KENRO(ケンロー)byFlatt Security

KENRO導入事例インタビュー

GMOペパボの新卒エンジニアセキュリティ研修に「KENRO」を導入。内製教材の課題を6言語対応のコーディング演習が解決

GMOペパボ株式会社は「インターネットで可能性をつなげる、ひろげる」をミッションに掲げ、2003年の創業以来、ホスティング事業、EC支援事業、ハンドメイド事業を主とする個人から法人まで幅広い層に向けたインターネットサービスを多数展開し、インターネット上での表現活動を支援しています。

課題

  • 今までセキュリティについての研修教材は内製のものを利用していたが、対応言語が2つのみであるなどコンテンツ拡充まで手が回っていなかった。

効果

  • 「KENRO」は多言語に対応し、かつ実践的に脆弱性を発見・修正する演習を行えたので効率的・網羅的に研修を実施できた。

今回はセキュリティ対策室シニアエンジニアのK.M.さんに、「KENRO」を導入した経緯、感想を伺いました。

元々は内製の研修教材を利用していたが、多言語への対応などはリソース不足で手が回っていなかった

Mr.Morita

シニアエンジニアのK.M.さん

――「KENRO」を知ったきっかけを教えてください。

K.M.さん:そもそもFlatt Securityさんのことは、開発者向けの日本のセキュリティ企業ということで元から興味を持っていました。そんな中御社がセキュアコーディング研修のサービスをリリースしたことを知り、問い合わせるに至りました。

――今まで、セキュリティに対してどのような課題を持っていたのでしょうか。

K.M.さん:内製していたセキュリティ研修のコンテンツ拡充に割くリソースが足りていないという課題がありました。

弊社ではセキュリティについての研修を全エンジニア向けに年に一回実施するのと、新人研修でも実施する形で取り組んでいますが、今まではこれらの研修について内製コンテンツを利用していました。

内製していた演習方式の研修教材「CureVuln」は、PHPとRubyの2つのプログラミング言語に対応し実際に手を動かせる演習ということで社内の評判も良かったですが、それ以上の多言語への対応など、コンテンツ拡充に割くリソースが不足していました。

――「KENRO」を選んでいただいた決め手を教えてください。

K.M.さん:多くのプログラミング言語に対応していることと、実際に手を動かせる演習方式の教材であることが決め手になりました。

※編集注:「KENRO」はPython・Java・Go・PHP・Ruby・C#の6言語から好きなものを選んでサンプルコードを閲覧したり、演習問題に解答したりできます。

弊社では実際の業務において多くの言語を扱うので、対応言語が多いのは嬉しかったです。また、内製時代から演習方式の研修については評判が良かったので、演習を主体とする「KENRO」も同様に有用だろうと感じていました。

アプリケーションを攻撃するような演習を持つ研修は「KENRO」以外にも既にいくつか存在していると思いますが、そのような脆弱性を発見する演習だけではなく、見つけた脆弱性の直し方や、そもそも脆弱性を生まない開発とは?といった内容が現場のエンジニアには求められていると思います。

そういった内容にまで踏み込んだ教材だったことが「KENRO」を選んだ決め手です。

※編集注:「KENRO」は脆弱なアプリケーションを攻撃する「ハッキング演習」と脆弱なソースコードを修正する「堅牢化演習」の両方の機能を持っています。

演習形式の教材で、開発経験の少ない新卒エンジニアでも楽しみながら受講できた

――新卒研修での「KENRO」の活用方法を教えてください。

K.M.さん:弊社に新卒入社するエンジニアはGMOインターネットグループ全体で共通の研修を受講していますが、今回はそのあとにGMOペパボ独自の研修として「KENRO」を利用させていただきました。

新卒エンジニアたちには前者の研修でRailsチュートリアルやフロントエンド、コンテナ、データエンジニアリングなどについて基本的な知識を網羅的にインプットして貰った後に「KENRO」を使って演習方式でセキュアコーディング研修を受けてもらいました。

――「KENRO」を実際に受講した方々の感想を教えてください。

survey a survey b survey c survey d

実際のアンケート結果

K.M.さん:学習できる脆弱性の種類が豊富で、かつ解説のテキストがわかりやすかったというのが実際に受講した新卒エンジニアからの感想です。

また、実際にアプリケーションに触れながら脆弱性の攻撃・修正を行える演習方式で楽しく学べたという意見もありました。

――新卒研修の管理者の目線で、「KENRO」を導入した感想を教えてください。

pepabo progress

受講途中時点での管理画面

K.M.さん:「KENRO」の管理画面で受講者の進捗をグラフで確認できたり、csvをエクスポートすることでデータを集約・加工できたのは、管理者として便利だと感じました。

また弊社では実際に業務で使う言語も多いので、「KENRO」でそれらの言語を使いながら学習した内容は直接業務に活きそうだという期待感もあります。

「KENRO」を利用したことで、「どのような画面・機能に脆弱性の発生する可能性があり、実際にどんなコードから脆弱性が発生するか」を一連の流れで学べたと思いますので、新卒エンジニアが実際にコードを書く時にも、コードレビューをする時にも活かせそうだなと思っています。

――今後、「KENRO」をどのように活用する予定ですか。

K.M.さん:セキュアコーディング研修を社内のセキュリティエンジニアの負担無しで実施できるのはとても便利なサービスだと思いますので、来年以降の新卒研修や現社員の年次のコーディング研修でも活用させていただけたらと考えています。

  • シェア
  • このエントリーをはてなブックマークに追加

    • 無料でコンテンツを試す

    実際の演習やコンテンツの一部を今すぐに体験できます。(クレジットカード登録不要 / 期間無制限)

    機能や活用事例をすぐに知りたい方はこちら