FYI

git技術イベント「git challenge」の第6回を2017.9.2に開催します。
エントリお待ちしてます!

と、いうわけで

人事・イノベーションセンター 森本です。こんにちは。

株式会社ミクシィでは、今年もSNS mixiを擬似攻撃できるセキュリティ技術体験イベント「Scrap Challenge」を開催します。

5年めの「卒業生インタビュー」

Scrap Challengeは、2011年に第1回を開催してから今年でもう5年目。今年度(2015)は夏の終わりの2015/8/29からスタート。概算11回めの「スクチャレ」です。

今日は、今年度の開催のご案内に加え、Scrap Challengeでミクシィのエンジニアリングに触れ、そして2015年春に入社された新卒エンジニアのお二人にお話を伺ってみます。

森本: お忙しいところどうも。実は、去年の暮れごろにもmixi Engineers' BlogでScrap Challenge経由で入社したみなさんへのインタビューをしたばかりなんですが、

今年の春にまたお二人が「スクチャレ卒業生」として入社されたこともあり、改めてお話を伺ってみたいなと、お時間をいただきました。今日はどうもありがとうございます。

辻: いえいえ。こちらこそありがとうございます。

中西: ありがとうございます!

今年のスクチャレ卒業生

森本: というわけで、まずは簡単なプロファイルからお伺いしていきますね。出身校と学科、加えてどんなことを専攻してらっしゃったか、教えてください。

中西: 京都大学大学院 情報学研究科 システム科学専攻で、主に機械学習系にまつわることを研究していました。

辻: 立命館大学 大学院 情報理工学専攻 計算機科学コースです。研究内容はデータマイニング系です。

森本: お二人が参加されたのは2013年の冬のScrap Challengeですよね。

この、Scrap Challengeというイベントをそもそも知ったきっかけは何でしょう?

中西: (2人とも少し考えこむ) このイベントのこと自体はもともと知ってました。知ったきっかけがなんだろうと言うと…… 第1回が開催されたときのtweetが出回ってたのを見たのかもしれません。
その上で、ミクシィに就活エントリーしたとき、Scrap Challenge開催のお知らせをいただいたので、申し込んで参加しました。

辻: 僕も事前に知ってました。知ったきっかけまでは覚えてないのですが…… たぶんネットのセキュリティ関係の記事か何かだったかな? で、後輩を誘って、一緒に参加しました。

森本: 実際に攻撃に加わってみて、面白かったところ、あるいは簡単・難しかったあたりなど教えてください。

コンビネーション・アタックのおもしろさ

中西: チームの3人のコンビネーションで解くのが面白かったです。

最初のうちは出題された問題をチームメンバーひとりずつで担当し、問1は君、問2は僕、という感じで割り振って進めていたのですが、割とセキュリティ攻撃の初心者が多かったので、分からないところを教えあいつつも、なかなか進まず……

で、途中から戦術を変更して、3人共同で問題にアタックするようにしました。そうしたら、知見やアイディアの出し合いがうまく行って、謎がどんどん解けはじめ……

それから攻略も進むようになっていったんです。チューターのかたにも、技術的に分からないところをどんどん聞いたり。

中西: あと、アタックの後の懇親会も面白かったです。イベントのあいだ技術チューターをやってくださったエンジニア社員のみなさんや、ほか懇親会だけ駆けつけてきてくれた方もいらして、とにかくフランクにいろんな人と喋れたのが良かったです。社内の空気がすごくよく分かりました。

森本: なるほど。実際にサイトを攻撃してみたりするのははじめて?

中西: 初めてです。知識では知っていましたが、実際に実在サイトを解析して穴を探したり、さらに攻撃したりするのは初めてでした。

辻: 僕は、以前からバイト先で、暇をみては攻撃はしてました(笑)

攻撃先は自分たちで開発している成果物のステージングサイトで、実際の攻撃の被害に遭わないよう脆弱性を探しておく、hardening目的ですね。
いろんな手法がわかってくると、攻撃まではしなくても、いろんなサイトのHTML, JavaScriptとかソースをふと見てみたり、とあるコンテンツ配信サービスで任意のアイテムを購入させられる脆弱性を見つけたり…… もちろん、見つけた脆弱性はIPA経由で報告しましたよ。

他には、著名なグループウェアの本物の穴を見つけるというイベントにも参加しました。

森本: セキュリティ強化や知識向上に力を入れてらっしゃるところですよね。辻さんチームは優勝チームになっただけあって、割とガチな戦いをしてたんですね!

辻: ここでひと暴れしてやろうみたいな(笑) 戦闘力高そうなチームメイトが揃ってました。XSSに強い人や、他にもSQL Injectionに強いチームメイトがいたり。
戦い方も、まずはSkypeでルーム作って、攻略コードの共有もそこで行ったり。結果として優勝チームにさせていただきました!

今年の夏へのアドバイス

森本: なるほど! 主催側の僕らも、そのへんのチーム間の情報共有がしんどそうだなと思って、その後はScrap Challenge参加者専用Slackを前もって用意するようにしたんですよ。
今年度のScrap Challengeは、夏の終わりの2015.8.29が第1回なんですが、参加するかたへのお勧めやアドバイスってありますか?

中西: 基本はとにかく徳丸本を読んでおけ! ですね。ある程度予習・準備していたほうが当日楽しめます。 

体系的に学ぶ 安全なWebアプリケーションの作り方　脆弱性が生まれる原理と対策の実践

• 作者: 徳丸浩
• 出版社/メーカー: ソフトバンククリエイティブ
• 発売日: 2011/03/03
• メディア: 大型本
• 購入: 119人 クリック: 4,283回
• この商品を含むブログ (144件) を見る

 

辻: アタックする競技ではありますが、たぶん楽しんでもらうのが一番です。チーム構成も当日アサインされるし、ハンズオン的なイベントなので、気負わないで参加してみるといいと思います。

予習としては、本を読んでおくのもいいし、可能なら、穴のあるWebアプリを作って、それを自分で攻撃してみるとか。

森本: ありがとうございます!

辻: 学生対象のセキュリティ・イベントってなかなかないし、そうした数少ない中でScrap Challengeは参加の敷居も低いほうだと思います。
でも内容はしっかりしてますし、貴重な体験ができると思います。ネットサービス開発の登竜門みたいになっていけると楽しいですね!

中西: あのころはまだ全然攻略問題を解けなかったけど、その後入社して、こうして今年はチューター役にまわります。成長できますよ!(笑)
参加される学生さんと会えるのも楽しみです。ぜひ参加してね!

渋谷でお待ちしてます。

というわけで、5年めを迎えたScrap Challengeの通算11回め、今年度の第1回開催は2015/8/29(土)です。
ランチ・懇親会に加え、遠隔地の方には交通費の補助もございます。
みなさんぜひ今年の夏は、普通はできない「たのしく、やばい」コンピューティングを渋谷で体験してみてください。お待ちしています!

こんにちは。15新卒デザイナーの豊島です。

5月24日に「POStudy Day 2015 Spring in Tokyo 〜顧客価値の再定義：新しい価値を見つけ出すための一日〜」というイベントが弊社で行われました。今回の記事では、参加者として学んだことや気づいたことについて、ご紹介させていただきます。

POStudyとは?

プロダクトオーナーシップ勉強会のことです。プロダクトオーナーシップはプロダクトの責任者だけのものと思われがちですが、本来はプロダクトに関わるメンバー全員のものであり、「自分ごと」として捉える必要があります。

POStudyでは、実際に手を動かすことで、新しい発見や気づきを得ることができるような場をメンバー間で作っていきます。今回のテーマは「顧客価値の再定義」ということで、様々なフレームワークを試しながら、グループで議論しました。

タイムスケジュール

09:30 - 09:50　オープニング

09:50 - 14:00　顧客への提供価値を考える（製品企画）

14:00 - 16:30　顧客への提供価値を重視したビジネスモデルを考える（ビジネス企画）

16:30 - 19:00　顧客への提供価値を重視したユーザーストーリーを考える（製品設計）

19:00 - 19:30　振り返り＆ディスカッション

19:30 - 20:00　クロージング

フレームワーク

今回のイベントでは、5つのフレームワークに沿って作業しました。毎回フレームワークの使い方について説明があり、各グループで作業するという流れでした。

1. カスタマージャーニーマップ
2. バリュープロポジションキャンバス
3. ビジネスモデルキャンバス
4. ピクト図解
5. ユーザーストーリーマッピング

この中で特に興味を持ったのは、バリュープロポジションキャンバスです。バリュープロポジションとは独自価値のことで、JTBD (Job to be done)という顧客が実行したいことをベースに「誰にどんな価値を提供するか」を考えます。この顧客が誰か、というところで価値は変わってきます。

このように、バリュープロポジションキャンバスには四角と丸を使います。提案する価値は論理的であるため四角で表し、顧客セグメントは感情的であるため丸で表します。

提案する価値（四角）に含まれること：

• Product & Service : 提供する製品・サービス
• Creator : 顧客にとって嬉しいことを増やす
• Reliever : 顧客にとって嫌なことを減らす

顧客セグメント（丸）に含まれること：

• Gain : 顧客にとって嬉しいこと
• Pain : 顧客にとって嫌なこと
• Job : 顧客がしたいこと

埋める順番は、丸⇒四角です。まず顧客のしたいことを考えて、それを元に嫌なこと、嬉しいことを考えると丸が埋まります。顧客のしたいことを元に、製品・サービスとして提供できることを考えて、嫌なことを減らす方法、嬉しいことを増やす方法を考えると四角が埋まります。両方できたら、丸⇔四角が合致しているか見比べます。 

バリュープロポジションキャンバスを使うことで、とてもシンプルにまとめることができました。慣れれば頭の中で出せるようになってくるそうです。また、他のフレームワークと連携させることもでき、例えばバリュープロポジションキャンバスのGainとPainがジャーニーマップの感情曲線とリンクしていたり、バリュープロポジションキャンバスの四角がビジネスモデルのキャンバスのVP（価値提案）、丸がCS（顧客セグメント）と同じだということを知りました。 

ワークが全ておわってから、集合写真を撮りました。様々なバックグラウンドを持ったメンバーが集まってグループになっていたので、視野が広がって面白かったです。

学んだこと

フレームワークを理解するためには、手を動かして実際にやってみることが大切だということが分かりました。さらにそれを使いこなすためには繰り返し使って、慣れておくことが必要なので、これからも使い続けていきたいです。

グループで作業をしてみて気づいたのは、共通認識を作ることが必要だということです。議論している内容がずれていた、ということにならないためにも、言葉の定義を確認したり、いつでも振り返ることができるように可視化しておくことが大切だと分かりました。

参考になるスライド

このイベントで使われていたスライドは、SlideShareに公開されています。

他にも、講師の方々が過去のイベントで使われていたスライドも公開されています。

参考になる記事

各フレームワークについて紹介している記事があるので、興味を持った方はぜひチェックしてみてください。

ワークシートをダウンロードできるサイトもあります。

お知らせ

POStudyに参加してみたい！という方は、毎回Doorkeeperから募集しているので、ぜひご参加ください。次回は7月11日と7月12日に行われます！

弊社にも遊びにきてください！

こんにちは。SNS mixi の JavaScripter、kuniwak です。

新しい仲間たちが入社する季節になりましたね。

さて、ミクシィを支えるエンジニアが作成した JavaScript 研修の資料を Github にて公開しました。 ミクシィは 2013年から研修資料を公開していましたが、今年は JavaScript の進化に合わせて内容を刷新しています！

2015年度の JavaScript 研修は、Web アプリケーションの部品（モジュール）をつくれるようにすることを目標とした、実践的な研修として計画されました。

JavaScript 研修のために与えられた期間は2日ということもあり、MVC や Flux といった設計方面の話題には踏み込めていませんが、Promise、Fetch API、Bower など、現在・未来のフロントエンド開発に必須の要素を盛り込んだ最新のJavaScriptの研修資料となっています。

資料の目次

• セットアップ
• JavaScriptとは
• JavaScript に会いにいこう
• 開発環境道場
• トレーニング
  • ステージ1 DOM 要素を取得するトレーニング
  • ステージ2 DOM 要素の属性・テキストを変更するトレーニング
  • ステージ3 DOM の構造を変更するトレーニング
  • ステージ4 DOM イベントを利用するトレーニング
  • ステージ5 非同期処理のトレーニング
  • ステージ6 モジュールを実装するトレーニング
  • ステージ7 よくあるイディオムを読むトレーニング
  • 解答・解説について

資料の全体は、mixi-inc/JavaScriptTraining からご覧いただけます。

内容に盛り込めたこと

Custom Elements + CSS Animation

すでに Stage1 に挑んだ方は、唐突に現れる「アレ」に驚いたかもしれません。 実は「アレ」は Custom Elements + CSS Animation によって実現されています。

この Custom Elements は、Web ページの再利用性を高めることを目的とした新しい技術のひとつです。また、CSS Animation は CSS で実現できるアニメーション技術です。

これらの技術の利用に至った理由をまとめると、Elements タブから意図した HTML タグを見つける方法も学んで欲しい、ということになります。

Stage1 では、ほとんどが開発ツールのインスペクター（虫眼鏡のアイコンのツール）で見たい情報を調べることができます。しかし、ときにインスペクターでは捕捉できない要素（不可視・アニメーションしている要素）の調査をしなければならない状況に出くわすこともあります。その場合は、開発ツールの「Elements」タブから、地道に HTML タグを辿っていくことになるでしょう。この状況を体験してもらいたいという意図があって、簡単にはわからない目印 + インスペクターでは捉えられない要素といった、2つの条件を満たすべく、Custom Elements と CSS Animation を採用しました。

ES6 Promise + Fetch API

Stage5 では、ECMAScript 6 の目玉機能のひとつである Promise のトレーニングを盛り込みました。これからの JavaScript は Promise 抜きに語れない時代になりつつあります。

早い段階で Promise に触れておくことで、Fetch API などがやってきた場合に備えておこう、という意図があるわけです。

Lint の教育的活用

私は VimScript の Lint である「Vint」の開発者であるということもあって、Lint について強い信念があります。

Lint には2つの目的があるのですが、そのうちのひとつがミスの発生しやすいコードの指摘です。 JavaScript の言語仕様には多くの罠が潜んでおり、初心者はミスの発生しやすいコードを書いてしまいがちです。しかし、ESLint、JSHint、JSLint といった素晴らしい Lint たちが、ミスの発生しやすい箇所を指摘してくれます。 Lint 開発者にとっては、初心者にこそ Lint を使ってもらいたいのです。

このトレーニングでは、ステージクリア後に下のコマンドを実行すると Lint が実行できます。 ステージのクリア後には、ぜひ Lint を試してみてください！

gulp lint-stage1

内容に盛り込めなかったこと

ECMAScript 6 の構文たち

じつは ECMAScript 6 を使った内容にしようかどうか非常に悩みました。JavaScript の未来を見据えるのであれば、prototype を使った継承よりも class 構文を使った継承を優先的にレクチャーするべきだからです。最近は信頼できる ECMAScript 6 transpiler が複数公開されているため、導入も容易です。

ただ、これにはデバッグがしづらくなるという問題点があり、泣く泣く断念しました。 デバッグ難度がさほど変わらない Proimise や Fetch API については、Polyfill を使って利用できるようにしています。

ところで、ミクシィはなぜ研修資料をつくるのか

プログラミング言語としての JavaScript を学ぶのであれば、よい書籍・Webサイトがたくさんあります。しかし、私はこれらの資料がデバッグについての視点に乏しいことに不満をもっていました。 開発にはデバッグがつきものなのですから、Chrome や Firefox などの「開発ツール」によるデバッグを含めなければ、最前線で Web アプリケーションを開発できるレベルまで到達できないと考えていたのです。

また、JavaScript は進歩がとても速い言語ですから、時期にあわせて適切な内容であることも必要だと考えていました。たとえば、これまで Ajax （非同期通信）といえば XMLHttpRequest でしたが、これからは Fetch API を使って実現することになっていくことでしょう。これを見越して、非同期通信のトレーニングでは Fetch API などのこれからの技術を使いたいと考えました。

そしてもうひとつ、ミクシィの Ruby や Perl の研修資料がわかりやすい秘訣のひとつが、テストをクリアしていく形式だったということがあげられます。2013年の資料ではテストをクリアしていく形式ではありませんでした。

これらの背景を整理すると、私が研修資料に求めた条件は以下の3点でした。

• 開発ツールのトレーニングにも重点をおいている
• 未来の JavaScript を見据えている
• テストを解いていく形式になっている

私の調査した限り、これを満たす資料は存在しませんでした。

欲しいものがないならつくるのがエンジニアですので、つくることにしたというわけなのです。

むすびに

ミクシィの JavaScript 研修資料を自習等にご活用いただいて構いません。

内容に誤り等あれば、お気軽にご指摘ください。 Issue や Pull Request からでも対応いたします。

See Also

株式会社ミクシィや、このエンジニアブログでは、以下のような教材資料もご提供しています。ぜひご利用ください!