輪読会で『ハッキングAPI』を読んでいる話

ごきげんよう🙋‍♀️ツクリンクでエンジニアリングマネージャーをやっているあっきー（@kuronekopunk）です。
週1、エンジニアで集まって輪読会を行っています。今回は課題図書『ハッキングAPI』を読んだ話を書きます。

ハッキングAPI ―Web APIを攻撃から守るためのテスト技法

輪読会とは

人々が集まって、同じ教科書などの本を読み、その内容について意見を交わすことを意味する語。事前に決められた担当者が、本の内容を訳したりまとめたりしてから、他の参加者が理解できるように発表する形式がとられることも多い。

Weblio辞書

集まって同じ本を読んで、ディスカッションを行い、一人で読むよりも深く理解できるようにする、共通認識を取るというようなことを目的にしています。

輪読会を始めた背景

これまでエンジニア個人間で技術書やビジネス書などのペア読書（輪読会の2人版）を行っていました。これを会社として推奨し、組織的に技術力を上げていける環境を作るため輪読会を開始しました。
スキルアップ支援制度（技術書やカンファレンス参加費などを支援する制度）を活用し、課題図書購入を支援し技術研鑽を推進しています。
目的をまとめると以下のようになります。

• チーム全体で技術力を上げる

• 読書・学習する習慣を作る

• 課題図書を起点にコミュニケーションをとることで相互理解を深める

輪読会の内容

輪読会は大きく分けて2種類あります。
１．事前読書型
２．当日読書型
引用元：DevelopersIO 本を読む時間がない人必見！〜輪読会の効果を最大限アップするための秘訣〜

今回は参加ハードルを下げ、日々の読書週間を作っていけるように当日読書型としています。
大まかなスケジュールは以下のとおりです。

• ３０分　黙読

• ２５分　本の内容についてディスカッション（学びになったこと、疑問点など）

• ５分　輪読会のふりかえり

『ハッキングAPI』を読んでのディスカッション

今回は１～３章を対象に読みました。
ざっくり出たコメント

• 認証・認可の違いよく分からなくなる

• アプリケーションをレストランで例えていて面白かった

• Webの基礎知識やAPIについての基本的な説明があり勉強になった

• 『Web APIとは』を理解している前提のレベルで話が展開されている感もあったため、いい意味でWeb APIに対する理解のハードルが低くなった気もする。

• Webアプリケーションについて自分は何もわからないことが分かった

• 今回はほとんど読み飛ばしてしまったが、APIの知識が浅いので2章のWeb APIの解剖学は個人的に読んでおきたい

• ユーザー権限が適切でなく機能が使えてしまう『機能レベルの認可不備』

  • 「自分やらかしたことあります」

• ブラックボックス、ホワイトボックス以外にもあるの驚いた

  • グレーボックス、バグバウンティプログラム

• curlコマンド詳しくなったら楽しくハッキングできそう

  • Postman使ってた

• 『複雑さはセキュリティの最大の敵である』良い言葉

• 今後API作っていくので参考にできそう

• ハッカー向けの本だった

• 先日やったセキュリティ診断結果にも通じそう

• Twitter BlueじゃないとSMS認証できないようにした話

  • BotがSMS認証使いまくってコストかかってた

    • これもハッキングとか攻撃っぽい

輪読会のふりかえり

• 時間制限すると本を読みやすい

• 30分で3章はちょっと多かった

• 読むスピードのバランス難しい

• 人が読んで気になった部分の話を聞けるので一人で読むより深く理解できた

• 普段は1ページにじっくり時間をかけて読んでしまうが、時間制限を設けると意外と読めてしまうことに気づけた！

さいごに

継続的に輪読会を実施して、読むハードルが高かった本や、他の人が選んだ自分の選択肢に無かった本を読むことで、組織的に知識を深めていきます。
まだ始めたてなので継続を一番の目標に、そこからさらにアウトプットにつなげたりブラッシュアップしていければと思います。