課題

• セキュリティ診断を外注していたため、社内にノウハウが溜まらずエンジニアのセキュリティ技術も向上していなかった
• 動画の学習サービスを利用していたが、受け身で学ぶため、現場に生かされている実感がなかった

効果

• 独自に設定した2ヶ月間の受講期間で無理なく学習を完了した
• GitHub上のコードレビューでセキュリティリスクに関する議論が活発化した
• 今後入社するエンジニアのオンボーディングプログラムのひとつに、KENROの導入を予定

今回は Product Engineering 部門の河端良介さんに、KENROを導入した経緯、感想、効果を伺いました。

サービスが成長するにつれ、よりセキュリティを強化する必要があった

――今まで、セキュリティに対してどのような課題を持っていたのでしょうか。

河端良介さん（以下、河端さん）：セキュリティ診断は定期的に実施していましたが、診断会社に外注していました。それだと社内にノウハウが溜まらず、エンジニアのセキュリティ技術も向上しません。

サービスが成長するにつれて、顧客数が増えて組織も大きくなっています。なのでセキュリティ診断をしつつ、個々のエンジニアのセキュリティ技術を上げるためのセキュリティ教育サービスの導入も必要だと考えていました。

――セキュリティ教育サービスの導入を検討している中で、KENROにお問い合わせいただいたきっかけは何だったのでしょうか。

河端さん：過去に、動画サービスを使ったセキュリティ研修を実施したことはあるんです。しかし、動画の場合は受講者が「学習していること」は分かるけれど、「きちんと知識が身についているか」までは分からないため、現場の業務に生かされている実感がありませんでした。そんな中、KENROを知り、問い合わせをしました。

――KENROを選んでいただいた決め手を教えてください。

河端さん：まず、トライアルを受講したときに、開発チームから満場一致で「導入したい」と声があがりました。決め手の一つは、堅牢化演習です（※）。堅牢化演習のように、実際にコードを書いて修正できるのは、以前導入していた動画サービスやリサーチしたほかのサービスではなかったため、「Webアプリケーションに携わるエンジニアは絶対に受講すべきだ」という意見が上がっていました。

※編集注：「堅牢化演習」はコードを書いて脆弱性を修正する演習です。修正するソースコードはPython・Java・Go・PHP・Ruby・C#から選ぶことが可能です。

金額に関しても、万が一インシデントが起きたときのリスクに比べたら高くはないと思いました。私たちは「早いうちに上流でリスクの芽をつむべきだ」と考えています。

また、ひとつのサービスで色々な演習ができて、ほかのサービスを導入する必要がないため、セキュリティ教育予算を計算するのが容易なのも、会社としてはうれしいポイントでした。

Ruby on Railsに対応している点が導入してよかった理由の一つに

――「ecforce」の開発に携わっているメンバーが受講されたとのことですが、運用やマネジメントはどのようにしていたのでしょうか。

河端さん：KENROは受講期限が12ヶ月ですが、受講者には、「業務と並行しながら、2ヶ月間で受講を終えてもらいたい」と伝えました。

というのも、今後はエンジニアが入社したあとのオンボーディングプログラムにKENROを入れることを検討しています。つまり研修期間の2か月間で受講を完了する予定なので、そのスケジュールでの運用に慣れるために、期間を2か月と設定しました。

スケジュール管理に関しては、一人ひとりの進捗は細かく管理していませんが、確認が必要であれば管理画面を参照できるのと、弊社でKENRO用に作成したSlackチャンネルがあるため、そこで誰がどこまで進めているのかは把握しています。もし分からない問題があっても、Slack内で相談したりネットを使って個々で調べてたりしているようなので、つまずいて受講が進んでいないというメンバーはいませんでしたね。

――受講者からは、どのような感想が上がっていますか。

河端さん：まず、「私たちの開発言語・フレームワークであるRuby on Railsに対応しているのがよかった」という意見がありました。慣れている言語だからこそ、しっかり学べているようです。

また、最初に「受講にかかる時間は約20時間」と伝えていたので、各々が自分のスケジュールにあわせて受講することができました。1日に2～3時間使って一気に進める人もいれば、隙間時間に30分ほど使って細切れで進めている人もいました。

演習内容に関しては、堅牢化演習で実際に手を動かし「自分で実際にコードを修正する」という過程を体験できるので、修正方法を理解しやすかったです。実は私自身もKENROで多くの学びがあったんです。というのもRuby on RailsはSUPER STUDIOに入社して初めて書いた言語なので、KENROを通してフレームワークとセキュリティの関係について基礎的な部分から学ぶことができました。

――KENRO導入後、開発現場では変化はありましたか。

河端さん：今までより、セキュリティリスクを意識してコードを見直すようになりました。例えばGitHubでPR（プルリクエスト）をレビューするとき、「これはセキュリティホールにならないか？」という議論が行われるようになりました。

発展コース「GraphQLの基礎とセキュリティ」も導入を検討

――今後、KENROをどのように活用する予定ですか。

河端さん：先ほどお話した通り、オンボーディングプログラムに導入予定です。また、採用活動の際にKENROで学べるような内容を質問して、選考のひとつの基準にすることも検討しています。

受講が完了したメンバーに、「受講期間は2か月で問題ないか」「きちんと理解できたか」などのアンケートを行なっているので、その結果にあわせてほかの活用方法も考えていきたいです。

今後新規サービスでGraphQLを利用する可能性もあるのでその際に追加購入することも考えています。

組織もサービスもどんどん拡大していくので、SUPER STUDIOに興味のあるエンジニアの方はぜひ以下の記事からチームの雰囲気など知ってもらえたら嬉しいです。

「ecforce」を支えるエンジニア4人を取材｜バックエンドエンジニアとしての働き方とその魅力 https://www.wantedly.com/companies/super-studio/post_articles/332848