はてなブックマーク

こんにちは、WealthNaviでバックエンド開発を行っている藤原です。 今回は「真夏の怪談!ひやりハット特集」ということで入社してから初めてやらかした事件についてお話しさせていただきます。 タイトルで察する方もいらっしゃるかもしれませんが、デプロイ関係のインシデントがテーマとなっています。 この記事を読んでほしい対象者 コンテナイメージをECRで管理している方及び企業。 WealthNaviに入社したい若手エンジニアの方。 事件が起きるまでのいきさつ その日は突然やってくる。Fさんはその日、とあるAPIの改修を行っていました。 改修を終えた後、変更内容をステージング環境でテストしようと、イメージをビルドするパイプラインを実行しました。完了には時間がかかるため、パイプラインが走る間に昼食を取りに行きました。 1時間後、オフィスに戻ってきたFさんは、何やら周りがざわついていることに気づきまし

こんにちは、QAの木下です。 この記事では、ネイティブモバイルアプリのE2Eテストの自動化に挑戦した話について、紹介します。 モバイルアプリに対して、テストの自動化を目指した経緯 テスト自動化の現状と課題 ウェルスナビでは、会社の成長とともに、取り扱うプロダクトの数が増加しています。 QAチームは、プロダクト数の増加を受けて、チームメンバー増強の採用活動を強化するとともに、テストの省力化・効率化を目的とした自動化に注力してきました。 現在は、Webサイトに対するE2Eテストを行えるテストツールPlaywrightを導入し、膨大なテストケースを省力かつ高速に実行し、不具合を早期に検知でき、テスト実行の自動化の効果を実感しています。 一方、モバイルアプリは、これまで商用サービスのE2Eテストツールを採用していたものの、すべての業務に対するテストケースを作成できず、またテスト実行でflakyさが

はじめに サイバーセキュリティチームに所属している宮﨑です。 普段は、CSIRT/SOC業務を中心に、インシデントレスポンスへの対応強化や各種ログ分析等の業務に従事しております。 今回は社内にマルウェア解析環境を作成し、当社従業員宛に届いたフィッシングメールを解析した結果を紹介いたします。 また、解析環境を事業会社で構築するにあたりどのような機器や製品を調達したのかもあわせて共有させていただきます。 対象読者 本記事では以下の方を対象読者として記載しております。 事業会社でマルウェア解析・フィッシングサイト調査ができる環境を用意したいと考えている方 事業会社でマルウェア解析環境を用意した際のメリットを知りたい方 事業会社でマルウェア解析環境を作りたいけど、どのようなスキル・環境を用意すべきかわからない方 注意点 本ブログで紹介しているマルウェア解析は、当社宛に送付されたマルウェアの影響を調

こんにちは、インフラエンジニアの和田です。 弊社は、WEBアプリケーションおよびバッチ処理の実行基盤として Amazon Elastic Container Service(以下「ECS」と呼ぶ) を採用しています。現在では複数チームの開発者が 100 を超えるタスク定義を運用する規模にまで拡大しています。この記事では、増え続けるECS定義をモノレポとエスプレスタック(ecspresso/ecschedule)で管理した事例を紹介します。 ECSの運用で発生した悩み ECSを利用する開発者やアプリケーション数が増えるにつれ、下記のような悩みをよく見かけるようになりました。 ECSやタスク定義の設定が煩雑で開発速度が落ちる なぜか起動失敗(基本は設定の誤りや漏れだが、いろんなパターンがある) 監視エージェントをサイドカーとして使用する場合の設定内容が難しい バッチ処理を定期実行する方法を毎回

こんにちは、QAの木下です。 この記事では、E2E自動テスト環境の改善に成功した話について、紹介します。 E2E自動テストツール導入時からの変化 現行のE2E自動テストツールの課題 ウェルスナビで実施しているリグレッションテストは、企業が提供するE2E自動テストツールを利用する前提で、テストケースやテストシナリオを作成していました。 そのためテストケースやテストシナリオが、ベンダーロックイン状態となっていて、企業でサービスに対して大きな変更が行われた場合、ウェルスナビでのテスト実施に大きな影響がありました。 もしE2E自動テストツールの利用ができなくなった場合、手動でリグレッションテストを実施する必要があります。 しかし、現在のウェルスナビでのリグレッションテストは、E2E自動テストツールを導入する前と比較して、対象のWebサイトが提携企業の増加とともに大きく増えているため、テスト対象の範

サイバーセキュリティチーム マネージャーの岡地です 前回のブログで、当社のサイバーセキュリティチームの目指す姿〈Vision〉と戦略について記載し、思いのほか多くの反応を頂きありがとうございました。今回は、事業会社、特にウェルスナビにおいてセキュリティ担当に求められる〈Value〉について考えてみました。 事業会社におけるセキュリティ担当の存在意義 セキュリティに関する需要の高まりは多くの方が感じているかと思いますが、仕事にする場合、様々な選択肢があります。その中で、事業会社の中の人間としてセキュリティに携わる意義について考えてみます。 1.セキュリティマネジメントの最適解を考え続ける存在 例えば以下のイメージでは、セキュリティに関する仕事がわかりやすく整理されていて、大きく3つの色で分類されています。この中で事業会社に存在する仕事は青のポジションを中心に、緑のポジションもところどころ内製

前回のブログ冒頭で記載した通り、弊社では今年からサイバーセキュリティチームを立ち上げました。今回はチーム立ち上げにあたって考えたことを共有します。 目指す姿〈Vision〉 目についた課題に対処するだけでは中長期的な成長は望めません。チームとして目指すべき到達点、Visionが抽象的なレベルでもあると、活動の軸になりますし、チームとして自分たちが前進していることを実感できると思います。 では、どういったVisionがよいか。当チームでは、『The Sliding Scale of Cyber Security』[1]を採用しました。このモデルではサイバーセキュリティの防御態勢を大きく5段階で表現しており、チームとして目指すべき姿を認識するうえで良いモデルだなと感じています。当社では少しだけ表現を変え[2]、下の絵のようにしました。 このうち、Offenceは事業会社としてはNGですので、そ

はじめに こんにちは、ウェルスナビの深田です。 普段は、社内 IT・社内セキュリティ(いわゆる情シスやコーポレート IT )を担当しています。 2018年11月にウェルスナビに入社し、現オフィスへの移転、上場対応、ゼロトラストセキュリティプロジェクト等を対応し現在に至ります。 直近では今秋に移転予定のオフィスに関する IT 全般(ネットワーク、監視カメラ、入退室システム、PBX 等)を担当しています。 本記事では、Slack AI の概要や導入の経緯、実際に Slack AI を導入したあとの感想等を記載します。 同じ課題を持たれる方の参考になれば幸いです。 対象読者 Slack AI に興味がある方 Slack AI の導入に踏み切れない方 特に導入に踏み切れない方が多いのではないかと推察しています。 現状まだまだ情報が少なかったり、Slack AI のトライアルは NG だったり、Sl

サイバーセキュリティチームでマネージャーをしている岡地と申します。本記事では、いま話題(!?)の脅威モデリングを参考に実施した、社内のセキュリティリスク分析について紹介させて頂きます。 サイバーセキュリティチームについて 私は2022年12月にウェルスナビにジョインし、2023年はコーポレートIT部門でセキュリティ担当として従事してきました。2024年1月からサイバーセキュリティチームとして独立し、チーム戦略の策定から始めているのですが、その中で改めて感じたのが、自社のリスク認識の解像度が不十分だということです。別の表現でいうと、自社のセキュリティのカタチがいまいちわからない状態でした。 この段階でも、過去からの経緯で認識できている課題や昨今のトレンドを踏まえた計画の策定も可能ではあるのですが、より精度の高い戦略を立てるためには、自社環境に対する解像度を上げる必要があると感じました。 自社