導入背景
4年で38名の若手リーダー層らが受講
セキュリティ・バイ・デザインで品質向上へ
都築電気株式会社 プロダクトソリューション統括部 坂﨑 竜介氏
都築電気株式会社にて、人材育成を目的とした社内の有識者コミュニティに参画する坂﨑 竜介氏に、セキュアEggsを導入した背景をお伺いしました。
坂﨑氏「当社では5年ほど前にプロ人材の育成を目的としたHRD(Human Resource Development)コミュニティを発足しました。社内の有識者数十名が組織を超えて参画するワーキンググループで、会社にとって最も重要な財産である”人材”のビジネススキルや専門スキルの向上を目的に、研修や人材育成サポートなどを行っています。ネットワーク構築・アプリ開発・プロジェクトマネジメントなど、幅広い領域において必要となるスキルを向上するトレーニングを、主に内製研修にて実施しています。セキュリティ領域のトレーニングについては、2019年からセキュアEggsを採用しており、これまでに若手リーダー層を中心に38名が受講しています。
お客様プロダクトや自社プロダクトの設計・開発部門に携わっているエンジニアは、直接セキュリティ業務を行うことは少ないかもしれませんが、セキュリティに関する基礎知識を身に付けることで、情報セキュリティを企画・設計段階から確保するための『セキュリティ・バイ・デザイン (Security by Design )』を導入することができ、結果的に品質の向上にもつながります。」
現場の声①
独学では難しいセキュリティ学習
セキュアEggs受講により短時間で理解が進んだ
都築電気株式会社 テクノロジーソリューション統括部 紅林 優友氏
セキュアEggsを受講し、お客様向けWebアプリケーションの設計・開発に携わっている紅林 優友氏に受講の感想を伺いました。
紅林氏「以前にも『セキュリティについての知識を習得したい』と考え、独学でセキュリティについて学んだことはありましたが、どのように学習や資格取得を進めていくべきなのかステップアップの足掛かりが分からず、調べたり読んだりしただけの知識に留まっていました。
しかし、セキュアEggsは短時間の研修ながらハンズオンが非常に多く、自身の体験として学ぶことができたので、セキュリティに関する解像度が一気に高まりました。特に、脆弱性がある仮想環境に対して、実際に攻撃を試すことができたのは非常に分かりやすく、不明点が発生してもリアルタイムで回答してもらえるという点も良かったと感じています。
私が担当しているプロダクトは、設計段階から予めセキュリティが考慮されているため、私自身がーからセキュリティについて考える機会は多くありませんでした。しかし、セキュアEggsを受講し知識を得てからは、開発中のWebアプリケーションに対して、自分で診断ツールを利用して脆弱性診断を実施する機会が増えました。診断により脆弱性が見つかった場合には、対応の必要性や方針について判断や報告ができるようになりました。」
現場の声②
セキュアEggsのハンズオンを通して
セキュリティ的観点の理由や背景に気付き
都築電気株式会社 プロダクトソリューション統括部 尾花 直輝氏
自社プロダクトの開発を行っている尾花 直輝氏にもお話を聞きました。
尾花氏「多くのオンライン研修は、講義が中心で、ハンズオンがあったとしても少し触るのみ…というものが多いですが、セキュアEggsはハンズオンにしっかり時間が取られており、自分で考えながらセキュリティ技術に触れることができます。そのため、“なぜこうなるのか”という点について、背景やポイントに多くの気付きがありました。
私は自社プロダクトの設計・開発を行っていますが、セキュアEgg受講以前はサイバーセキュリティや脆弱性については深く理解ができていませんでした。レビューしてくれた先輩からセキュリティ的観点のフィードバックをもらっても、何がどのように危ないのか抽象的な部分がありましたし、自分が設計・開発を行った部分で脆弱性が発見された際にも、それがどのような脆弱性なのか詳しい知識を持ち合わせていませんでした。しかし、セキュアEggsで脆弱性の問題を網羅的に学んでからは、しっかりと理解でき、必要な対応ができるようになったのを実感しています。」
組織における活用のポイント
セキュアEggs受講者増に伴いクオリティUP
今後はセキュリティ経営支援サービスも展開
左から都築電気株式会社 紅林氏 坂﨑氏 尾花氏 NRIセキュアテクノロジーズ 近藤 藤野
坂﨑氏「当社では2019年にCSIRT組織を立ち上げ、社内向け『セキュリティ開発ガイドライン』やツールなどの整備・開発を行いました。開発メンバーは、このガイドラインに沿った開発ツールやフレームワークを使うことでセキュリティの詳しい知識がなくても設計・開発は可能です。
しかし、ツールが自動で対応できないポイントもあります。セキュリティの知識を持っていれば、ツール任せにできない点について理解し適切に実装することができ、結果的に開発品質の向上につながります。実際にセキュアEggsの受講者が増えていくのに伴って、検出される脆弱性の件数も減ってきているのを実感しています。
また当社には、お客様に対して高品質なサービスや新技術を提供するために、国家資格、IPAなどの公的資格や民間資格を保有し実務経験を積んだ人材を、ICT技術者として認定する『Tsuzuki Certification Program(以下、TCP)』制度があります。TCPでは情報処理安全確保支援士(登録セキスペ)も対象の資格として位置づけているため、特定講習として認定されているセキュアEggsを受講することも社員にとってモチベーションの一つとなっています。
今後は、TSFのサービスラインナップとして発表した『サイバーセキュリティ経営支援サービス』も重要なサービスの一つとして位置付け、分析やアドバイスなど高度なサービス展開を行っていく予定です。
セキュアEggは基礎的な研修ですが、セキュリティ・バイ・デザインのみならず、システム開発や運用に携わる社員がお客様とセキュリティについての会話ができるようになるためのトレーニングとしても非常に有効ですので、今後も活用していきたいと考えています。」
※本文中の組織名、職名、概要図は2023年7月時点のものです。
