転職活動
2020年7月現在、転職活動をしています。お気軽にお問い合わせください。
https://docs.google.com/forms/d/e/1FAIpQLSfNuWiDVcCCZ58XjPn2nZIqtYOHo0XAuTMgIZisSYLbfiIcnA/viewform
https://twitter.com/bulkneets/status/1279236615546654720
いわゆる履歴書や職務経歴書
要するに mala とは何者なのか?
プログラマ、デザイナー、ライブドアの残党
専門領域はWebに関わること全般
セキュリティエンジニアとして認識されることを本人は嫌っていますが、そのように認識されることも多いようです
説明が面倒くさい時に自分からsecurity researcherを名乗ることはたまにあります
実績は CVEや、善行からリンクされているページを見てください。
実績
学生、ニート時代
15歳のころにPerl/CGIを覚え始めると、手始めに誰でも編集可能なホームページを作る(wikiという概念は後から知る)
他に以下のようなものを作っていた
投稿フォーム自体を再定義可能な掲示板システム
通知と称して相手にブラクラを送りつけることが出来るリアルタイムチャットシステム
UI研究者/フロントエンドエンジニアとして(2004~ / 2006~ 仕事として)
今日では当たり前に普及しているものから、あまりそうでもないものまで、いくつか重要な発明をWebに持ち込みました。
データの先読みと無限スクロール
JavaScriptによるインクリメンタルサーチ、あいまい検索
ショートカットキーによるWebアプリ操作
サーバーサイドエンジニアとして (2008~)
担当しているサービスのボトルネック調査やチューニング
MySQLチューニング、memcachedを使ったキャッシュ、珍しいものだとBloom Filterを使った重複排除、クエリ削減など
ジョブキューや非同期HTTPクライアントを使ったクローラ作成
セキュリティ(2010ぐらい~)
livedoorの各サービスの面倒を見つつ、全社横断した脆弱性の修正などを行っている
XSSが多発していたため、主にフロントエンドのセキュリティ改善
社外に対しても多数報告
プライバシー、コンプライアンス (2011ぐらい?~)
非公式に、会社が倫理的にまずいことをやろうとしていたら止める係
おい、最近ネットで叩かれてるアレ、うちも似たようなことやっとるやんけ
セキュリティ2 (2014ぐらい~)
フロントエンド以外/クリティカルな問題の発見や報告をすることが多くなる
認証、認可に関わる不具合(Account takeover)
サーバーサイドでの任意コード実行
スマホアプリ上での任意コード実行(メールボックスやアドレス帳を盗み出す等)
Bug Bounty Programの開始後は、報告された全てのバグの緊急度判断(トリアージ)、原因特定、修正方法指示、修正確認などを行っている。
リスクマネジメント等を兼務 (2018~)
SRE的な部署を兼務 (2019~)
コンプライアンス部署を兼務 (2020~)
社内における不正行為、不祥事の調査や事後の対応
「あらゆる事故」の対応サポートや再発防止策のレビュー
緊急対応、脆弱性修正のためのパッチ作成、ログ調査なども含む
社内でも自分が何者なのかよく分かってない人が増えてきたので (User Interface|Front end|Server side|Security|Privacy|Compliance|Risk management|Site reliability|Emergency/Incident response) Engineer を自称するようにする。
能力、何が出来るのか
奇抜なものから無難なものまで、UIやWebアプリケーションのプロトタイピングが出来ます
業務効率化、自動化を好み、実践しています。人並みにプログラミングが出来ます。JavaScriptはかなり得意な方です。
Webアプリケーションのボトルネック調査や改善プランを立てられます。
多くの言語でのバグ発見やコードレビューが出来ます。必要に応じて Erlang でも読みます。(いわゆるlightweight languageの方が得意です)
OpenIDやOAuthなど、認証認可に関わる仕様や、起こりやすい実装ミスや攻撃手法、修正方法に詳しい。
障害対応やセキュリティ侵害事故の緊急対応が出来ます。初動対応の指示、部署間連携、対外公表のサポートまで。
バグや障害の原因特定が早く、圧倒的に正確、的確に対応の指示を出すことが出来ます。
国内法、各国法規制、社会情勢を元に、個人情報の取扱やプライバシーに関するベストプラクティスを提示することが出来ます。
判例が無かったりグレーゾーンなど法務担当者ではよくわからないような案件でも、技術者としての専門知識と確かな知見により、サービス利用者への実影響やリスクを考慮した的確なアドバイスが出来ます。
詳しい
UIやHCIについての研究や発明、Webやアプリのデザインに関して引き出しが多い
ブラウザの仕様や歴史に詳しい
インターネット広告とプライバシーに関する諸問題
インターネットでサービスを運営する上で関係の深い法律(著作権、プロ責法、景品表示法、資金決済法など)
インターネットをメチャクチャよく見ている。ネット上での揉め事、炎上事件、国内外含めたセキュリティやプライバシーに関する事故や動向