KENRO導入事例インタビュー
株式会社サイバーエージェントは1998年に創業し、2000年、東証マザーズ市場に上場。「21世紀を代表する会社を創る」をビジョンに、ライブストリーミング形式インターネットテレビサービス「ABEMA」の運営や国内トップシェアを誇るインターネット広告事業を展開しています。
課題
- 内製した学習コンテンツを管理したり運用したりすることがコストになっていた
- 座学ベースでのセキュアコーディング学習の効率に疑問があった
効果
- KENRO導入により学習コンテンツを内製・維持・更新する時間やコストを削減
- 技術力の個人差をなくすために、反復的な学習やリファレンスとしての活用も期待
今回はシステムセキュリティ推進グループ マネージャーの野渡志浩さんにインタビューし、KENROの導入経緯・感想・効果を伺いました。
学習コンテンツを内製化するも、運用が課題になっていた
――「KENRO」導入前にはどのような課題があったのでしょうか。
野渡志浩さん(以下、野渡さん):座学のみでのセキュアコーディング学習の効率の低さと、内製での学習コンテンツの運用コストの高さが課題でした。
もともと新卒エンジニア向けに集合研修は実施していましたが、集合研修はあくまでも座学なので期待する学習効果が得られていないのではないかと考えていました。また、社内でも学習コンテンツを用意していますが最新の技術やセキュリティのトレンドに追随するには大変な労力が必要です。
毎年、効率的にセキュアコーディング技術を習得できる方法を求めて試行錯誤していたなかで、eラーニングとして提供されており繰り返し受講できる「KENRO」の存在を知り、まずは試してみようということになりました。
――試行錯誤していたとのことですが、例えばどのような方法を試していたのでしょうか。
野渡さん:自社でハンズオンの演習コンテンツをつくったり、テキストベースでの学習教材をつくったり、CTF(※)のようなものを実施したり、本当にいろいろです。しかしコンテンツの内製はアプリケーションを開発する必要があったり、その年ごとに内容を更新したりする必要があるので運用するのはとても大変でした。どれも効率的とは言えず、改善のために試行錯誤していました。
※CTF : Capture The Flag の略で、旗取りゲームを意味しそこから派生してコンピュータセキュリティの技術を競う大会を指します。
開発現場の実態に近い学習が「システム化」されているのは、良くできていると感じた
――「KENRO」を導入した決め手を教えてください。
野渡さん:セキュアコーディングについて学べるようなサービスは今までにもありましたが、手を動かしてインタラクティブに学べるものは今までなかったので、そこが魅力的でした。
特に実際にコードを書きながら学習する「堅牢化演習」(※)は、開発の実態に近いのですぐに現場で役に立ちそうだと思いました。内製化していたときに似たようなコンテンツをつくってみたものの運用がかなり大変で。「KENRO」は全自動で学習できるよう、うまく仕組化されているところが魅力的でした。
また、「ハッキング演習」(※)はCTF形式なので、新卒社員がゲーム感覚で楽しみながら受講できるだろうと思いました。
※堅牢化演習…脆弱性の含まれるソースコードを修正する演習。独自のジャッジシステムによって修正されたコードに対して自動でテストが実行され、その結果が受講者に返されます。
※ハッキング演習…受講者が攻撃者となりシステムを攻撃する演習。脆弱性を悪用することにより、アプリケーションにどのような被害を与えることができるのかをCTF形式の演習で学びます。
――どのように「KENRO」を運用したのでしょうか。
野渡さん:まず、2021年度に入社したエンジニア向けの新卒研修で導入することに。受講人数は80名ほどで、5日間にわたって実施したセキュリティ研修のプログラムのうち3日間で利用しました。リモートワーク環境での研修でしたので、KENROが完全オンラインで利用できたのも嬉しい点でしたね。
今年のエンジニア向けの新卒研修は「5~6人が1チームで学習していく」というルールで運用しており、「KENRO」も同じ方法で実施しました。初めて導入したサービスですが、管理画面にユーザーをグループに分けて進捗を把握する機能が備わっていたので、適切な管理を進めながら特に問題なく学習を進められました。
――「KENRO」のコンテンツにはどのような感想を持ちましたか。
野渡さん:特定のプロトコルや脆弱性について集中して学習できるのは、とても効率的だと思いました。具体的にはWeb脆弱性基礎コースではSQL injectionのような脆弱性ごとの単元になっていたり、発展コンテンツではJSON Web Token、WebSocketのセキュリティに関してプロトコルごとに学べたりと、後から振り返る上でも必要なところを見返せる構成で、とても便利です。
そのため集合研修のように1度きりではなく、繰り返し学習しやすく、分からないところ、苦手なところを何度もやり直すことで理解も深まりやすくなると思います。
受講者も「来年の新卒に対してこの研修の受講を勧めたいですか?」というアンケートを実施したところ90%が「勧めたい」と回答していました。
――90%!それはとてもうれしいですね!
野渡さん:導入を決めた側から見ても、「KENRO」はコース内容やレベル感など総合的にとてもいい研修コンテンツだったと思います。
ただ現在はサーバサイドのエンジニア向けのコンテンツが中心なので、フロントエンドやネイティブアプリのエンジニア向けのコンテンツが追加されることに期待しています。
受講期間内はセキュリティ対策を繰り返し振り返りたい
――今後、「KENRO」をどのように活用していく予定ですか。
野渡さん:今年度は初めて導入するということもあり、新卒研修のみで実施しましたが、今後は新卒研修後の学習環境としても活用したいと思います。
「KENRO」は受講期間内であればそのコンテンツをいつでもログインして使うことができるので、Web開発におけるセキュリティ対策のリファレンスとしても有効活用したいですね。例えば何かしらの知識が不足していたときにメンターと新卒社員でKENROのドキュメントを見合わせて確認するといった形が考えられると思います。
