- 実践的な演習トレーニングを完全オンラインで実現
- 開発工程でセキュリティチェックを組み込む「DevSecOps」
- セキュリティ診断の構造を変えるようなプロダクト目指す
財布、カギ、自動車、部屋の中にある電化製品、ひいては自分の身体情報まで。身の回りのモノのIoTプロダクト化や、決済サービスなど便利なアプリケーションの普及が進めば、さまざまな情報がインターネット上に繋がるようになる。
そこで重要になるのがセキュリティだ。ユーザーの日常生活に深く関わり、そこで扱う情報がセンシティブなものになるほど、開発企業にはこれまで以上に万全なセキュリティが求められる。
ただアプリケーションが複雑化すればするほど、セキュリティを担保するのも大変だ。セキュリティ診断やペネトレーションテストなどのプロフェッショナルサービス(コンサルティング)や診断ツールを活用する企業も多いが、それだけでは必ずしも十分ではない。プロダクトに携わる開発者自身がセキュリティ知識を身に付け、実装していく必要がある。
そんな考えのもと、サイバーセキュリティ事業を展開するFlatt Securityが新たに立ち上げたのがSaaS型のeラーニングプラットフォーム「Flatt Security Learning Platform」だ。
Flatt Security Learning PlatformはWebエンジニアのセキュリティスキル習得を支援する企業向けのサービス。既存の集合研修型のトレーニングとは異なり、完全オンラインで受講できる仕組みを作ることでより多くのエンジニアに学びの機会を提供することを目指している。
実践的な演習トレーニングを完全オンラインで実現
Flatt Security Learning Platformでは「サーバサイドアプリケーションを1回以上開発した経験を持つWebエンジニア」を主な受講ターゲットに設定し、その人材が持つべきセキュリティ技術を以下の3つに分解。必要なスキルを効果的に身に付けられるプログラムを整えたという。
特徴は「資料に目を通して三択問題のテストを受けるだけ」のありがちなeラーニングシステムとは異なり、攻撃者が用いる攻撃手法を体験したり、脆弱なコードを修正したりといった実践的なトレーニングが組み込まれていることだ。
まずはFlatt Securityがセキュリティ診断などのサービスを提供する中で培ってきた“現場で活用できる”セキュリティの知識や最新の脆弱性の情報、セキュアコーディングのスキルなどをインプット。そこで得られた知識などを用いて、受講者が攻撃者となりシステムを攻撃する「ハッキング演習」や脆弱なアプリケーションのソースコードを修正する「システム堅牢化演習」をこなしていく。
特にシステム堅牢化演習のために「独自のジャッジシステム」を開発していることがポイント。ユーザーが修正したコードをジャッジサーバーに提出すると、自動的にテストが実行されて結果が返される仕組みを作った。
Flatt Security代表取締役CEOの井手康貴氏によると、セキュリティ技術を学習する手段としては現在も集合研修が主流なのだそう。その場合は2日間の研修で1人あたり10〜20万円かかることも珍しくなく、結果として受講するエンジニアの数も限られていた。
その点Flatt Security Learning Platformでは裾野を広げて1人でも多くのエンジニアに学んでもらえることを重要視し、完全オンラインかつ既存の研修よりも低価格で受講できる環境を構築(コンテンツにもよるが目安としては1人あたり数万円から受講が可能)。今まであまり扱われることのなかった「脆弱性を修正する技術」に関するトレーニングも用意して、エンジニア自らが脆弱性に対応できるようになることを目指したという。
すでにサイバーエージェントやSmartHRなど5社がクローズドのアルファ版を試験的に活用しているそう。そこで得られたフィードバックなども踏まえてアップデートを加えたものを本日ベータ版として公開している。
開発工程でセキュリティチェックを組み込む「DevSecOps」
開発元のFlatt Securityは2017年5月の設立。エンジニアとしてFiNCやメルカリに在籍していた代表取締役の井手康貴氏など東大生メンバーが中心となってスタートしたチームだ。
当初はライブコマースアプリの「PinQul」を運営し、複数回の資金調達を実施するなど事業を拡大していたものの2018年にサービスのクローズを決断。2019年から現在手掛けるサイバーセキュリティ領域に方向性をシフトした。
約1年ほどはウェブサービスやスマホアプリのセキュリティ診断を軸としたプロフェッショナルサービスを中心に展開してきたが、春先からはそこで得られたノウハウや顧客のニーズを基に複数の自社プロダクトの開発を並行して進めてきた。
その際に井手氏達が軸にしたのが「DevSecOps」という近年注目を集める概念だ。これは開発から運用までを一連のものとして考えるDevOpsのプロセスにセキュリティも加えたもの。大雑把に説明すると「ソフトウェアの開発工程にセキュリティチェックを組み込むことで、早い段階からセキュリティを担保しよう」という考え方だ。
通常のセキュリティ診断ではソフトウェアが出来上がったタイミングで“事後的”にチェックをするが、もしその段階でバグが見つかれば設計段階からやり直すハメになり、膨大な工数と時間がかかってしまう。
これが非常に厄介なため、中には「診断を依頼したいけれど、できれば脆弱性を見つけて欲しくない」というオーダーをする企業も業界では存在するそう。セキュリティ企業はクライアントからお金をもらう構造上、クライアントファーストになりがちで、最終的にユーザーにしわ寄せがいくこともあった。
DevSecOpsを採用することで開発段階から脆弱性を潰していくことができれば、セキュリティの質を担保しながら工数自体を減らす効果も見込める。特に近年はアジャイル開発がメジャーになりソフトウェア開発のサイクルが早まる中で、それに適したセキュリティの仕組みとしてもDevSecOpsに注目が集まりつつあるという。
セキュリティ診断の構造を変えるようなプロダクト目指す
とはいえ、現時点ではモダンな開発を取り入れている会社でもDevSecOpsが浸透している現場は少ない。井手氏は大きく2つの課題があると話す。
1つ目はまさにFlatt Security Learning Platformにも繋がる「開発者のセキュリティ知識」に関する課題だ。すでに大手のベンダーなどがDevSecOpsをサポートするツールなどを展開してはいるものの、一定のセキュリティ知識がなければ使いこなすのが難しいため、現場でフル活用されるに至っていないケースが多いそう。
加えて、開発の工程でスムーズに利用できるプロダクト自体が少ないことが2つ目の課題。既存のツールに関してはUXの面でアップデートできる余地があり、「開発フローの中でいかにシームレスに使えるツールを作っていけるか。ここが大きなポイントで、自分たちにとっての勝ち筋になる」(井手氏)という。
今回Flatt Securityがeラーニングプラットフォームを開発したのも、これまでさまざまな企業のセキュリティ診断を手がける中で「企業の最新の開発スタイルにマッチするように、セキュリティ側のアップデートも必要」だと感じたからであり、そのためにはすべての開発者がセキュリティ知識を習得できる仕組みこそが不可欠だという結論に至ったからだ。
ゆくゆくはDevSecOpsの概念を取り入れた自動診断プロダクトなども展開しながら、セキュリティ診断の新しいスタンダードを作っていくことも見据えている。
「今回のプロダクトはセキュリティ診断の課題を解決するものであると同時に、これから加速するであろうDevSecOpsの未来に向けた布石となるものでもあります。DevSecOpsは開発工程の上流でセキュリティを担保する取り組みですが、自分たちは『最上流に位置するのはエンジニア自身』だと捉え、そこに対してアプローチすることから始めていきたいと考えています」(Flatt Security執行役員CCOの豊田恵二郎氏)
「ゆくゆくはコードを渡せば自動で脆弱性を診断してくれるようなプロダクトまで踏み込んでいく計画です。そのためには中長期のR&Dも必要ですが、実現できれば開発段階でかなりの脆弱性を見つけることができ、セキュリティ診断の構造自体を大きく変えられる可能性があります。見つかった脆弱性をエンジニア自身が修正できれば開発工数の削減にも繋がる。まずは今回のプロダクトを通じてエンジニアが場所や時間にとらわれず、必要セキュリティ技術を学習できる機会を作っていきます」(井手氏)
