KENRO(ケンロー)byFlatt Security

KENRO導入事例インタビュー

三菱電機グループが「KENRO」を導入。脆弱性の発生原理を理解し、金融システムの開発をより堅牢に

三菱電機インフォメーションシステムズ株式会社(MDIS)は、2001年4月に設立された三菱電機グループを代表するIT戦略企業です。金融業、製造業、流通・サービス業向けシステム事業を推進するリーディング・サービスインテグレーターとして、三菱電機グループ各社の技術力やサービスを最大限に活用した各種ITサービス事業を展開しています。

課題

  • Webアプリケーション開発において、セキュリティ診断は定期的に実施していたが、若手エンジニアが脆弱性の本質をより理解する必要があると感じていた

効果

  • 「実際に脆弱性が存在するとお客様やユーザにどのような影響が及ぶのか」を体系的に学ぶことができた
  • セキュリティの基礎知識を理解するためには、技術書を読むより「KENRO」を受講することのほうがはるかに近道だった

今回は金融第二事業部 システム第一部 第一課 課長の大島正晴さん、金融事業管掌 金融第一事業部 第一サービス事業推進室の伊串亮二さん、エンジニアの野崎裕嗣さんに話を聞きました。

セキュリティ診断は実施していたが、若手エンジニアが脆弱性の本質をより理解する必要があると感じていた

image4

金融第二事業部 システム第一部 第一課 課長の大島正晴さん

――「KENRO」を利用することになった背景を教えてください。

大島正晴さん(以下、大島さん):私たちはWebアプリケーション開発を担当する部署です。以前から開発したアプリケーションに対してセキュリティ診断を実施したり脆弱性診断ツール「AppScan」を導入したりするなど、さまざまな方法で脆弱性の有無を確認していました。

その中で見つかった脆弱性に対応はできていたんです。しかし、毎回対策方法を調べたり有識者に相談したりしていたため、若手エンジニアが脆弱性を発生原理のレベルから理解できておらず、Web開発に必要なセキュリティ技術が蓄積されていないことに課題を感じていました。Webアプリケーションのセキュリティについて基礎から理解できる学習サービスはないかと社内で相談したところ、「KENRO」にたどり着きました。

――「KENRO」を利用するにあたり、懸念点はありましたか。

大島さん:サービス説明を受けたときは「ユーザービリティの十分さ」や「若手エンジニアでも理解できるレベルなのか」といった点が分からず不安でした。しかし、事前に無償のトライアルを受講することでこれらの懸念点は払しょくできました。

――「KENRO」利用の決め手は何でしょうか。

大島さん:実際にコードを書いて脆弱性を修正する「堅牢化演習」は修正結果の自動正誤判定に関して特許を出願中(※)ということもあり、これならeラーニングでも高度な技術を習得できるのではと思いました。また、基本的にWebブラウザ上だけで学習できるため、導入ハードルが低かったのも決め手のひとつです。

※「堅牢化演習」では、特許出願中のFlatt Securtiyの独自技術によってソースコードの修正結果が自動で評価されます

伊串亮二さん(以下、伊串さん): 三菱電機インフォメーションシステムズ(MDIS)はSIerとして、幅広い業種の顧客から多くの開発業務を受託しています。高度なセキュリティを求めるお客様も多いです。

金融業の場合は特にセキュリティが重要視されるため、金融システム開発に携わっているエンジニアに受講してもらいたいと思いました。

実装段階で発生する脆弱性を具体的に体験できた

image2

エンジニアの野崎裕嗣さん

――受講した感想を教えてください。

野崎裕嗣さん(以下、野崎さん):自分はセキュリティの重要性を理解していたため、ある程度脆弱性に関する基礎知識は持っていました。しかし、「実際に脆弱性が存在するとお客様やユーザにどのような影響が及ぶのか」は体験したことがなく、分からない点も多くあったので、「KENRO」で体系的に学ぶことができました。

通常の業務と並行だったため、負荷がかからなかったというと嘘になります。しかし、解説が分かりやすかったので、最後まで詰まることなく終わらせることができました。さらなる知識・技術の定着のため今後も内容を2回3回と振り返りたいと思います。

――実際に開発するとき「KENRO」が役に立ったことはありますか。

野崎さん:セキュリティの基礎知識を理解するためには、技術書を読むより「KENRO」を受講するほうがはるかに近道でした。この知識は開発をするうえで大きく役に立っています。

大島さん:今後、アプリ開発時のセキュリティ診断を実施したあとに指摘される、脆弱性の個数やエンジニアたちの対応に変化が現れるのではと期待しています。

「KENRO」をきっかけに、セキュリティ強化を推し進めていきたい

image1

金融事業管掌 金融第一事業部 第一サービス事業推進室の伊串亮二さん

――これから「KENRO」をどのように活用していく予定ですか。

大島さん:現在は金融サービスの開発に携わっている10名ほどのエンジニアが中心に受講しています。今回、セキュリティ技術取得と脆弱性への対応を体系的に学習できることがわかり、新たに取り組むメンバーに有用と判断できました。今後は若手エンジニアも続々と入社してくるので、彼らにも受講してもらい、会社全体のセキュアコーディング技術を底上げしていきたいです。

伊串さん:会社としては幅広いエンジニアに「KENRO」を活用してセキュアコーディングの技術を獲得し、基本的技術向上をしていきます。当社ではセキュリティ診断サービスも提供しているため、高度なセキュリティエンジニア向けにはセキュリティ診断士資格トレーニングを行っており、全社的なセキュリティ技術の底上げを目指しています。

  • シェア
  • このエントリーをはてなブックマークに追加

    • 無料でコンテンツを試す

    実際の演習やコンテンツの一部を今すぐに体験できます。(クレジットカード登録不要 / 期間無制限)

    機能や活用事例をすぐに知りたい方はこちら