こんにちは。 Da Vinci Studio サーバー部の長嶺です。

当社ではチャットツールとして Slack を利用しています。Da Vinci Studio のワークスペースにも多くの Slack Bot やアプリが追加されており、日々の小さな雑務を自動化しています。 会議の定期連絡など、普段手動で行っている小さなタスクは自動化してしまうことで、うっかり忘れてしまうことも防げるようになり、さらに本来そのタスクに使っていた時間を別の作業に利用できます。

Bot そのものを実装するのにある程度の時間はかかりますが、実装にかかった時間以上に大きな恩恵を受けることができると思います。

そこで今回は、毎週の会議の前にファシリテーターと議事録担当者を通知してくれる Slack Bot を作成したので紹介します。 GAS(Google App Script) と Slack API, Google スプレッドシートの3つを用いることで簡単に作成ができます。

作成したもの

毎週の会議の前にファシリテーターと議事録担当者をお知らせしてくれる Bot です。 プロジェクト参加メンバー内で役割をローテーションしており、次回の各自の担当を Slack メンションで教えてくれます。

手順

大まかな手順は以下です。

1. Slack App の作成
2. GAS Script の作成
3. GAS へ Slack App ライブラリを導入
4. GAS から Slack API を叩く
5. GAS を定期実行するトリガーの追加

Slack App の作成

まずはじめに、Slack apiのページ から「 Create an App 」をクリックし、 Slack App を新規作成します。

クリックするとモーダルが出現します。今回は From scratch を選択します。 From an app manifest をクリックすると、アプリの構成を YAML 形式で記述できるようです。manifest は Slack アプリの設定のようなものだそうです。

アプリの名前と、 Slack ワークスペースをそれぞれ入力し、 「 Create App 」をクリックしてアプリを作成します。

アプリを作成すると、基本情報が表示されるページへ遷移します。 次に、アプリに Slack ワークスペースを操作するのに必要な権限を与えてあげます。 サイドバーから OAuth & Permissions を選択し、権限設定ページを開きます。

下にスクロールし、 Scopes の設定項目へ行きます。 Bot Token Scopes の項目に設定を追加します。 「 Add an OAuth Scope 」のボタンをクリックし、 chat:write を選択し追加します。これで、チャンネルへのメッセージ送信の権限が与えられました。

※Bot Token Scopes と User Token Scopes の項目があるので注意してください。今回設定を追加するのは Bot Token Scopes の方です。

ワークスペースにアプリをインストールします。 同ページの1番上に戻り、「 Install to Workspace 」をクリックしてください。すると、 Slack の連携確認画面へ遷移します。

内容を確認して問題がなければ、「許可する」をクリックします。 これでワークスペースへのインストールが完了です。

連携が完了すると再び OAuth & Permissions の画面へ遷移します。 そこで Bot User OAuth Token が発行されているかと思います。これは後ほど GAS Script の方で使用しますので、コピーしておいてください。

アプリに与える権限を変更するたびに、ワークスペースへの再インストールが必要となります。再インストールするたびに Bot User OAuth Token も変更されるため、トークンを利用している箇所は更新してあげる必要があります。

GAS Script　の作成

次に GAS Script を作成していきます。 今回は、データを Google スプレッドシートで管理したいため、はじめにスプレッドシートを新規作成します。

保存したいデータをスプレッドシートに入力します。 1行目をヘッダ(カラム名)、2行目以降をレコードとして扱っています。 今回は通知させたい Slack ユーザーのメンバー ID , 定例での役割(ファシリテーター、書記など)、名前を保持しています。

続いて、GAS Scriptを作成します。 「拡張機能」から「 Apps Script 」をクリックします。 クリックすると、 Apps Script のページが開かれ、 GAS が作成されます。

GAS の コード.gs 内にコードを記述します。 スクリプトの中身全体はこんな感じです。リファクタリングの余地が多々あるところはお許しください🙏

function getFacilitator(ranges) {
  const facilitator = ranges.find(range => range[1] === 'facilitator');
  return facilitator[0];
}

function getSecretary(ranges) {
  const secretary = ranges.find(range => range[1] === 'secretary');
  return secretary[0];
}

function updatePosition(sh, ranges) {
  const position = ranges.map(range => [range[1]]);
  // 書記→ファシリ→休みの順番で巡回
  const lastPosition = position.pop();
  position.unshift(lastPosition);
  sh.getRange("B2:B4").setValues(position); // 定例参加メンバーが変わったらここの範囲を変更する
}

function sheet() {
  const ss = SpreadsheetApp.getActiveSpreadsheet();
  const sh = ss.getSheets()[0];
  return sh
}

function getMessage(ranges) {
  const facilitator = getFacilitator(ranges);
  const secratary = getSecretary(ranges);
  return `次回定例\nアジェンダ作成＆ファシリ: ${facilitator},\n 議事録: ${secratary}`;
}

function postSlackbot(message) {
  //SlackAPIで登録したボットのトークンを設定する
  let token = "xoxb-xxxxxxxxx-xxxxxxxxx-xxxxxxxxxxxx";
  //ライブラリから導入したSlackAppを定義し、トークンを設定する
  let slackApp = SlackApp.create(token);
  //Slackボットがメッセージを投稿するチャンネルを定義する
  let channelId = "#slack_channel_name";
 
  //SlackAppオブジェクトのpostMessageメソッドでボット投稿を行う
  slackApp.postMessage(channelId, message);
}

function main() {
  const sh = sheet();
  const ranges = sh.getRange("A2:B4").getValues(); // 定例参加メンバーが変わったらここの範囲を追加する
  const message = getMessage(ranges);
  postSlackbot(message);
  updatePosition(sh, ranges);
}

処理の流れとしては、以下のようになっています。

1. スプレッドシートを読み込む
2. ファシリテーターと書記のメンバーを選出
3. Slack へメッセージを送信
4. シートを更新

GAS へ　SlackApp ライブラリを導入する

GAS から Slack API を叩くには、 SlackApp のライブラリを導入すると簡単にできます。 サイドバーのライブラリ(+)をクリックします。

スクリプトIDの入力を求められるので、

SlackApp のスクリプト ID：1on93YOYfSmV92R5q59NpKmsyWIQD8qnoLYk-gkQBI92C58SPyA2x1-bq

を入力して、「検索」をクリックしてください。

すると、 SlackApp が検索されるので、最新のバージョンであるかを確認し、「追加」をクリックします。 今回はバージョン22を利用します。

AppSciprt のエディタページサイドバーのライブラリの下に SlackApp が追加されていることが確認できるかと思います。これでライブラリの導入は完了です。

Slack API を叩いてチャンネルにメッセージを送信する

GAS で以下のように記述すると、 SlackApp ライブラリ経由で Slack API を叩いてメッセージを送信できます。

前提として、 SlackApp が作成されており、アプリに必要な権限が与えられていることが必要です。 token には、 SlackApp をインストールした際に取得した Bot User OAuth Token を入力してください。

初回実行時に「承認が必要です」と確認を求められることがあると思うので、その場合は権限を確認して許可をしてください。

function postSlackbot(message) {
  //SlackAPIで登録したボットのトークンを設定する
  let token = "xoxb-xxxxxxxxx-xxxxxxxxx-xxxxxxxxxxxx";
  //ライブラリから導入したSlackAppを定義し、トークンを設定する
  let slackApp = SlackApp.create(token);
  //Slackボットがメッセージを投稿するチャンネルを定義する
  let channelId = "#slack_channel_name";

  //SlackAppオブジェクトのpostMessageメソッドでボット投稿を行う
  slackApp.postMessage(channelId, message);
}

Slack 側ではチャンネルにアプリを追加する必要があります。 Slack でアプリを検索し、「チャンネルにこのアプリを追加する」から追加したいチャンネル名を選択して、アプリを追加してください。

GAS を定期実行するトリガーの追加

ここまでの実装で、GAS から Slack の特定チャンネルへメッセージを送信できました。 今回は定例の前にメッセージを送信してお知らせして欲しいので、このコードを定期実行させたいです。

これは GAS のトリガーを設定してあげることで実現できます。 GAS エディターページのサイドバーからトリガーを選択します。

ページ右下にある「トリガーを追加」をクリックし、トリガー追加モーダルを表示します。

今回実行して欲しい関数は main なので、 main を選択します。 実行するデプロイは Head のままで大丈夫です。

「イベントのソースを選択」で「時間主導型」を選択すると、時間ベースのトリガーのタイプを選択するフォームが出現します。 今回は週1回のペースで通知して欲しいので、「週ベースのタイマー」、「毎週火曜日」、「午後3~4時」を選択します。

最後に「保存」をクリックすることで、トリガーの設定が完了です！

これで、Slack チャンネルに定期通知してくれる Bot を作ることができました！🎉

さいごに

GAS(Google App Script) と Slack API, Google スプレッドシートの3つを用いた Bot の作成について紹介しました。 定期的にリマインドしたい、カレンダーと連携したい、などの需要がある場合にこの Bot を作成すると、効果が得られそうです。スプレッドシートでデータを管理できるので、メンバーに変化があった際も操作しやすいですし、社内のメンバーが触れる場所に置いておけるのも良いところだなと思いました！ 普段タスクに起こすほどでもないけど地味にやっている小さい業務などは自動化のチャンスなので、機会があれば取り組んでいきたいです。

なお、Da Vinci Studioでは本ブログの他、 デザイン部が発信するnoteやサービスの開発ストーリーもあるので、こちらもぜひ読んでみてください。

Da Vinci Studio では一緒に働ける仲間を絶賛募集中です。 興味のある方は こちら か recruit@da-vinci-studio.net までご連絡ください。

Da Vinci Studio インフラ基盤部の坪井です。 当社では、セキュリティ人材の会というセキュリティを学び実践する会が存在します。 活動を始めて1年半以上が経ちました。この会で行ってきたことを紹介したいと思います。

活動概要

CEO吉川を含めアプリ開発、バックエンド開発、SREと社内各部から1〜2名の計8名で構成されています。 活動の趣旨は、この会を通じてWeb開発に携わる身として、セキュリティに詳しい人材となって活躍していくことを目指しています。 最近ではくふうカンパニー法務部のメンバーも加わり活動に幅で出てきました。

活動内容

会の立ち上げ以降、月1回のペースでリモート開催しています。これまで1年半の活動において学習と実践的な活動へと移行してきました。

• 学習フェーズ：2021年1月 〜 2021年12月
• 実践フェーズ：2022年1月 〜

学習フェーズ（2021年1月〜2021年12月）

毎回1〜2名が最近気になる技術や事例について調査および発表し、内容について話を深堀りしていくという活動を続けてきました。

• 発表テーマの一例
  • 認証認可とOauth2.0
  • 脅威モデリング( STRIDE )について
  • 解析ツールを使ってハッシュ値から元の文字列を復元
  • JWTによるセッション管理
  • 脆弱性検査ツールについて

筆者はこの会で初めてJWTを知りました！

自分が担当する領域以外の技術に触れる事でセキュリティに関する知見が得られたと思います。 テーマについて個人が発表するだけでなく、「セキュアな設計または実装をするにはどうしたら良いのか？」というテーマについて、グループワークを行いました。アプリケーションとインフラストラクチャーの観点で何ができるだろうか？という視点で自由に出し合いました。その後、付箋を確認しながら、具体的にはどういうことだっけとか、他にもこういうことがあるよねなどざっくばらんに話し合いました。

実践フェーズ（2022年1月〜）

社内開発サービスへの検査の実施

翌年から学習だけでなく実践的な活動への取り組みを開始しました。この頃、Da Vinci Studioで開発したKotorにセキュリティ検査を実施し、検査結果レポートを作成して開発チームへフィードバックしました。KotorはiOSとAndroidのネイティブアプリとバックエンドで構成されています。セキュリティ人材の会は、各部のエンジニアで構成されており、自分たちで検査可能なツールを検討し実施しました。

• Amazon ECR enhanced scanning
• OWASP ZAP CLIとTrivyを利用した脆弱性検査
• OWASP MASVSに沿ったセキュリティレベル要件のチェック
• アプリのリバースエンジニアリングと静的解析（Mobile Security Framework）

社内の他サービスに対して日常的に利用しているものから、今回始めて利用したツールまでありました。 ここでは詳細は割愛しますが、検査の結果、利用ライブラリーに重大度が高いCVEが検出されました。ネイティブアプリの静的解析のスコアも低かったので、チームへのフィードバックを通して改善してもらっています。

インシデント発生のロールプレイング

グループ内で発生したインシデントを題材に挙げ、その際行われた対応履歴を元に「良かった点」「ここはこうすればよかった点」などを議論しました。この会の後、社内インシデントを想定したロールプレイングを実施しました。とあるAWSリソースの費用が急激に高くなっている事をきっかけに、その謎を紐解いていくという内容です。

ボードゲームを通じた体験学習

IPA(情報処理推進機構)が提供しているボードゲームがあるということが話題に挙がったので、希望者向けにCSIRTの活動を体験してみる会を実施しました。現在IPAから提供されているボードゲームは以下の3つです。（CSIRTとは「Computer Security Incident Response Team」の略語で、「シーサート」と読みます。「コンピュータに関するセキュリティ事故の対応チーム」の事を表します。）

• ABCSIRT ～30分で学ぶはじめてのインシデント対応～
• GAME OF CSIRT ～防ぐ、でもやられる、ならば対処する～
• マルウェアスイーパー ～協力と決断力でパンデミックを阻止せよ～

この内、ABCIRTとマルウェアスイーパーの2つを社内で体験してみました。ABCIRTは、工業部品を販売する会社のCSIRTメンバーとして、月曜日から金曜日までの1週間、インシデントへの対応を行ないます。1日の工数は8hと限られており、工数内で必要と判断した取り組み対応カードを選択し、ポイントの合計点を競うゲームです。対応カードは0〜100ptのポイントが割り振られています。1日の対応を選択し終わった後に、カードを裏返してポイントを確認していきます。月曜日から木曜日の間の1日のみ残業が可能であり、工数を6h増やすことができます。金曜日は、今までの状況を整理して振り返りを行う日です。

2チームに分かれ点数を競ってもらいました。

今回は、Bチームの勝利です。0ptの対応カードを選ばず着実にポイントを増やしていったのが勝負の明暗を分けました。Bチームはセキュリティ人材の会のエンジニア2人なのでさすがと言ったところです。

毎日の行動を意思決定していくというゲーム性が非常にシンプルでわかりやすかったです。誤った選択をした場合は、大きく時間を割かれてしまうので、現実の世界でインシデントが発生した際は、その時々において何が最適な行動か判断していくことが重要だという事が学べたと思います。ABCIRTは体験者に好評でした。日頃、業務でセキュリティに触れる機会が無い人たちにとっても有意義な体験となったと思います。

筆者は３つのボードゲーム全てを何度か体験しましたが、どれも学びがある内容でした。このようなゲームを通じて体験をすることで、セキュリティ意識を高められる活動を今後も続けていきたいと思います。新卒研修に取り入れる事も検討しています。

最後に

発足当初は、書籍ではセキュリティ対策を読んだことがあるけど、実務では経験したことが無いというメンバーが多かった中、いまでは安全にアプリケーションを作るにはどうしたらよいか、運用するためにはどうしたらよいかという意識が実務でも活かされるようになり、会のメンバーを頼もしく感じます。これからも粛々と活動していくと共に、セキュリティ意識を高めていく活動を、Da Vinci Studio全体へ、ひいてはくふうカンパニーグループへ波及させていく事が今後のミッションです。

セキュリティ人材の会、いかがでしたでしょうか。Da Vinci Studio は、くふうカンパニーグループの開発会社です。 グループ内外の受託開発の他、自社でもサービス開発に取り組んでいます。わたしたちが携わったサービスを安心して利用してもらえるよう、これからも活動を続けていきたいと思います。 Da Vinci Studio では一緒に働ける仲間を絶賛募集中です。 興味のある方は こちら か recruit@da-vinci-studio.net までご連絡ください。

Da Vinci Studio 第 2 サーバー部の桃原です。 6月16〜17日開催の AWS JumpStart という初学者向けのワークショップに参加したので、内容や学んだ事をまとめていきます。

AWS JumpStart について

今回参加した AWS JumpStart は AWS 初学者のエンジニアを対象とした実践的なプログラムです。 単なるAWSサービスの学習だけでなく、要件に合わせて適切なアーキテクチャを検討・設計する経験を積む部分にフォーカスした内容です。

参加の経緯

弊社のインフラは AWS をメインとして使っているのですが、インフラ基盤部とやりとりする際のサーバー部の AWS 知識量の差が課題に挙がっていました。 ちょうどそのタイミングで AWS の方からワークショップの案内があったので、サーバー部のメンバーが上司に確認したところ希望者は業務時間内で参加させてもらえることになり、サーバー部から7名が参加してきました。

事前準備

イベント開催前に事前学習として2つで合計3時間半の動画を共有していただきました。どちらの動画も分かりやすく AWS やアーキテクチャ設計について網羅的に学ぶ事ができました。 1つ目の動画では、機能要件と非機能要件についての説明の後、アーキテクチャ設計で意識すべき観点についての内容でした。 2つ目の動画では、よく使われるサービスについて学ぶ事ができました。

イベントの概要

イベント当日にも軽い事前学習動画の振り返りがあり、その後に4人チームに別れてアーキテクチャ設計を行なっていきました。このアーキテクチャ設計がメインコンテンツで、2日目には発表会もあり、他のチームが設計したアーキテクチャ図を見ることもできました。

ハンズオンもあり、AWS コンソールを使って予め用意していただいた単純なアーキテクチャ図から実際にアプリをデプロイしてみたり、可用性の確認のために RDB をフェイルオーバーさせてみたりしました。 「設定次第では高い料金が発生してしまうかもしれない」や、「1年の無料枠をまだ使いたくない」等のハードルがある方には貴重な経験になるかと思います。

チームでのアーキテクチャ設計

流れやチームの雰囲気

アーキテクチャ設計の時間では4人のチームに振り分けられ、チームごとに AWS の会議ツールの Chime でワークショップを進めました。 普段の業務では通話のみという方が多かったので終始ビデオオフでしたが、自己紹介の時から発言も多く、楽しく議論しながら進める事ができました。 アーキテクチャ設計にはホワイトボードツールの BlueSpace を使いました。よく使われるサービスのアイコンが準備されていたので、すぐに設計に取り掛かる事ができました。 AWS の方に20分×3回質問したりフィードバックをいただけるオフィスアワーという時間があったので、疑問を解消できたり新しい発見がありました。

要件

アーキテクチャ設計をするにあたって、サービスやシステム要件の説明がありました。

• LINEのようなチャットサービス
• 想定提供規模
  • 平均チャット流量: 500re/sec
  • メッセージ保存期間: 1年
  • ピーク時間帯: 日本時間の夕方
  • 提供エリア日本: 日本
  • 提供プラットフォーム: web
• 必須機能
  • チャット機能
    • 数秒以内のリアルタイム性
  • 友達管理/グループ管理
  • 画像/動画
• オプション機能
  • 通知
  • 既読管理
  • スタンプ
  • チャット検索

アーキテクチャ設計とオフィスアワー

アーキテクチャ設計が始まると、チャットサービスの実装事例について各自で調べて共有するところから始めました。 「友達機能は RDS、チャットはリアルタイムの読み書きが必要なので NoSQL や AppSync を使った方が良さそう。」「アプリプッシュ通知には PinPoint が便利そう」など使えそうなサービスのイメージを固めました。 1回目のオフィスアワーでは、マルチ AZ についてまだ考えられていなそうというフィードバックをいただいたり、質問にも答えていただいて、WAF を設置した方がいい場所や VPC の外側に置けるサービスについて等知る事ができました。

2日目は DB 設計や DynamoDB、CloudWatch の検討から進めていきました。 2日目のオフィスアワーでは、S3 に認証機能がついていないというフィードバックや設計をシンプルにする提案をいただきました。 開発環境についての質問をして、環境毎に AWS のアカウントを作った方が料金管理やロール付与が楽になるというベストプラクティスを教えていただきました。 2日目の後半には発表の準備をしながらオプション機能や要件を満たしているかについて議論していきました。

設計したアーキテクチャ図とくふうした点

最終的に私たちのチームで提案したアーキテクチャ図は以下のようになりました。

　　

チャット機能に AppSync と DynamoDB、友達/グループ管理に EC2 と Aurora、画像/動画を保存するために S3 を採用しました。 オプション機能であるスタンプ機能、チャット機能までは組み込まれていません。

このような構成にした理由やくふうした点は以下になります。

• 可用性
  • アベイラビリティゾーンを2つに分けて(Multi-AZ にして) EC2 や Aurora を配置する事で、1つのアベイラビリティゾーンに問題があった場合もサービスを継続できるようにしました。
  • また、Aurora を使っているのでマスタに問題があっても、レプリカへの自動フェイルオーバーをしてくれます。
• スケーラビリティ
  • 運用をしながらの調整という形になるのですが、CloudWatch を確認して EC2 と Aurora のオートスケールやスケジュールを設定する方法を考えました。
• セキュリティ
  • ELB、CloudFront、AppSync に WAF(ファイアウォール)を適用する事で不正なアクセスを制限するようにしました。
  • S3 には Cognito を使用して、認証されたユーザーにのみ画像や動画を見れるようにしました。
• パフォーマンス
  • リアルタイムの読み書きが求められるチャット機能には DynamoDB を使用しました。
  • 読み込みがメインの友達機能は Aurora のレプリカを使って負荷分散するようにしました。

また、将来の改善余地についても議論しました。 本番環境のみのアーキテクチャ図になっていたので、環境毎にAWSアカウントを用意して、開発環境やステージング環境を作成したいという話が出ました。CI/CD も導入したいという話もしていました。

成果発表

2日目の後半には4チームずつに別れて成果発表会がありました。 私たちのチームはオフィスアワーで指摘していただいた所を修正して新しく指摘される部分も無かったので、最低限考慮するべきところはできたのかなと思います。 オプション機能までは設計できなかったのと、私たちのチームとはかなり構成の違うチームもあったので、様々な構成からメリットやデメリットを書き出して議論できるようになりたいと思いました。

私のチーム以外でも Da Vinci Studio メンバーが参加したチームが2つあるので、そちらで提案したアーキテクチャ図も紹介します。

私たちのチームと大きく違うのはサーバーレスな点で、Lambda などのマネージドサービスを利用した構成にしていました。 私たちのチームではオプションであるチャット検索機能まで考慮できていなかったので、OpenSearch の説明は勉強になりました。

4人全員が Da Vinci Studio のチームのアーキテクチャ図です。 こちらもサーバーレスで、機能ごとに Lambda を使っているのが印象的でした。 運用や開発のしやすさも考慮していて、バックエンド側は SAM (サーバーレスアプリケーションモデル)を採用する事で CloudFormation を使ってインフラ構成をコード化し、デプロイをテンプレート化できるという事でした。

まとめ

今までは AWS サービスの理解度が足りず、社内のインフラ構成を見てもサラッと流してしまっていたのですが、今回のワークショップで主要なサービスであれば AWS のアーキテクチャ図を見て何のサービスが使われていて、設計の意図も分かるようになりました。さらに、小さい機能やゼロからサービスを作る際には自分でアーキテクチャ設計をしたくなりました。

最後になりますが、Da Vinci Studio では一緒に働く仲間を絶賛募集中です。 興味のある方は こちら か recruit@da-vinci-studio.net までご連絡ください。