br>
ログビューワーは次のURLで移動できます。<br>
<a href="https://console.cloud.google.com/logs/viewer" target="_blank" rel="noreferrer">https://console.cloud.google.com/logs/viewer</a></p>
<h3 id="実際に活用しているクエリの紹介">実際に活用しているクエリの紹介</h3>
<p>実際弊社で利用しているクエリを簡単にしたものを2つほど紹介します。<br>
{{}}で囲んでいるところを変更していただければ使えるようにしています。</p>
<h4 id="slotを消費しているクエリを確認する">slotを消費しているクエリを確認する</h4>
<pre><code class="language-sql hljs"><span class="hljs-keyword">WITH</span>
{{project_id}} <span class="hljs-keyword">AS</span>
(
  <span class="hljs-keyword">SELECT</span> 
    <span class="hljs-string">'{{project_id}}'</span> project_name,
    protopayload_auditlog.servicedata_v1_bigquery.<span class="hljs-operator">*</span>,
    protopayload_auditlog.serviceName <span class="hljs-keyword">as</span> serviceName,
    protopayload_auditlog.methodName <span class="hljs-keyword">as</span> methodName,
    protopayload_auditlog.resourceName <span class="hljs-keyword">as</span> resourceName,
    <span class="hljs-type">timestamp</span>
  <span class="hljs-keyword">FROM</span>
    `{{project_id}}.{{dataset}}.cloudaudit_googleapis_com_data_access_{{<span class="hljs-type">timestamp</span>}}`
),

{{project_id}}_COMPLETED_EVENT <span class="hljs-keyword">AS</span>
(
  <span class="hljs-keyword">SELECT</span>
    project_name,
    jobCompletedEvent.job.jobConfiguration.query.query <span class="hljs-keyword">as</span> query,
    jobCompletedEvent.job.jobStatistics.createTime <span class="hljs-keyword">as</span> jobCreateTime,
    jobCompletedEvent.job.jobStatistics.startTime <span class="hljs-keyword">as</span> jobStartTime,
    jobCompletedEvent.job.jobStatistics.endTime <span class="hljs-keyword">as</span> jobEndTime,
    jobCompletedEvent.job.jobConfiguration.query.queryPriority queryPriority,
    REGEXP_EXTRACT(jobCompletedEvent.job.jobConfiguration.query.query, "\"<span class="hljs-keyword">user</span>\":\"([<span class="hljs-operator">^</span>\"]+)\"") mode_user,
    jobCompletedEvent.job.jobStatistics.totalSlotMs as totalSlotMs,
    timestamp
  FROM
    {{project_id}}
  WHERE
    methodName = 'jobservice.jobcompleted'
)

SELECT
  FORMAT_TIMESTAMP('%Y-%m-%d %H:%M:%S', timestamp, 'Asia/Tokyo') timestamp_jst,
  TIMESTAMP_DIFF(jobEndTime, jobStartTime, MILLISECOND) / (1000 * 60) act_span,
  TIMESTAMP_DIFF(jobEndTime, jobCreateTime, MILLISECOND) / (1000 * 60) job_span,
  project_name,
  queryPriority,
  query,
  totalSlotMs,
  totalSlotMs / (1000 * 60 * 60) totalSlotHour,
  totalSlotMs / (1000 * 60 * 60 * 24) totalSlotDay
FROM
  {{project_id}}_COMPLETED_EVENT
ORDER BY totalSlotMs DESC
</code></pre>
<p>slotを消費した順にクエリを並べています。<br>
このクエリを元にして同時実行数が多くなっている時間帯を確認するなども行なっています。</p>
<h4 id="エラーを発生させたクエリを確認する">エラーを発生させたクエリを確認する</h4>
<pre><code class="language-sql hljs"><span class="hljs-keyword">WITH</span>
{{project_id}} <span class="hljs-keyword">AS</span>
(
  <span class="hljs-keyword">SELECT</span> 
    <span class="hljs-string">'{{project_id}}'</span> project_name,
    <span class="hljs-type">timestamp</span>,
    severity,
    protopayload_auditlog.servicedata_v1_bigquery.<span class="hljs-operator">*</span>,
    protopayload_auditlog.serviceName <span class="hljs-keyword">as</span> serviceName,
    protopayload_auditlog.methodName <span class="hljs-keyword">as</span> methodName,
    protopayload_auditlog.resourceName <span class="hljs-keyword">as</span> resourceName
  <span class="hljs-keyword">FROM</span>
    `{{project_id}}.{{dataset}}.cloudaudit_googleapis_com_data_access_{{<span class="hljs-type">timestamp</span>}}`
),

{{project_id}}_COMPLETED_EVENT <span class="hljs-keyword">AS</span>
(
  <span class="hljs-keyword">SELECT</span>
    project_name,
    <span class="hljs-type">timestamp</span>,
    severity,
    jobCompletedEvent.job.jobConfiguration.query.query <span class="hljs-keyword">as</span> query,
    jobCompletedEvent.job.jobConfiguration.query.queryPriority queryPriority,
    jobCompletedEvent.job.jobStatus.error.message error_message,
    jobCompletedEvent.job.jobStatistics.totalSlotMs <span class="hljs-keyword">as</span> totalSlotMs
  <span class="hljs-keyword">FROM</span>
    {{project_id}}
  <span class="hljs-keyword">WHERE</span>
    methodName <span class="hljs-operator">=</span> <span class="hljs-string">'jobservice.jobcompleted'</span>
    <span class="hljs-keyword">AND</span> severity <span class="hljs-operator">=</span> "ERROR"
)

<span class="hljs-keyword">SELECT</span>
  project_name,
  <span class="hljs-type">timestamp</span>,
  severity,
  queryPriority,
  error_message,
  query,
  totalSlotMs
<span class="hljs-keyword">FROM</span>
  {{project_id}}_COMPLETED_EVENT 
<span class="hljs-keyword">ORDER</span> <span class="hljs-keyword">BY</span> <span class="hljs-type">timestamp</span> <span class="hljs-keyword">DESC</span>
</code></pre>
<p>ユーザーの設定によって動的にクエリが生成される場合は意図していないエラーが発生することがあります。<br>
用意しておくことで調査をスムーズに進めることができています。</p>
<h3 id="まとめ">まとめ</h3>
<p>BigQueryでは自動的に出力されている監査ログでも多くのことを調べることができるという紹介でした。<br>
実際に確認いただくと上で紹介した以外のことも確認できるということが見えてくるかと思います。<br>
BigQueryを利用したサービスを開発する上での参考になれば幸いです。</p>
<h3 id="最後に">最後に</h3>
<p>CX（顧客体験）プラットフォーム「<a href="https://karte.io/" target="_blank" rel="noreferrer">KARTE</a>」を運営するプレイドでは、KARTEを使ってこんなアプリケーションが作りたい！ KARTE自体の開発に興味がある！というエンジニア（インターンも！）を募集しています。<br>
詳しくは<a href="https://plaid.co.jp/recruit/engineer.html" target="_blank" rel="noreferrer">弊社採用ページ</a>または<a href="https://www.wantedly.com/companies/plaid/projects" target="_blank" rel="noreferrer">Wantedly</a>をご覧ください。 もしくはお気軽に、下記の「話を聞きに行きたい」ボタンを押してください！</p>
<div class="wantedly-visit-button" data-visit-button-id="lyE_IgY4VF5ukBo_EUKZLg" data-width="300" data-height="60"></div>
<script>
  (function(d, s, id) {
    var js, fjs = d.getElementsByTagName(s)[0];
    if (d.getElementById(id)) return;
      js = d.createElement(s); js.id = id;
      js.src = "https://platform.wantedly.com/visit_buttons/script.js";
      fjs.parentNode.insertBefore(js, fjs);
    }(document, "script", "wantedly-visit-buttons-wjs"));
</script>
</body></html>

Google Cloudサービスが提供しているBigQuery監査ログの活用方法。
実際に弊社で利用しているクエリも併せて紹介します。

BigQueryの監査ログは役に立つ | PLAID engineer blog

BigQueryの監査ログは役に立つ

<p>こんにちは！ エンジニアの@junkusaです。先日、PLAID社内で<a href="http://karte.io/">KARTE</a>のセキュリティをテーマにしたセキュリティハッカソンを実施しました。</p>
<h2>セキュリティハッカソンの目的と背景</h2>
<p>PLAIDは<a href="http://karte.io/">KARTE</a>という「リアルタイムユーザー解析プラットフォーム」を提供していますが、KARTEではさまざまな種類のデータを扱います。<br>
KARTEのデータを安全に扱うために、PLAIDでは外部のセキュリティの専門家などとも協力して取り組んでいます。<br>
また“セキュリティ組“というセキュリティ強化に取り組むチームもできました。セキュリティ組では開発者自身がより深くセキュリティに取り組むのを手助けしています。</p>
<p>開発者自身で深くセキュリティに取り組むには、セキュリティについて深く理解する必要があります。<br>
そのため、まず自社のサービスであるKARTEにおいて何を防がなくてはいけなくて、どのようなセキュリティホールが生まれる可能性があるかを知る機会が必要と考えました。<br>
そのセキュリティの知識を得る一つの方法として、セキュリティ組が中心となってKARTEを攻撃、防御したりするハッカソンを開いてみることにしました。</p>
<h2>セキュリティハッカソンの開催</h2>
<p>セキュリティハッカソンでは、Issueに当日のアジェンダや目的などを共有してから実施しました。<br>
セキュリティハッカソンでは、ローカル環境や試験環境などを使い、本番環境には影響がでないようにするという前提を周知しました。<br>
それ以外については基本的に自由にして、各自がKARTEに対して攻撃方法や防御方法を考え試して、成功失敗どちらの結果もハッカソンの終わりに共有することにしました。</p>
<blockquote>
<p>セキュリティハッカソンのIssue<br>
今回のセキュリティハッカソンは試験的なものであっため、短めの時間設定にしました</p>
</blockquote>
<p><img src="https://ik.imagekit.io/newt/61b151f921640c0018173598/2d87f832-c886-4be3-b9b6-d8e5ec108da2/agenda.png" alt="agenda"></p>
<p>セキュリティハッカソンでは各自が考えていた攻撃方法などを試して、実際に問題があるかや対策されているかを確認していました。<br>
他にも、気になっていたセキュリティツールを試したり、普段開発して気になっていた部分を調べてみたりと攻撃以外のことも試されていました。</p>
<p><img src="https://ik.imagekit.io/newt/61b151f921640c0018173598/b4baa9f6-23f0-47f9-bf16-d2bee76d4fff/image.jpg" alt="セキュリティハッカソンの様子"></p>
<h2>セキュリティハッカソンの結果</h2>
<p>セキュリティハッカソンの終了後に、各自(各チーム)が試したことなどを共有しました。<br>
ハッカソンの中で見つけた問題についてはその場でIssueを作成し、ハッカソン後に修正や対策などに取り組んでいます。<br>
また、実際の脆弱性にはつながらなかった攻撃についても共有し、その攻撃からどのような問題につながる可能性があるかを議論しました。<br>
最後に、これらの結果を社内のesaにまとめ、ハッカソンに参加できなかった開発者にも共有しました。<br>
開発者からは「成果を共有されることで勉強になった」、「セキュリティに注目を集めるきっかけにもなるので継続的に開催したい」といった声が上がっていました。</p>
<p><img src="https://ik.imagekit.io/newt/61b151f921640c0018173598/799b17d5-ebe1-4407-b92c-bf525c9fb9fc/security_result.png" alt="security_result"></p>
<h2>セキュリティハッカソンの後</h2>
<p>セキュリティハッカソンの目的は、開発者自身がどのようなセキュリティの問題がおきるかの可能性を知る機会を作ることでした。<br>
そのため、セキュリティハッカソンで見つかった問題(既に修正済み)を、発見者が実際にどのように見つけたを学ぶハンズオン形式の社内イベントも実施しました。</p>
<p><img src="https://ik.imagekit.io/newt/61b151f921640c0018173598/f47e72c2-e115-413c-b36b-25896f87b371/hands_on.png" alt="hands_on"></p>
<p>脆弱性の見つけ方を学ぶハンズオンでは、<a href="https://portswigger.net/burp">Burp Suite</a>などのツールも使いつつ実際にローカル環境に向けて攻撃を行い、<br>
その攻撃によってどのような仕組みで問題が発生するかを体験できるようにしました。</p>
<p>また、流行した攻撃手法や脆弱性によってどのような被害が想定されるかも交えたデモなども行いました。<br>
たとえば、管理画面などログデータが表示される場所を狙ったBlind XSSでは、どのように効率的にデータを集めているかなどを実際に動かしながら見ていきました。</p>
<ul>
<li><a href="https://medium.com/bugbountywriteup/blind-xss-for-beginners-c88e48083071">Blind XSS for beginners – InfoSec Write-ups – Medium</a></li>
</ul>
<p>自分自身で攻撃を体験してみることで、脆弱性をもっと身近に感じて貰えるようにして、それらを意識して開発するという目的もあります。</p>
<h2>まとめ</h2>
<p>「セキュリティ」はとても大事ですが、何かできたから「完成」といったゴールがあるわけではありません。<br>
そのため、「セキュリティ」は継続的に改善していき、リスクを軽減や発見できるようにフィードバックループを回していく必要があると思います。<br>
PLAIDではこれからも開発者を巻き込みながら、「セキュリティ」改善へ向けてのアクションを続けていきます。</p>
<h2>最後に</h2>
<p>CX（顧客体験）プラットフォーム「<a href="https://karte.io/">KARTE</a>」を運営するプレイドでは、継続的にセキュリティ改善に取り組んでいきたいというエンジニアを募集しています。<br>
詳しくは<a href="https://plaid.co.jp/recruit/engineer.html">弊社採用ページ</a>または<a href="https://www.wantedly.com/companies/plaid/projects">Wantedly</a>をご覧ください。 もしくはお気軽に、下記の「話を聞きに行きたい」ボタンを押してください！</p>
<div class="wantedly-visit-button" data-visit-button-id="lyE_IgY4VF5ukBo_EUKZLg" data-width="300" data-height="60"></div>
<script>
  (function(d, s, id) {
    var js, fjs = d.getElementsByTagName(s)[0];
    if (d.getElementById(id)) return;
      js = d.createElement(s); js.id = id;
      js.src = "https://platform.wantedly.com/visit_buttons/script.js";
      fjs.parentNode.insertBefore(js, fjs);
    }(document, "script", "wantedly-visit-buttons-wjs"));
</script>


社内セキュリティハッカソンを開催！
見つかった問題の脆弱性体験および修正のハンズオン実施！