課題

• セキュリティ教育コンテンツを探していたが、IPAのドキュメントやセキュリティに関する技術書は若手エンジニアにハードルが高かった

効果

• 若手エンジニアが楽しみながら脆弱性の知識を学ぶことができ、その結果セキュリティ診断の報告書を理解した上で、改修対応ができるようになった
• 「KENRO」の管理画面で進捗が可視化されることで各エンジニアのプログラミングスキルが分かるため、配属やチームビルディングの参考材料になった

今回は経営管理本部 人事戦略室 室長の青柳健司さん、開発本部 基盤開発部 みらい基盤課の瀧川裕史さん、コーポレートIT部 セキュリティ統括課の山田章夫さんにインタビューし、「KENRO」を導入した経緯、感想、効果を伺いました。

楽しみながらエンジニアがセキュリティを学べるサービスは他にはなかった

――「KENRO」を知ったきっかけを教えてください。

瀧川裕史さん（以下、瀧川さん）：1年ほど前にTwitterで、「Flatt Security Learning Platform（「KENRO」の旧名称）」のβ版リリースがセキュリティ関係者の間でバズっているのを見かけたことがきっかけです。ちょうどそのとき、私たちは若手エンジニアにWebアプリケーションのセキュリティを学ばせる機会がないことに課題を持っていたので、そのリリースを見てサービスに興味を持ちました。

青柳健司さん（以下、青柳さん）：僕もエンジニア出身なのでわかるのですが、やはり若手エンジニアは、セキュリティを学ぶより動くものを作ることに目が向きがちなんですよね。

IPAのドキュメントや技術書を読むことをすすめても、受け身の学習は楽しみながら進められないため、なかなか読み切れないようでした。だから「CTF形式（※）でセキュリティを学習できるサービスなら楽しみながら取り組んでくれるのでは」と思い、問い合わせをしました。

※編集注：CTFとは「Capture The Flag」の略で、サイバーセキュリティにおける技術を競う大会です。

――「KENRO」を受講したときの所感を教えてください。

瀧川さん：「堅牢化演習」 の仕組みが素晴らしいと思いました（※）。脆弱性の修正確認だけでなく正常系の動作までジャッジできるのは、なかなかない教育サービスだと思います。

セキュリティ教育をするにあたり、当初は集合研修を導入することも検討しました。しかし最終的には、堅牢化演習の内容と、堅牢化演習で利用できるソースコードがわたしたちの開発言語であるPythonに対応している点が決め手となり、「KENRO」を利用することにしました。

※編集注：「堅牢化演習」はコードを書いて脆弱性を修正する演習です。修正するソースコードはPython・Java・Go・PHP・Ruby・C#から選ぶことが可能です。

――「KENRO」を導入するにあたり、懸念点はありませんでしたか。

青柳さん：特にありませんでした。開発部だけでなく、私の所属する人事戦略室も前向きに導入を検討していたため、稟議も通りやすかったように思います。

というのも、現在私は人事担当として経営管理本部の人事戦略室にいますが、先ほども言った通り、もともとエンジニアでした。だから入社当初は開発部に所属していたんです。開発部のプロジェクトマネージャーを担当している中で、エンジニアに寄り添った組織づくりをしたいと思い、昨年、人事戦略室へ異動しました。

エンジニア出身だからこそ、エンジニアが組織に求めていることや課題に感じていることを理解できていると自負しています。そのような背景も踏まえ、僕自身も「弊社のエンジニアにはKENROが必要だ」と判断し、開発部と連携してKENROの導入に動きました。

――もともとは一部のエンジニアのみ受講予定だったとのことですが、最終的に全社で導入することになった背景を教えてください。

瀧川さん：開発部は以前まで、プロダクトごとに組織が分かれており、当初はひとつの組織でのみ導入する予定でした。しかし今年の10月に大きな組織変更がありプロダクトごとの垣根がなくなりました。そのタイミングで、人事戦略室内でも「セキュリティについて、みんなが最低限の知識を持ったほうがいいのでは」という意見が上がり、すべてのエンジニアがセキュリティの知識を学べるよう、全社で導入することにしました。

若手でもセキュリティ診断の報告書を理解した上で、脆弱性に関する議論への参加や改修対応ができるように

――受講者からはどのような感想が上がっていますか。

瀧川さん：私たちはKENROを含め、就業時間内に学習のための時間を設けています。その中で順調に進めている人もいれば、立ち止まって悩んでいる人もいて、千差万別でしたね。ただ、SlackにKENRO用のチャンネルがあり、そこで受講者同士が相談し合えていたので、「難しくて途中であきらめる」というようなことはなかったようです。

青柳さん：レベル感としては、まったくプログラミング経験がないとハードルが高そうでした。だから新人は新卒研修を受講したあとに取り組んだほうが、スムーズに学べそうです。

山田章夫さん（以下、山田さん）：あとPythonに対応していたため、「ふだんの開発環境に近い状況で学べる点がよかった」という意見もありましたね。

――「KENRO」を受講したことで、開発現場に変化はありましたか。

瀧川さん：XSS（Cross-Site Scripting ）、SQL Injectionまでは分かるけれど、CSRF（Cross-Site Request Forgery）、OS Command Injectionなどまでは理解が追い付いていない若手メンバーが多かったので、KENROを通じてそういった脆弱性を原理から対策まで一通り理解することができました。

その結果、受講が完了してまだ間もないですが、みんながセキュリティ診断の報告書を読めるようになりました。 今までは知識のある人たちのみで報告書の内容について議論しており、若手は指示されたことを対応しているだけでした。KENROを受講し、「なぜそのような指示をされているのか」を理解した上で改修作業ができるようになったのは、大きな変化でした。

青柳さん：一次情報である報告書が読めないと、言われた通り改修しても正しいかわからないため、二次被害を及ぼす可能性もあります。そのため、今まではセキュリティに詳しい山田さんのようなベテランエンジニアに修正作業のしわ寄せが来てしまっていました。今後はその負担が少しでも減ることを期待しています。

今後はエンジニアの配属やチームビルディングの参考材料としても活用できたら

――今後、「KENRO」をどのように活用していきたいと考えていますか。

青柳さん：CTF形式でゲーム性のあるKENROは楽しみながら取り組んでもらえると思うので、これから入社するエンジニアにも受講してもらう予定です。

山田さん：人事的な側面でも活用できると思っています。座学を経て、演習で実際にコードを書いて修正する作業は、得意なことを把握する上で役に立ちます。今後は、エンジニアの配属やチームビルディングの参考材料としても活用できたらと考えています。