KENRO(ケンロー)byFlatt Security

KENRO導入事例インタビュー

フィンテックは高いレベルのセキュリティが求められるので、開発の上流工程から脆弱性の芽を摘みたかった

2006年に設立された株式会社インフキュリオンは、「テクノロジーの力で、社会に新しい価値と利便性を生み出す。」をビジョンに、金融と決済を中心に、「BaaS(Banking as a Service)プラットフォーム事業」や「共創型コンサルティング事業」、「加盟店向けソリューション事業」を展開しています。 代表取締役の丸山弘毅氏はFintech協会の常務理事やキャッシュレス推進協議会理事を務めており、日本社会全体のキャッシュレス・DXを牽引しながら、世の中に新しい価値を創り出す仕事に挑戦しています。

課題

  • フィンテック事業には高いレベルのセキュリティが求められるが、体系的なセキュリティ技術についてエンジニアが会社主導で学ぶ機会がなかった
  • 教科書的な教育サービスは望ましくなく、楽しみながら取り組めるセキュリティ教育サービスを探していた

感想・効果

  • 取り扱いに気をつけるべきライブラリの知識が記憶に残った
  • 今年度は新卒と開発に携わる一部のエンジニアのみの受講だったが、来年度は全員に受講してもらいたい

今回は、執行役員CISOでシステム企画部長、サービスマネジメント部長の熊白浩丈さんとエンジニアの瀬戸悠二さんに、「KENRO」を導入した経緯、感想、効果を伺いました。

エンジニアが楽しく取り組めるセキュリティ教育サービスを探していた

image3

執行役員CISOでシステム企画部長、サービスマネジメント部長の熊白浩丈さん

――どのような経緯で、「KENRO」を知っていただけたのでしょうか。

熊白浩丈さん(以下、熊白さん):「KENRO」がリリースされたとき、社内で話題になり、情報システム部やシステム保守運用のメンバーから、「エンジニアに受けさせてみたらどうか」と紹介されたことがきっかけです。

――今まで、セキュリティ教育に関してどのような課題があったのでしょうか。

熊白さん:取引先に金融機関が多いので、私たちは日々、高いレベルのセキュリティを求められています。そのため、なるべく開発の上流段階で、セキュリティのリスクになるような芽を摘む必要がありました。

エンジニア教育の一環として、ひとり毎月1万円まで書籍購入を支援する制度があります。この制度はほぼ全員が利用し、セキュリティを含めプログラミングに関する勉強をしています。しかし、会社主導でセキュリティ技術について体系的に学ぶ機会を作れていないことに課題を持っていました。

――ほかのセキュリティ教育サービスも検討されたのでしょうか。

熊白さん:いくつか検討しました。ただ、教科書の内容をなぞっただけのような研修や座学での学習サービスだと、おもしろみを感じないため、知識が定着しないのではと思いました。というのも、弊社のエンジニアはベンチャーらしく尖ったメンバーが多いため、彼らの技術力を最大限活かすためにも凝り固まったコーディングガイドラインでセキュリティ対策を行うのは好ましくありませんし、教科書的な教育サービスも効果が薄いでしょう。

エンジニアが楽しく学べる学習サービスはないだろうかと考えていたときにちょうど「KENRO」を紹介してもらい、興味を持ったんです。

新卒4名と開発経験のある中途11名が受講

image4

エンジニアの瀬戸悠二さん

――「KENRO」導入の決め手を教えてください。

熊白さん:まず、30代のマネジメントクラスとミドルクラスのエンジニア2名がトライアルを受講しました。受講後、マネジメントクラスのエンジニアが「受けさせたほうがいい!」と強く推薦してくれたのが、導入の後押しになりました。 評価していたのは、やはり堅牢化演習ですね。ゲーム形式で楽しみながらセキュリティを理解できる点がよかったようです。

また、普段セキュリティ診断を実施し指摘された脆弱性への対応を行う時、今までは指示に従って修正するだけでした。「KENRO」を受講すれば、どのような指摘をされるか事前に予想し、先回りして対応することでセキュリティ診断対応の負担を減らせるのでは、という期待もあったようです。

――どのようなエンジニアが受講しているのでしょうか。

熊白さん:弊社に所属しているエンジニアのうち、新卒で入社したメンバー4名全員と、開発経験があるメンバーと、診断会社からセキュリティ診断の結果が出たときに修正対応を行うメンバー11名の計15名が受講しました。

――瀬戸さんは実際に受講していただきましたが、率直な感想を教えてください。

瀬戸悠二さん(以下、瀬戸さん):日本語で、かつプログラミング言語に関しては複数の選択肢から選んで(※)学べるのはおもしろいと思いました。僕自身、エンジニアとして5年間ほど働いているので、ハッキング演習はそこまで難しくありませんでした。ただ、堅牢化演習はガイドが少ない設問もあったので、結構頭を使いながら進めました。

defense-challenge-6languages

※編集注:「堅牢化演習」はコードを書いて脆弱性を修正する演習です。修正するソースコードはPython・Java・Go・PHP・Ruby・C#から選ぶことが可能です。

――通常業務と両立は問題ありませんでしたか。

瀬戸さん:僕はいつも朝活をしているので、「KENRO」も朝イチで取り組みました。だからそこまで大変ではありませんでした。10時間ほどで受講は完了しています。ただ、新卒メンバーの中には苦戦しており、時間がかかっている人もいたようです。

※編集注:「KENRO」のWeb脆弱性基礎編コースの受講時間は受講者の習熟度によって変わりますが、目安は20時間です。また、受講可能期間は12ヶ月となっているため復習期間も十分にとる事が可能です。

繰り返し受講して、知識を定着させたい

――「KENRO」は今後、どのような場面で活かせそうでしょうか。

瀬戸さん:僕はインフラを担当しているので今すぐに活かす機会はありませんが、Ruby on RailsならMarshalなど、取扱いを気をつけるべきライブラリの知識は記憶に残るだろうなと感じました。

――今後、「KENRO」をどのように活用する予定ですか。

熊白さん:今、ライセンスを持っているメンバーには、受講期間中に何度も挑戦して知識を定着させてもらいたいと思っています。また、来年度以降は、まだ受講していないメンバーに受けてもらいたいですし、今年度受講したメンバーの意見を聞きながら、発展コースの受講も検討したいです。

  • シェア
  • このエントリーをはてなブックマークに追加

    • 無料でコンテンツを試す

    実際の演習やコンテンツの一部を今すぐに体験できます。(クレジットカード登録不要 / 期間無制限)

    機能や活用事例をすぐに知りたい方はこちら