2023セミナーレビュー①「セキュリティ・企画力・ドキュメントの基本とノウハウを解説」

どんなセミナーか？

プログラマーとして、コードをかけるようになることは重要です。しかし、＋アルファの武器を持つと仕事の幅が広がると考えています。
そこで、今回は若手PHPerの方を対象（若手の方でなくても参加できます）に、各分野のトップランナーの方を迎えて、セキュリティ、企画力、ドキュメント（お客様向けと後続のエンジニア向けの両面）の基本とノウハウを解説するセミナーを開催することにいたしました。
セキュリティに関しては国内のＷｅｂセキュリティの第一人者である徳丸先生にご登壇いただき、「Webセキュリティの基本のキ（PHPプログラマー1年目の人、初学者の人に知ってほしい事）」について解説いただきます。企画力に関しては、企画力と企画書の教科書の著者でもあり、PHP技術者認定機構理事長の吉政忠志が解説します。そして、ドキュメントに関しては当機構CTOの古庄親方、エバンジェリストの三雲勇二が解説します。

受講しようと思ったきっかけ

業務では、要件定義→プログラムを書く→テストの繰り返しだが、そもそものシステム・機能面でのセキュリティについて考えられていないと感じたため。
また、今まで企画からPJを行ったことはないので、どのようにして企画されているのかを知りたいと思った。
ドキュメントに関しては、いつもなんとなく書いていることが多いので、わかりやすく書くポイントを知りたいと思った。

感想

受講時に知りたいと思っていた内容が分かりやすく学べてよかった。セキュリティの内容は特に、もっと早く知っておくべきだったと思った

学んだこと（セキュリティ関連）

• HTMLやJavaScriptのみのバリデーション（max,minなどフロントで改ざん可能なもの）は攻撃者は回避可能なため、必ずバックエンド側でも行うようにする

• ログイン状態の保持等で機密情報（IDやPW、個人情報）をCookieに直接保存することはNG→セッションに保持

• XSSの対策として、検索キーワードなどにHTMLはエスケープする
  PHPではhtmlspecialcharsを使用するとよい

学んだこと（企画力関連）

• 採用されやすい企画書の基本ロジック３点：「主張」「理由づけ」「データによる証明」

• 「主張」は、個人的にやりたいことの主張ではなく、会社や組織　の活動が好転する主張を書くようにする

• 戦略策定手法：「SWOT分析」「３C分析」「PEST分析」「５Fs分析」

学んだこと（ドキュメント）

• 同じエンジニアでも分野などによって言葉の意味が異なる場合がある
  （例：デフォルト、PHPなど）

• ドキュメントの目的を明確にする
  仕様書→成果物をその通りに作成してほしい
  コーディング規約→コードの書き方を統一したい
  報告書→問題から原因をみつけ、対応方法をかくにんしたい

• 報告書の記載優先順位
  問題→結論→原因再発防止策→調査内容→予想

• 事実と予想は分けて書く

• ドキュメントを自動化（docstringからコード仕様書を作成することができる）

• ポピュラーな納品物の種類
  PFP（提案依頼書）
  要求・要件定義書（要求はやりたいこと・要件はどう作るか）
  インフラ周り（インフラ設計書、ネットワーク構成図など）
  DB周り（ER図、テーブル定義書など）
  設計周り（クラス図、シーケンス図など）
  画面周り（UI設計書など）
  テスト周り（テスト仕様書、テスト報告書など）
  運用周り（運用マニュアル、操作マニュアルなど）