Photo: Anawat Sudchanham / EyeEm / gettyimages
  • 完全オンライン、実践演習でセキュリティスキルを習得
  • 海外では政府のデジタル部門やエンタープライズ機関も活用

セキュリティエンジニアに限らず、プロダクトの開発に携わるすべての開発者がセキュリティ知識を習得する──。そんな流れが国内外で徐々に加速しつつある。

特に海外ではエンジニア向けに「セキュアコーディングのトレーニングサービス」を提供するスタートアップが事業を拡大中だ。Secure Code Warrior、Immersive Labs、RangeForceなど累計で数十億円規模の資金を調達する企業が続々と生まれ、新たなニーズに応えている。

背景にはアプリケーションの普及と開発スタイルの変化が大きく影響している。

今や財布やカギ、自動車などさまざまなモノがインターネットと接続されている時代だ。人々の生活において便利なソフトウェアやアプリケーションへの依存度が高まるほど、その脆弱性が放置されることのリスクも大きくなる。

特にフィンテックやヘルステック領域のサービスはお金や身体情報といったセンシティブな情報を扱う。そのような企業にとってはなおさらセキュリティ対策は欠かせない。

また「近年はアジャイル開発を取り入れる企業が増え、ソフトウェア開発のサイクルが早まっていることも関係している」と話すのは、日本でサイバーセキュリティ事業を展開するFlatt Securityの執行役員CCO・豊田恵二郎氏だ。

豊田氏がキーワードに挙げるのが「シフトレフト」や「DevSecOps」といった概念。これらに共通するのは「ソフトウェアができ上がってから事後的にセキュリティ対策をするのではなく、開発プロセスのより早い段階から脆弱性を潰していこう」という考え方だ。

開発段階で脆弱性を無くしていければ、セキュリティを担保しながら開発工数を減らしたり、開発スピード自体を早めたりすることにも繋がる。そのためにはセキュリティエンジニアだけでなく、プロダクトを開発するエンジニア自身がセキュリティ知識を保有していることが求められる。

完全オンライン、実践演習でセキュリティスキルを習得

海外ではそのためのeラーニングサービスが広がり始めている一方で、日本ではデファクトスタンダードたるサービスが存在しない。その領域に打って出たのがスタートアップのFlatt Securityだ。

同社はWebエンジニアのセキュアコーディング習得を支援するサービス「KENRO(ケンロー)」を新たにローンチした。

Flatt Securityが4月13日に正式ローンチした「KENRO(ケンロー)」
Flatt Securityが4月13日に正式ローンチした「KENRO(ケンロー)」

KENROの特徴は攻撃者が用いる手法を体験する「ハッキング演習」や、実際に脆弱なソースコードを修正する「堅牢化演習」など、エンジニア向けに実践的なトレーニングを提供していること。セキュリティの知識や最新の脆弱性の情報などをインプットした上で、手を動かしながらセキュアコーディングのスキルを習得できる。

堅牢化演習においては独自のジャッジシステムを開発。ユーザーが修正したコードに対して自動でテストが実行され、脆弱性が修正されたのかを判定する仕組みを作った。

KENROのファーストビュー
堅牢化演習の正答画面
堅牢化演習の結果判定画面

同サービスはもともと2020年11月にベータ版としてローンチし、複数社に対して試験提供をしてきたものだ。

今回の正式版では堅牢化演習の対応言語にJavaとGoが追加されたほか(もともとはPythonのみ、4月中にはRubyにも対応予定)、学習の進行状況を直感的に把握できるダッシュボード機能など管理画面が大幅にアップデートされた。

豊田氏によるとベータ版を試してもらっていた十数社に関しては全社が正式版に移行しているそう。中でも大きな取り組みとしてはサイバーエージェントが2021年度入社のエンジニアの技術研修の一環として、80名規模でKENROを活用している。

KENROは実践的なトレーニングが軸となっているので、ユーザーが受け身ではなく手を動かしながらセキュリティスキルの定着を感じられる点が顧客からの評価にも繋がっているとのこと。また従来主流となっていた集合型の研修がコロナ禍で難しくなっている一方で、完全にオンラインで実施できることも大きいという。

ハッキング演習の提出画面。KENROでは完全オンラインで演習を進められるのも特徴
ハッキング演習の提出画面。KENROでは完全オンラインで演習を進められるのも特徴

サービスの利用料金は、コンテンツの受講のみに絞ったライトプランが1人あたり8万円。そのほか受講管理や分析機能を加えたスタンダードプランや、発展的な追加コンテンツも提供している。

海外では政府のデジタル部門やエンタープライズ機関も活用

冒頭で触れたようなニーズは国内外問わず存在するが、中でも海外でエンジニア向けのセキュリティ学習サービスが先行しているのは「SIer文化」の違いもあるようだ。

KENROのプロダクトマネージャーを務める小島凌汰氏の話では、海外は日本に比べて企業が内製でプロダクトを開発するケースが多いため、シフトレフトなどのトレンドとセットで学習サービスの導入が進んでいるそう。

これはテック企業に限った話ではなく金融機関やリテール領域のエンタープライズ企業、政府系機関のデジタル部門などでもそのようなサービスを活用している例があるという。

海外ではKENROと近しいサービスの大型調達が続いている
海外ではKENROと近しいサービスの大型調達も続いている

一方で日本ではSIerに開発を任せ、社内には内製化のための組織を持たない企業も存在する。開発と実運用を別々のチームが担当することも珍しくなく、現場のエンジニアにセキュアコーディングを学んでもらうための環境を用意する力学が働きづらかった。

ただ小島氏によるとこの流れも徐々に変わってきているそうだ。国内でも内製化に向けて舵を切る企業が増え始めているほか、SIerに依頼をする場合でも「セキュリティのことをある程度わかっていないと対等に話を進められない」というような声を聞くことも増えたという。

近年、日本においてもセキュリティの穴を突かれて不正利用が発生した結果サービスが終了に追い込まれたり、大量の顧客情報が漏洩して大きなニュースとなるような例も生まれている。

セキュリティを担保するためのアプローチとして、エンジニアのセキュアコーディングスキルの習得をサポートする仕組みは今後一層ニーズが高まっていきそうだ。