GMOサイバーセキュリティ byイエラエ株式会社's job postings
【開催レポート】2027年新卒夏のインターンを実施しました
on 2025-11-07
こんにちは、人事の白崎です。
GMOサイバーセキュリティ byイエラエ株式会社(以下、GMO イエラエ)では、27年新卒を対象とした学生インターンシップを開催しました。
GMO イエラエが本格的に新卒採用をスタートして約4年。昨年度初めて実施した学生向けインターンシップが大変好評だったことを受け、今回2回目の開催となりました。
これまでの採用イベントでは会社説明会を中心に行ってきましたが、「もっとリアルに、もっと深くGMO イエラエを知ってほしい」という想いから、昨年に続き実践型のプログラムを企画。
今年も多くの学生の皆さんにご参加いただき、GMO イエラエならではの“セキュリティの現場”や“働く魅力”を体感していただきました。
前回のインターンを踏まえ、今回はそれぞれ5日間の短期集中型プログラムを実施いたしました。実際の業務に近い体験を通じて、セキュリティ業界の魅力やGMO イエラエの雰囲気を感じていただける内容を目指しました。5つの体験コースを設け、エンジニアのパートナーとの密な交流を通じて学びを深められるプログラムに、12名の学生の皆さんが熱心に参加してくださいました!
この記事では、当日の様子や参加者の声を交えながらその魅力をお伝えします!
※GMOインターネットグループでは、社員のことをパートナーと呼んでいます
体験コース紹介
GMO イエラエのサービスは多岐にわたり、部門ごとにサービス領域が分かれておりますが、今回のインターンでは以下の5つの体験コースを用意しました。それぞれのコースで実際の業務に近い環境で体験しできるプログラムを組み、充実した内容となるよう工夫しました。以下に各コースの概要と業務内容をご紹介いたします!
1. ソースコード診断コース
「Webペネトレーションテスト」の業務に近い体験ができるプログラムを実施しました。5日間にわたるインターンにおいて、参加者同士で協力しつつ、やられアプリに対してブラックボックステストとホワイトボックステストのセキュリティ診断を体験していただきました。
初日と2日目は、GMO イエラエの「高度診断課」で実際に行われている業務フローを踏まえ、ブラックボックステストによる脆弱性診断を体験していただきました。ソースコードなしでWebアプリケーションを外部から調査する形で、脆弱性の洗い出しを実施。シナリオ型のペネトレーションテストとして擬似的な案件形式でシナリオとゴールを設定し、発見した脆弱性の再現性や影響度を検証しました。その上でどのように脅威を証明するかを検討し、PoCを作成することで実務に近いテストプロセスを体感していただきました。
3日目と4日目は、ホワイトボックステストの視点からソースコードを活用した脆弱性診断に挑戦していただきました。
まずは静的解析ツールの利用方法や脆弱性を見つけるためのソースコードの読み方を学び、頻出する脆弱性パターン(SQL injection、XSS、認可制御の不備など)のコードの特徴等を紹介。その後実際にソースコードを提供しホワイトボックス環境での脆弱性調査を行いました。
ホワイトボックス・ブラックボックス両方の脆弱性調査を行うことで、両手法のメリット・デメリットや効果的な調査方法などを実践的に学んでいただきました。
最終日は、発見した脆弱性について報告書の作成を行いました。
見つけたバグの内容・証跡・影響範囲・対策案を整理し、実際の業務を想定してお客様に提出することを意識した形式でレポートを作成。同時進行でレビューを実施し、実際にお客様に提示する際に気をつけるべきポイントや分かりやすい報告書の書き方についてもフィードバックを行いました。
このコースを通じて、Webペネトレーションテストの基礎的な流れを学びながら、調査型とシナリオ型の2つの視点から、実際に手を動かして作業することで、より深く業務への理解を深めていただける内容となりました。参加者からは、
「ソースコード解析をして、ペネトレーションテストを行うことは新鮮で興味深い経験になった」
「具体的なペネトレーションの手法や考え方を学ぶことができ、非常に充実した5日間だった。」
といった感想をいただきました。
2. Web診断コース
Webアプリケーションに対する脆弱性診断業務の全体像を体験できるプログラムを用意しました。学生2名が参加し、5日間で診断環境の構築から報告会まで実施しました。
初日は脆弱性診断で使用するツール「Burp Suite Professional」のセットアップやDocker環境の構築などを実施しました。さらに、オープンソースとして公開されている演習用Webアプリケーション「OWASP Juice Shop」および「Damn Vulnerable Web Application(DVWA)」を診断対象として準備いただきました。
2日目と3日目には、コツコツとクローリングを進めていただいた後、2人であれこれディスカッションしながら診断作業を実施いただきました。脆弱性か存在するかどうか判断が難しい状況ではメンターに質問するなど、積極的に作業を進めていただきました。
4日目は診断の成果を元に報告書を作成して報告会およびレビュー会を実施しました。報告書にはセキュリティの専門家じゃなくても実行できる確認手順を記述することが重要であると、GMO イエラエのエンジニアパートナーによるレビューの指摘から痛感したようです。また、話の流れから、セキュリティ関連資格の取得や社内インターン制度についての話になり、強い関心をいただいた様子でした。
5日目は「診断あるある」というテーマで、実際の診断業務で発生しがちな「診断対象に急にアクセスできなくなった」や「昨日まで使用できたアカウントが今日になってログインできなくなった」などのトラブルにどのように対応すべきかをメンターを含めてディスカッションしました。
このコースを通じて、Webアプリケーションに対する脆弱性診断の概要や作業の流れを学びながら、実際に手を動かして作業することで、より深く業務への理解を深めていただけました。参加者からは
「クローリングは地味だが、意外と頭をつかう重要な作業であることを学んだ」
「たくさん脆弱性を検出しても報告書がわかりにくいと顧客満足度が低くなるかもしれない」
などの感想をいただきました。
3.IoT診断コース
組み込み機器に対してハードウェアとソフトウェアの両面から診断を行いました。実務に近い環境の中で、5日間にわたり専門的な作業に取り組んでいただきました。
初日は基板上のICチップに「クリップ」と呼ばれる器具を取り付け、ファームウェアの読み取り作業を行いました。読み出したファームウェアはIDA Proなどの解析ツールを用いて静的解析を実施し、バイナリの構造や主要な実装部分の把握を進めました。
2日目はメモリーデータの抽出と解析に取り組みました。Cold Boot Attack と呼ばれる手法で動作中のメモリ内容を取得し、取得したメモリダンプをPython等で解析して様々な情報の抽出を行いました。動的に残る情報の扱い方や、メモリ解析特有の考え方を学んでいただきました。
3日目は、これまでの解析結果を踏まえたうえで動作中の機器に対する解析と操作を行いました。動作中の機器に対してLAN越しに操作を行い、実際のサービスやプログラムがどのように動作しているかを観察し、想定される攻撃シナリオを検討しました。
4日目は組み込み機器に接続される周辺機器(USBデバイス等)に焦点を当て、通信内容や制御を担うプログラムの解析を行いました。周辺機器と本体間のプロトコルの解析手法を学び、周辺機器が全体のセキュリティに与える影響を理解していただきました。
最終日は基板上を流れる信号の解析に取り組みました。ロジックアナライザーを基板の信号線に接続し、信号の流れを可視化して解析しました。ファームウェアやメモリだけでは把握しきれない、ハードウェアレベルの挙動を確認しました。
本コースを通じて、組み込み機器の診断における実務的な作業(ファームウェア抽出・メモリ解析・動作解析・周辺機器解析・信号解析)を一通り体験していただきました。ハードウェアとソフトウェア双方の視点から問題の切り分けを行うスキルや、IDA Pro・ロジックアナライザー等のツールを用いた具体的な解析手法について理解を深めていただけたかと思います。
4.ハードウェアと暗号コース
暗号の研究では、しばしば理想的なシチュエーションを仮定して議論を進めます。 しかし実際に利用される際にはそううまくはいきません. 秘密鍵にアクセスできる人間が1人とは限りませんし、 場合によって必要な保護レベルは異なります。
特に、 鍵管理システムは暗号技術の理想と現実が対立しがちな場所であり、その妥協点は概ねハードウェアの耐タンパ性によって担保されています。 今回のインターンでは、「暗号実装を現実世界でどのように守っているのか」について、 鍵管理システムを題材とし、実際に利用されている機材との通信を通じて学んでいただきました。また、DFDを用いてデータフローを考慮しながら簡単なコードを組み上げる練習等も実施しました。
耐タンパ性のあるデバイスは数多く存在します。今回はHSM(YubiHSM)とJavaCardを主とし、 それぞれ実機との通信を通じて理解を深めてもらいました。 HSMはその信頼チェーンがどのように構築されているか、またアテステーション作業により何がどう保証されるのかについて、実際にコマンドをやりとりしつつの学習となりました。
JavaCardもセキュアエレメントとしてしばしば利用されていますが、実際にその上で実行可能なコードを書く機会は少ないです。今回はECDSAを実装し、APDUによる通信や署名・鍵生成を行えるカードを作成しました。また, JavaCardのメモリダンプデータをもとに実行可能ファイルを復元するCTF問題 (CBCTF 2017 One of Three Billion) へと取り組みました。素晴らしいことに、 参加された方は一日のうちに正答されました!
このコースを通じ、暗号技術そのものを上手に現実のシステムへと組み込み、またそれを運用するにあたって下支えしている技術への理解を深めていただけたのであれば幸いです。
5.ディフェンシブセキュリティコース
ディフェンシブセキュリティコースではCSIRTアシスト課、フォレンジック課、SOCイノベーション課の3課合同でより防御的なセキュリティコースを体験いただきました。
実施日程順に各コースをご紹介します。
■CSIRTコース
CSIRTコースでは、企業の情報セキュリティ計画を作成するにあたって必要となるロードマップ作成を題材に、セキュリティ施策をどのように分析・可視化するか、どう推進していくかを体験いただくコースを実施しました。
架空の企業ペルソナとその企業のNW図を用いて、何を明らかにするためにどのようなことをヒアリングするか、その結果どのようなタスクが明らかになるかを考えるハンズオンを実施しました。企業規模や業種業態、現状のシステム構成を鑑みて、「システム面、運用面、組織面」の3つの軸でタスクの洗い出しを実施していただきました。
当社各サービスがどういうモチベーションでお客様が実施しているかや、個別具体のタスクがどのように企業セキュリティに寄与していくかといった、技術を活かすという側面を体験していただけたのではないでしょうか。
インターン生からは、日頃の講義や研究では扱わない範囲の仕事を知ることができて学びになったという声を頂いています。
■フォレンジックコース
デジタルフォレンジックサービスの提供プロセスを体験できるプログラムを実施しました。実際の業務に近い環境で、専門的な作業に挑戦していただきました。事前に用意したシナリオと侵害端末を使いながら、情報収集や保全作業、解析作業、さらには報告書作成まで、一連の流れを体験していただきました。調査員が丁寧に指導し、使用するツールや手法も実際の案件で活用されているものを取り入れることで、よりリアルな調査環境を再現しました。
インターン生の中には、PC筐体の分解や侵害シナリオの取り扱いが初めてという方もいました。しかし、仮に失敗しても問題のない環境を用意しているため、安心して新しいことに挑戦できる状況が整っています。その結果、失敗を恐れず多くのことを吸収する機会となり、
「学びの多い充実した体験ができた」という声もいただきました。
作業終了後には、可能な範囲で実際の過去案件の報告書も閲覧していただきました。これにより、各工程における具体的な手順や必要な情報を、現場の視点から幅広く知ることができると思います。
■SOCコース
SOCコースでは当社SOCサービスで使用しているシグネチャについて実際に作成するハンズオンを体験いただきました。自社基盤の説明から当社SOCの基本的なサービス説明を経て、実際にお客様に提供するイメージを持っていただき、何を守るために何を防ぐべきかを念頭においた体験ができたのではないかと思います。
また当社SOCの特徴であるSOC業務の自動化についても説明することで、より具体のサービス提供イメージを掴んでいただけたのではないでしょうか。
インターン生の中にはマルウェア解析を志している方もいらっしゃったりしたので、解析結果の活用方法の理解度もあがったと思います。
フォレンジック調査の基礎から応用までを実感できるこのプログラムは、インターン生にとって大きな成長の場となりました。専門的なスキルを学びながら、実務への理解を深める貴重な2日間となったのではないでしょうか。
参加学生の声をご紹介!
インターン終了後、参加いただいた学生の皆さんにアンケートにご協力いただきました。
すべてお伝えしたいところですが、今回はインターンならではのリアルな体験を通じて、貴重な学びや発見について特に印象的だった3名の学生の声をご紹介させていただきます。
参加者Aさんの感想
Burp Suiteを用いて自ら検証を進め、実際に脆弱性を突いて挙動を確認する過程では、ツール任せではなく自分の観察力や思考力が問われることを実感しました。 診断後には報告書の作成までを行い、「お客様に伝わる報告」という観点で書くことの重要性を学びました。 レビューを通じて、実際の業務で求められる精度や表現力の水準を知ることができ、自分の改善点や伸びしろを明確にできた点も印象的でした。
参加者Bさんの感想
CTFなどで活躍されているGMO イエラエのパートナーの方々と交流し、キャリアや技術に関する話を伺うことで、自身の将来像をより具体的に描けるようになりました。 エンジニアとして「質の高い診断を効率的に進めるための工夫」や「現場で求められる思考の深さ」に触れ、大きな刺激を受けました。
参加者Cさんの感想
フラッシュメモリの解析など、初めてのハードウェア実習が特に印象に残りました。 フォレンジック課では実機を用いた保全・解析を体験し、CA課ではセキュリティガバナンスを実践的に学びました。 SOC課ではCrowdStrikeを活用した仕組み化された監視体制を知り、セキュリティ業務の幅広さと奥深さを実感しました。 昼食時にはパートナーの方々と気さくにお話しすることができ、働く環境や雰囲気を感じ取る良い機会にもなりました。
パートナーとの交流や実践的な内容が、参加者の皆さんに新しい視点や意欲を与えられる場になったことを嬉しく思います!
2回目の開催で見えた成長と課題。来年はさらに良いインターンへ!
今年のインターンシップでは、昨年よりも内容を充実させ、学生の皆さんにより深くGMO イエラエの業務や文化を体感していただけるプログラムを実施しました。
5日間という限られた時間の中でも、多くの学びや出会いが生まれ、昨年以上に実りあるインターンとなりました。
ただ、まだ2回目の開催ということもあり、「もっとこうしたい」「もっと深く知ってもらいたい」といった想いも残っています。
来年は、今年の経験をもとにさらにパワーアップしたインターンを企画中です。
次回も、多くの学生の皆さんにGMO イエラエの魅力を体感してもらえるよう、進化を続けてまいります!次回の開催もお楽しみに!
Invitation from GMOサイバーセキュリティ byイエラエ株式会社
If this story triggered your interest, have a chat with the team?
【開催レポート】2027年新卒夏のインターンを実施しました
