hosting lolipop ロリポップ へテムル ムームードメイン セキュリティ security

Trust & Safetyチームで配属1カ月目の新卒が奮闘した話

hosting lolipop ロリポップ へテムル ムームードメイン セキュリティ security

新卒エンジニアのyukyanとseijiです!私たちは2022年8月18日からホスティング事業部に配属され、現在はOJTという形でさまざまなチームを回って業務を行っています!

2022年9月30日までの約1カ月間、Trust & Safetyチームでセキュリティに関わる開発を行ったので、取り組んだ業務や工夫したこと、学んだことを紹介します。

Trust & Safety チームとは

ホスティング事業部のサービスを取り巻く人々の安全を守り、社会からサービスに対する信頼を得ることをミッションとしたチームです。イエラエセキュリティがグループにジョインしたことや、セキュリティ課題を解決する組織が必要としたことなどがきっかけとなり、2022年4月に新設されました。

取り組んだ業務

今回のOJTでは、タスクとして運用の効率化と、デバイス認証の実装の2つの選択肢がありました。僕たちは6月から8月に行ったエンジニア研修で学んだWebアプリ開発の知識を生かしたい気持ちもあり、後者のデバイス認証の実装をすることにしました。

デバイス認証の開発

今回のOJTでは、「一度ログインしたデバイスを信頼できるデバイスとして登録する」という開発を行いました。この改修はムームードメイン、ロリポップ、ヘテムルの3サービスを対象に行いました。これにより、セキュリティレベルを落とさずに2段階認証をスキップすることが可能になり、サービスをより快適にご利用いただけるようになりました。

今回の開発は認証に関わる部分なので、いかにセキュリティレベルを落とさずに実装するかが肝でした。アルゴリズムやデータベースの構成、信頼できるデバイスとして登録できる期限の設定、使用するメソッドなどをセキュリティの観点から検討を行い、仕様策定から実装、検証までを全て経験することができました。

SMS認証の様子

工夫したこと

初めて実際に動いているサービスの開発に携わったので、開発に必要な権限の取得方法から、プロダクトに使用されている技術スタックまで、分からないことだらけでした。こうした手探り状態の中で、よりスムーズに業務を進めていくために、いくつか工夫をしながらOJTを行いました。

細かく報告する

ホスティング事業部は拠点が福岡にあり、ほとんどのパートナーが福岡に出勤しています。しかし、私たちは東京オフィス配属であるため、コミュニケーションがすべてオンラインになります。こうした状況下で円滑にコミュニケーションを取りながら業務を進めるためには、きめ細やかな発信が必要になります。

そこで私たちは、Slackのワークフローで毎朝スレッドを立て、そこに現在の状況や、これからしようとしていることを逐一アウトプットし、共有するようにしました。

作業ログの様子

つまずいたところは対策をする

業務を進める上で必要な環境構築などをしていると、ところどころエラーが出てつまずく箇所がありました。原因は、前提となるツールを入れていなかったり、開発環境が使用パソコンのチップに対応していないなどさまざまです。こういった「つまずきポイント」は、積み重なっていくとエンジニアの作業時間をじわじわと奪っていきます。そこで、自分の環境内でのみ暫定的な対応をするのではなく、リポジトリのコードやドキュメント自体に手を加えて根本的な対策をすることで、再発防止を図りました。

ドキュメントを更新した事例

緊急度・重要度を考える

先述のように、つまずいたところは対策するよう心がけていますが、配属して1カ月目の新人となると、わからないことが山ほど出てきます。その全てを解決しようとすると果てしない工数がかかってしまうので、緊急度・重要度を考えて業務に取り組むようにしました。

工数を考えて解決策を提案している様子

学んだこと

このOJTを通して学んだことは大きく分けて2つあります。

ただ開発するだけでは終わらない

設計、開発、検証のみがエンジニアの仕事ではありません。その仕事によって、ユーザーやパートナーにどのような影響があるか考え、お知らせやFAQを出したり、ドキュメントを書くなどの対応が必要であることを学びました。例えば、ユーザーが操作する場所に変更があった場合、突然の仕様変更に戸惑うことのないよう、適切なお知らせを出す必要があります。

他チームに相談している様子

雑談こそ、チーム力向上の鍵

先述のように、コミュニケーションはオンラインが中心であるため、はじめは、お互いを知る機会が不足するのではと不安を感じていました。しかし、OJTが始まってみると、毎回のミーティングなどで必ずと言っていいほど雑談の時間があり、最近興味のある技術や休日の過ごし方など、自然と話すことができました。この時間があったからこそ、気軽に質問や相談ができ、業務を円滑に進めることができたと思います。

雑談の様子1 雑談の様子2

おわりに

2022年1月にイエラエセキュリティがグループにジョインしたこともあり、全社的にセキュリティを高めていこうという動きが活発になっています。実際にセキュリティ学習のためのイベントも定期的に開催されています。

その波に乗って、ペパボのホスティング事業部もセキュリティエンジニアを大募集しています。 この記事でペパボのTrust & Safetyチームの取り組みに興味を持ってくださった方、ご応募お待ちしております!