課題

• 新卒メンバーの技術力は高いが、セキュリティのスキルにバラつきがあった

感想・効果

• 業務と並行しながらの受講だったが、全員4週間で学習を終えることができた
• 「今回の研修の経験は今後に活かせると思いますか」「この研修を来年度以降の新卒エンジニアに勧めたいですか」というアンケートに対し、受講者全員が高い評価をした

今回は「KENRO」導入をけん引した技術開発本部インフラ部の吉見圭司さん、実際にKENROを受講したpixiv事業本部マンガチームの大庭周士さん、田中風我さんにインタビューし、「KENRO」を導入した経緯、感想、効果を伺いました。

新卒エンジニアでも理解できる分かりやすい内容が導入の決め手に

――ピクシブ様からは過去に弊社にセキュリティ診断を依頼していただいたご関係もありますが、今回なぜ「KENRO」に興味を持っていただけたのでしょうか。

吉見圭司さん（以下、吉見さん）：ピクシブには一芸があるというか、何かしらの分野で秀でた技術を持つエンジニアが集まっています。セキュアに開発する技術に関しては採用の際に一定の基準を設けていますが、メンバーが多くなり、スキルにバラつきが出てきました。運営するサービスが増えていることもあり、セキュリティ技術について学び全体のレベルを底上げできるサービスがほしいと思っていたときに「KENRO」を知りました。

――「KENRO」のトライアルを受けた際の所感を教えてください。

吉見さん：セキュリティの基礎を学ぶ上で必要な内容は網羅されている教育サービスだと思いました。テキストは長すぎず分かりやすいため、受講者も飽きずに進められそうですし、レベル感も、新卒が理解できそうな内容だと思いました。

ゆくゆくは全社で導入できたらと考えていますが、まずは新卒メンバーのセキュアコーディング技術を向上させるために、新卒研修で導入することになりました。2021年入社の新卒エンジニア11名が受講しています。

――新卒研修でのご活用とのことですが、学習の進捗はどのように管理していたのでしょうか。

吉見さん： まずは受講期間を4週間と決めました。何度か「受講期日まで●日です」というリマインドはしましたが、最初から意欲的に進めている人が多かったですね。

※編集注：受講可能期間は12ヶ月です。業務と並行しながら2ヶ月ほどで学習を完了し、残りの期間は復習やリファレンスとしての活用を行うお客様が多いですが、受講スケジュールは個別に柔軟な設定が可能です。

途中からはやはり、分からない部分が出てくる人もいたようでした。しかし、Slackチャンネルで進捗を報告したり分からないところは相談し合ったりしていたので、みんな最後までスムーズに受講できていたようです。

同期で相談し合ったり教え合ったりしてスムーズに受講できた

――実際に受講した感想を教えてください。

大庭周士さん（以下、大庭さん）：内容が分かりやすく、比較的早く受講を終わらせることができました。なのでドキュメントにまとめて、同期に教えたりしていました。

田中風我さん（以下、田中さん）：文章が丁寧で分かりやすかったですよね。技術書の場合は文章が長いので、途中で挫折してしまう人もいますが、学習するのにちょうどいい内容だったように思います。

――通常業務との両立に問題はありませんでしたか。

田中さん：僕たちが所属する部署のメンバーには特に問題はなかったです。ただ、中には大きいプロジェクトに携わっていて、時間を確保することが難しい人もいました。

吉見さん：今回は契約のタイミングもあり、配属後の研修だったので業務と被ってしまう人もいました。今後は配属前の新卒研修に組み込むなど受講タイミングを調整し、改善していきたいです。

――業務をする上で活かされていることはありますか。

田中さん：小説を投稿するサービスを提供しているのですが、そのサービスでは管理画面でHTMLタグを用いて文章を編集することができます。脆弱性を防ぐため、ここでは悪意がある入力を受け付けない設定にしたり、無効化したりする必要がありますが、それらを見極めるための判断基準を知ることができました。

大庭さん：受講から日が浅く、まだ具体的に活かせた場面はありません。ただ、演習内容が実践的だったので、受講した内容と同じようなケースに出くわしたときは、すぐ活かせそうだなと思いました。

「今後活用できるか」「来年度の新卒に勧めたいか」には5点満点中4, 5点の回答のみ。アンケート結果も非常に高評価

――受講者にはアンケートをとっていただいたとのことですが、どのような意見が集まっていますか。

吉見さん：「今回の研修で一番技術的に面白いと思ったコースまたは設問を教えて下さい」と質問したところ、XXE(XML eXternal Entity)、CSRF(Cross-Site Request Forgery)に特に票が集まっていました。おそらく、XMLを実務で使ったことがないため、XXEと回答する人が多かったのだと思います。

XXEのような脆弱性を知ることで、他のフォーマットにユーザーの入力を埋めこむときに気をつけないといけない、ということを理解するためのよいきっかけになりました。

また、Open RedirectionとSQL InjectionとDirectory Traversalといった比較的有名な脆弱性に興味を持っていたメンバーもいましたね。

田中さん：自分もXXEは知らない脆弱性でした。フロントエンドでXMLを受け取る処理などは十分有り得ると思うので、気をつけたいと思います。

吉見さん：「今回の研修の経験は今後に活かせると思いますか」「この研修を来年度以降の新卒エンジニアに勧めたいですか」の2つの質問に関しては、5点満点中4点と5点に投票する人しかいませんでした！全体的に満足度は高かったですね。

今回のインタビュー記事を読んでピクシブの開発チームが気になった方には是非「pixiv inside」を見ていただきたいです。「どんな技術を使っている？」「どんな新卒研修がある？」などのpixivの“内側”はここから覗けます。

pixivのなかの話「pixiv inside」 https://inside.pixiv.blog/

――今後、「KENRO」をどのように活用していく予定でしょうか。

吉見さん：アンケート結果を見ても、新卒研修として十分使うことができると分かったので、来年以降も活用していきたいです。予算との兼ね合いもありますが、Webアプリケーション開発に携わるエンジニアには全員受講してもらえたらと考えています。