課題

• プロダクトやサービスをよりセキュアに保つため、シフトレフトの意識やセキュアコーディング技法を社内に定着させたいと考えていたが、これまでセキュアコーディングに関する体系的な研修が行えていなかった
• チームごとに開発言語が異なるため、新卒エンジニア全員を対象として共通のセキュアコーディング研修を実施するのが困難だった
• 新卒エンジニア向けのセキュリティ研修の中で、CTF形式のハンズオンコンテンツによる研修を実施していたが、作問者の負担が大きい、学習できる技術カテゴリが限られてしまうという課題があった

導入の決め手

• 実際に手を動かしながら学べるハンズオン形式のセキュアコーディング学習サービスであること
• トライアル利用を行う中で、教材のレベル感が新卒エンジニアのスキルレベルにマッチしそうだと感じたこと
• 様々な開発言語に対応していること
• 開発環境の構築なしに研修をスタートできること
• サービスのUI/UXがわかりやすく、受講生のモチベーションにつながりそうだと感じたこと

効果

• 開発環境を用意せずとも、手軽にセキュアコーディングに関する体系的な研修を実施できた
• チームの垣根を超えた、新卒エンジニア全員を対象とした共通のセキュアコーディング研修を実現できた
• 開発経験のない新卒エンジニアでも、効率的で体系的なセキュアコーディング学習を行うことができ、「プロダクトの堅牢化」への意識を身につけることができた
• 進捗が一目でわかるわかりやすいUI/UXにより、学習のモチベーションが上がった
• もくもく会での学習を通じて、新卒エンジニアの間にも 「セキュリティについて相談しやすい空気感」 が醸成された

チームで働く時の「手がかり」となることを目標に、研修コンテンツを内製

ーー皆様の経歴や、現在のお仕事について教えていただいてもよろしいでしょうか。

西馬さん：エンジニア採用担当兼技術広報として働いています。採用活動の一連の流れで、キャリア採用で入社したエンジニアの一部オンボーディングも担当しており、その一環で新卒エンジニア向けの研修プログラムの企画運営も行っています。

日本経済新聞社に新卒入社した後、長らくインフラエンジニアとして働いていました。2010年の日経電子版立ち上げ時には、サーバー構築に携わり、その後はクラウド移行を進めてきました。セキュリティチームも兼務しており、インフラの面からクラウドセキュリティ施策に取り組んできました。

藤田さん：2022年4月に1人目のデジタルプロダクト専任のセキュリティエンジニアとして入社し、プロダクトセキュリティ全般やセキュリティ研修を担当しています。普段はプロダクトセキュリティを担うセキュリティチームで活動していますが、僕以外は全員兼務のメンバーで構成されています。

入社前は、SESやSIer等でシステムエンジニアとして勤務した後、警視庁のサイバー捜査官としてサイバー犯罪に関する調査研究や事件捜査、企業に対するサイバー防犯指導を7年ほど担当していました。

馬嶋さん：API・バックエンドチームで、主に日経電子版のバックエンド開発を担当しています。大学院で機械学習に関する研究をしていたこともあり、データサイエンティストとして2023年4月に新卒入社しました。入社後の新卒研修の中で、「KENRO」を受講しました。

ーー新卒エンジニア研修はどのように実施されていますか？

西馬さん：弊社に新卒入社したエンジニアは、全社で実施する研修を受講した後に、新卒エンジニア向けの研修をまとまった期間受講し、その後各チームに配属されます。このオンボーディングの仕組みは2017年にボトムアップでスタートしたのですが、今では組織にしっかり定着しています。

研修期間中、受講生である新卒エンジニアにはSlackで日報を書いてもらっています。研修の中でわからなかったことや、良かったことなどは日報に書いてもらうようにしているので、講師や先輩エンジニアはそこから課題を読み取ってフォローしたり、伝え方の改善をしたりしています。

研修実施後は新卒エンジニアと講師の双方に満足度や感想を聞くアンケート調査を実施しています。新卒エンジニアの回答内容は、講師にフィードバックすることで、次の研修コンテンツづくりの参考にしていただいています。ポジティブな感想は、講師のモチベーションにも繋がっているようです。

また、新卒エンジニア研修の座学講義はすべて録画しており、中途入社エンジニア向けの研修に活用しています。

ーー新卒エンジニア研修の企画はどのように検討されていますか？

西馬さん：私が所属しているCDIO室は、社内のエンジニアが活躍するための土台作りをするための部署です。例年2月頃から新卒エンジニア研修までの約3ヶ月間、CDIO室が中心となって「新卒研修運営チーム」を立ち上げ、企画運営の準備を進めています。

基本的に、研修コンテンツは内製しており、各研修コンテンツの時間や座学／演習の割合、盛り込むトピックなどを新卒研修運営チームで決めています。実際に研修を担当する各領域のエンジニアには、新卒研修運営チームで決めた方針に沿った形で研修コンテンツの具体的な内容を詰めてもらっています。

ーー新卒エンジニア研修において重視していることは何ですか？

西馬さん：研修期間を通じて、「何をどうすればこの情報を掴めるか」という情報収集の仕方を教えたり、先輩エンジニアとのつながりを作ったりすることを重視しています。1〜2ヶ月ほどの期間を取って新卒エンジニア研修を全社的に実施する企業もある中で、私たちは1週間で完結するような形で実施していますので、新卒エンジニアが今後各チームで働く際の「手がかり」になることを目標に、研修コンテンツを考えています。

技術に関するコンテンツだけでなく、社内カルチャーを理解してもらうためのコンテンツも必ず入れるようにしています。これまで、新聞記事・紙面の作り方に関する講義や、会社のデータセンター・印刷所の見学などを行ってきました。これらを通じて、会社のカルチャーを知ってもらい、馴染んでもらえれば良いなと考えています。

ーー新卒エンジニア研修において工夫していることはありますか？

西馬さん：机上研修だけだと面白くないと思うので、実際に手を動かしながら学べるハンズオン形式の研修コンテンツも組み込むようにしています。これは、KENROの導入に至った背景の1つでもあります。

ハンズオン形式の研修としてはKENROのほか、AWS/GCP研修や、弊社が内製開発したデータ分析基盤の活用について学ぶ研修などを実施しています。

ーー中途採用で入社したエンジニアを対象とした研修も、新卒エンジニア研修と同様に実施していますか？

西馬さん：現在、月に数人ほど中途採用で入社される方がいますが、新卒エンジニア研修のようにまとまった時間を確保して集合研修を行うのは難しいです。そのため、主に動画研修という形で実施しています。新卒エンジニア研修の内容をすべて録画し、研修教材として活用しています。

新卒エンジニアと同様に、会社のカルチャーを知るためのアクテビティやハンズオン研修なども一部実施しています。

2023年の新卒エンジニア研修はシフトレフトを意識した構成に

ーー2023年の新卒エンジニア研修のコンセプトについて教えてください。

西馬さん：これまでは「セキュリティは一部の人がやれば良いもの」というような認識が世の中に広く存在していましたが、これからは開発の段階からセキュリティを取り入れることで、プロダクトをよりセキュアにする「シフトレフト」の時代です。弊社でもエンジニア全員のセキュリティ意識を高めていきたいと考えており、2023年の新卒エンジニア研修ではセキュリティ研修の割合をこれまで以上に増やしました。

弊社は新聞社なので、高い信頼性を保つことが非常に重要です。報道機関という性質上、サービスが突然止まってしまう事態は避けなければなりません。セキュリティと同様、SREの考え方についてもエンジニア全員に理解してほしいと思っています。

このようなコンセプトのもと、2023年の新卒エンジニア研修は5日間実施しました。

▼2023年度の新卒エンジニア研修についての解説記事 https://hack.nikkei.com/blog/training2023/

ーー2023年の新卒エンジニア研修の中で行われた、セキュリティ研修はどのように企画されたのでしょうか？

西馬さん：新卒研修運営チームで議論した結果、今年は講義1時間とハンズオン1時間という構成で進めることに決まりました。盛り込みたいトピックをセキュリティエンジニアの藤田さんに共有して、具体的にどのような内容にするかを検討していただきました。

藤田さん：私が入社する前の話となりますが、2021年まではセキュリティに関する新卒研修の枠がなく、配属後の各チームに任せていました。2022年にはセキュリティ研修枠を設け、内製のハンズオン研修を含むWebセキュリティを中心とした内容になっていました。

そして、2023年からは、データサイエンティストやコーポレートITなどを含む幅広いエンジニアが受講対象者となったため、コンセプトを一新し、セキュリティ技術全体を俯瞰する内容へと変更しました。

弊社は2022年に企業としてのバリュー、パーパス、ミッションを設定しました。それらの中では「クオリティー」「先進性」「信頼されるメディア」などといった言葉で目指すべき方向性が示されているのですが、そういったことを実現していく際にセキュリティが制約になってしまわないようにしたいです。「開発を進めるためにセキュリティをやらされている」というマインドではなく、「セキュリティを担保しておけば安心して開発を進められるんだ」とセキュリティを前向きに捉えるマインドになってもらえるようなコンテンツづくりを目指しました。

ーーセキュリティ研修の講義パートはどのような構成で実施されましたか？

藤田さん：まず、座学で最低限知るべきセキュリティの基礎知識をレクチャーしました。

セキュリティの3原則（CIA）や脆弱性、リスクなどといった用語の定義を理解してもらった上で、実生活を例にしてセキュリティインシデントやその後の対応について理解してもらう時間を設けました。例えば、「子供が庭でバットの素振りをしていたら、室外機にバットを当ててしまい穴を開けてしまった」という事例の場合、リスク回避の観点で対応するのであれば「庭で子供に素振りをさせない」という選択になると思います。でもこの選択をしてしまうと、子供は野球の練習ができなくなるだけで、何も生まれません。本当にこの選択は正しいのか、疑問に感じるんじゃないでしょうか。

このように日常生活に当てはめて考えることで理解を深めてもらってから、弊社のサービスやプロダクトでセキュリティとどのように向き合うのが良いか、クイズ形式で考えてもらいました。

座学の最後では、セキュリティチームの取り組みを知ってもらうために、チームが定めたDevSecOpsの概観の説明をしました。Dev/Opsそれぞれのフェーズの中にセキュリティをどう組み込んでいくか、その全体感を整理したのが下の図です。研修では全体感の説明だけでなく、それぞれの施策においてセキュリティチームがどう関わっているのかも解説しました。

ーー日本経済新聞社の2023年の新卒エンジニア向けセキュリティ資料は、公開後ITmedia NEWSやScanNetSecurityで取り上げられるなど大きな反響を生みましたね。

藤田さん：社外の方からもTwitterなどを通じて「セキュリティの全体感を把握できた」「新卒エンジニアだけでなく、経営者にも理解してほしい内容」といった感想をいただきました。新卒エンジニアだけでなく、幅広い人にセキュリティの基礎知識を理解いただけるような内容に仕上げられたのではないかと思っています。

環境構築不要で体系的な学習ができる「手軽さ」が決め手の1つに

ーーセキュリティ研修のハンズオンパートではKENROを活用いただきました。

藤田さん：セキュアコーディングに関して、これまであまり体系的な研修は実施しておらず、OJTの中で先輩エンジニアによるコードレビューを通じて学んでもらっていました。チームによって開発言語が異なるため、新卒エンジニア全員を対象として共通のセキュアコーディング研修を実施するのが困難だったという事情もあります。

今回、私が入社して初めてセキュリティ研修を担当するにあたり、セキュアコーディングスキルをしっかり身につけてもらうための体系的な研修の実施は必要不可欠だと考えていました。セキュアコーディングに関する知見が身につけば、ツールによるSAST（静的解析）を行った際の分析にも役立てることができます。プロダクトのセキュリティリスクを発見した際に、トリアージができるぐらいの知識を身に着けてほしいという狙いがありました。

前回までのセキュリティ研修でもハンズオンパートはあったのですが、セキュリティに関する問題を制限時間内に解くCTF形式のコンテンツになっていました。インタラクティブ性は高かったのですが、作問者の負担が大きく、学習できる内容も問題形式に依存するので、学習できるトピックが限られてしまうという問題もありました。

ーーKENROを知ったきっかけは何でしたか？

藤田さん：CODE BLUE 2018でFlatt Security代表取締役CEOの井手さんとお会いしたのがきっかけで、Flatt Securityという会社のことを知りました。CTFやバグバウンティで有名なメンバーが集まっている印象があり、勝手ながら技術力に信頼を寄せていました。その後もプロダクトやサービスに関する情報は追っていて興味はありましたが、これまで仕事で関わる機会はありませんでした。

日本経済新聞社に入社して、セキュリティ研修について社内メンバーにヒアリングしていたところ、KENROの利用も過去に検討したことがあるというお話を聞きました。ちょうどタイミングも良かったので、僕の方で検証を進めることにしました。

西馬さん：セキュリティに関する研修サービスが色々ある中で、この会社に今一番必要なサービスは何か、調べながら判断していくのが大変でした。KENROのトライアル利用から導入まで、藤田さんに強く牽引してもらえて、とてもありがたかったです。

ーーKENROを導入した決め手は何でしたか？

藤田さん：使い勝手や教材の質を検証するために、まずはセキュリティチームで無料トライアルを利用しました。その後、より詳しく検証を行うため、チームのメンバー5人で有償での利用を開始しました。

実際に利用してみて、教材のレベル感が新卒エンジニアのスキルレベルにマッチしそうだと感じました。また、セキュアコーディングを実際に手を動かしながら体系的に学べるのに加え、様々な開発言語に対応していることから新卒エンジニア全員を対象とした共通の研修を実現できる、という点も魅力的に感じました。

研修を実施する立場として、開発環境を用意しなくても研修が実施できる手軽さも導入の決め手になりました。テキストエディタさえあれば演習が実施できるのは大きなメリットですね。

UI/UXのわかりやすさもモチベーションにつながります。人間って登るべき山が見えていると燃えるじゃないですか。トップ画面を開くと自分が解かなければいけない学習コンテンツが一覧表示されるので、あとどれぐらい手を動かせば良いのか一目でわかるのが良いなと思いました。

新卒エンジニアも「堅牢化を意識した開発」に取り組めるように

ーーセキュリティ研修の中で、KENROをどのように活用されましたか？

藤田さん：ハンズオン研修として1時間をKENROのチュートリアル時間に充てました。

その後は、2週間おきにもくもく会を設定してその中で学習を進めています。Slackのハドルミーティングに入りながら学習を進める中でわからないことがあれば、他の新卒エンジニアや僕にすぐ質問することができます。

ーー馬嶋さんは新卒エンジニアとして、KENROを受講されたかと思います。受講されてみて、いかがでしたか？

馬嶋さん：僕は入社時、セキュリティについての知識が乏しく、Webアプリケーションの開発経験もほとんどありませんでした。そのため、受講前は正直ついていけるか不安でした。

しかし、結果的に1週間ぐらいですべての学習コンテンツを完了することができました。セキュリティやセキュアコーディングに関する知識を短期間で効率的に学ぶことができたので、とても満足感が高いです。

ーー受講する中で、「ここは良いな」と感じたポイントはありますか？

馬嶋さん：藤田さんのお話にもありましたが、環境構築なしで気軽に始められるのがありがたかったです。チームへの配属後もチームのタスクをこなしながら、隙間時間で学習を進めることができました。

取り組むべき課題がわかりやすく示されているUI/UXも、かなりモチベーションにつながりました。学習の進捗が一目でわかるので、やる気が出ましたね。

ーーKENROを使って、どのように学習を進めていきましたか？

馬嶋さん：まずはテキスト教材を読みながら、堅牢化演習とハッキング演習に一通りチャレンジしていきました。堅牢化演習では、脆弱性が含まれたコードを、自分の手で修正しながら学ぶことができたので理解が深まりました。また、演習を通じて習得した知識は、プロダクト開発の現場でも役立てることができそうだと感じました。

すべての演習を解いた後、できなかったところの振り返りを中心に、自分なりにメモにまとめてみることで、復習をしました。一度読んだだけだと理解しきれないところもあると思うので、テキスト教材を読みながら復習することができて良かったです。

ーー馬嶋さんは1週間で修了されたとのことですが、他の新卒エンジニアの方たちの進捗はいかがですか？

藤田さん：現時点で修了しているのは馬嶋さんを含む2人で、継続して学習している方たちがほとんどです。スキルレベルの違いや配属先チームでのタスク量などが進捗に影響しているのではないかと思っています。不安を解消しながら理解が深められるよう、今後ももくもく会で一緒に学習を進めるつもりです。

馬嶋さん：僕はもくもく会が始まる前にKENROを修了したのですが、会への参加は継続しています。KENROでの学習を進めている他の新卒エンジニアたちとももくもく会で話すこともあります。

藤田さん：もくもく会を開催したことで、新卒エンジニアたちもセキュリティに関する相談がしやすくなったようです。「相談しやすい空気づくり」にも貢献しているように思います。

ーーKENROで学習した内容は、実際の業務に役立ちましたか？

馬嶋さん：「プロダクトの堅牢化」を意識しながらバックエンド開発を進められるようになりました。KENROを受講していなければ、そのような意識は持たなかったと思いますし、自分がそのような意識を持っていないことにすら気づかなかったと思います。

ーー日本経済新聞社ではKENROを今後どのように活用していく予定ですか？

藤田さん：新卒エンジニア研修のみならず、今後は中途入社のエンジニアをはじめとした、社内のより幅広いメンバーにも受講していただく方向で調整を進めたいと思っています。

ーー今後、KENROに期待することがあれば教えてください。

馬嶋さん：セキュアコーディング学習を今後も続けていきたいので、今後中上級者向けコンテンツが追加されると嬉しいですね。

藤田さん：確かに、中上級者向けコンテンツもほしいですね。話題になっている割に教材が少ない技術的トピックはいくつかあると思うので、そういったものを上手く拾い上げて教材化してもらえるとありがたいですね。

ーー西馬さん、藤田さん、馬嶋さん、本日はありがとうございました！