株式会社ドワンゴ様 │ SecuriST®認定Webアプリケーション設計士、認定脆弱性診断士
~新入社員エンジニア育成の最前線:ドワンゴが取り組むオリジナルセキュリティ研修の全貌~
ドワンゴ様独自の新入社員エンジニア向け教育プログラムとして、認定Webアプリケーション設計士、認定脆弱性診断士をカスタマイズして組み込みプログラムとして設計
ドワンゴ様が用意したカリキュラムとGSXが提供する講座がシームレスにつながることで学習効果を最大化
株式会社ドワンゴ様はニコニコをはじめとしたウェブサービス、ニコニコ超会議などのイベント、学校法人角川ドワンゴ学園が運営するN高等学校・S高等学校・R高等学校への教育サービスの提供と幅広い事業を展開していらっしゃいます。 システムは内製での開発を中心としており、セキュリティ人材の育成に積極的に取り組んでいらっしゃいます。この度、新入社員エンジニア向け教育プログラムとしてSecuriST®認定Webアプリケーション設計士、認定脆弱性診断士をご採用いただき、ドワンゴ様の教育プログラムに沿った形にカスタマイズしてご提供いたしました。 ドワンゴ様の開発体制や人材育成手法など幅広くお取組みについてお伺いしました。
目次
SecuriST®認定Webアプリケーション設計士
SecuriST®認定脆弱性診断士
お名前:西岡 優作(にしおか ゆうさく)氏
ご所属・役職:ニコニコ事業本部第三開発部 部長
技術本部モバイル開発部 部長
業務内容:ニコニコチャンネルやニコニコ大百科、ドワンゴジェイピー等の開発責任者、エンジニア全体の採用施策、エンジニア新卒研修の運営
お名前:丸尾 将輝(まるお まさき)氏
ご所属・役職:ニコニコ事業本部第二開発部購読基盤開発セクション マネージャー
業務内容:ニコニコの課金システムの開発。エンジニア全体の採用施策、エンジニア新卒研修の運営
お名前:万谷 勇輝(まんや ゆうき)氏
ご所属・役職:教育事業本部サービス開発部iOSアプリセクション マネージャー
業務内容:iOSアプリ開発、エンジニア新卒研修の運営
お名前:佐山 千夏(さやまちなつ)氏
ご所属・役職:教育事業本部サービス開発部webフロントセクション
業務内容:エンジニア新卒研修期間
お名前:王 篤遥(おう あつのぶ)氏
ご所属・役職:ニコニコ事業本部第三開発部ニコニコQセクション
業務内容:エンジニア新卒研修期間
近年、インターネットを活用した様々なコンテンツサービスが急速に普及する中、利用者が安心して使用できるサービスを構築することが企業の大きな課題となっています。そのような中、動画プラットフォームの代表格でもある「ニコニコ」や、「教育事業」など、幅広いサービスを展開するドワンゴ様は、エンジニア育成に本格的に取り組んでいます。
特に、新入社員エンジニア向け教育プログラムでは、セキュリティに特化した内容に重点を置き、サイバー空間に潜む様々な脅威から自社サービスを守るための基礎知識を習得する試みが行われています。この実践的な教育プログラムでは、単なるプログラミングスキルの習得だけでなく、幅広い開発力や設計面での視点を養う機会を提供しています。
今年の新入社員エンジニア向け教育プログラムでは、GSXのオリジナル講座であるSecuriST®認定Webアプリケーション設計士、認定脆弱性診断士をカスタマイズして組み込み、教育プログラムの一部としてご採用いただきました。プログラムを通じて、新入社員エンジニアのみなさまは数々の課題に取り組み、実践に直結するスキルと知識を習得いただくことができました。
ドワンゴ様がどのような哲学のもとで新入社員エンジニアを育成し、またプログラムを通じてどのような変化が新入社員エンジニアの方にもたらされたのか、様々な角度からお話をお伺いしました。本記事を通じて、セキュリティ人材育成の最前線にいらっしゃるドワンゴ様の取り組みと、同社オリジナルの教育プログラムが新入社員エンジニアのみなさまにとってどれほど有意義なものとなったのかをご紹介します。
▼西岡氏ドワンゴではニコニコをはじめとした多くのWebサービスを提供しています。現在ニコニコと教育合わせて数百名体制の規模で開発を行っています。「事業の根幹に関わる部分は自社で責任を持って開発する」という考え方や、Webサービスの機能開発は小さなものから大きなものまでアジャイル的に日々改善が行われ、迅速にリリースしていくことが重要であることから、システム開発は内製化をしている部分が多いです。
AWSを積極的に利用しており、AWS社の公式ブログに「AWSで実現するニコニコの大規模セキュリティ改革の概観」という記事を寄稿しました。これが大きな反響を呼び、ドワンゴの技術力やセキュリティに対する考え方をお示しできたと考えています。AWSサミットではクラウドエンジニアおよび弊社代表の夏野がセッション登壇をするなど、積極的な情報発信に取り組んでいます。
▼丸尾氏ニコニコの開発を例にすると、開発した機能はリリースごとに脆弱性診断を外部に委託して実施しています。また、社内セキュリティレビューを実施する体制を整えており、機能を構築したエンジニアが想定されるリスクを洗い出しています。開発担当者たちが自己チェックをして、チーム内外の必要な人のレビューを受けるところまでを責任を持って対応するという流れにしています。セキュリティレビューは開発の後半に実施されることが多く、シーケンス図や開発した機能の説明を受けながら、想定されるリスクを洗い出し、レビューをしています。課金の仕組みを持つサービスの場合は、外部の決済エージェンシーとの接続に不具合が生じることが懸念されるため、接続先のエージェンシーと密に連携し仕様の把握やセキュリティ面での陥りがちな点について情報収集し、シーケンス図などに沿ってレビューを行っています。
▼西岡氏新入社員の研修はマナー研修といった社会人としての一般的な知識・スキルの習得に関しては人事部門で実施しますが、エンジニアリングに関する研修は開発部門で担っています。数年前にCTOからの要請でプロジェクトチームが立ち上がり、現在は西岡・丸尾・万谷含む数名でカリキュラム設計から実行までを推進しています。3カ月間に渡る研修には1人1人にメンターが付き、わからない点を先輩社員に聴くなど、新入社員に寄り添った体制を整えることで、知識やスキルの習得をサポートしています。
また、資格取得奨励金の制度があり、AWSやネットワークなど幅広く学び、資格を取得することでスキルを身に付けることができる環境が整っています。ドワンゴには技術が好きな人が多く、自発的に学ぶ姿勢を持っている人も多いです。当然、アサインされるプロジェクトの要請に応じて学びが進むケースもあります。私自身も過去にブロックチェーンのプロジェクトを任されたことがあり、その際にブロックチェーン技術を学ぶ機会を得ました。
新入社員エンジニア向け技術研修は形を変えながら継続して実施してきていますが、現在のプロジェクトチームで考えて設計した研修は今年で5年目になります。自分たちで作った教育プログラムの中に、外部の講習を組み込んで設計しています。昨年度まで外部講習として利用していた委託先の講習が廃止になるとのことで、セキュリティ全般を学ぶことができ、座学と手を動かして学ぶことができる講座がないかと探していたところ、GSXの教育講座に辿りつきました。
▼万谷氏この教育プログラムは座学と実践をシームレスにつなげて学びを深めることができるように設計しています。今回SecuriST®「認定Webアプリケーション設計士」と「認定脆弱性診断士」をカリキュラムに組み込んでいます。
GSXの講座を受講するのと並行して、Webアプリケーションを構築する課題があり、これまでの学びを活かしてWebアプリケーションを各自で構築しています。講義を通じてセキュリティ視点の学びを得ることで、講義前から構築したWebアプリケーションに対しても、新しい気づきを得ることができるカリキュラム設計になっています。
講義を受講した社員は自らが構築したWebアプリケーションに対しセキュリティ観点での修正点を見つけることができるなど多くの気づきを得ています。この経験が実務でも活用されるものと期待しています。また、今回設計した教育プログラムは、我々が期待した通りの成果を上げることができたと自負しています。
▼GSX西野通常であれば、「認定セキュアWebアプリケーション設計士」は1日間の座学、「認定Webアプリケーション脆弱性診断士」は2日間の座学とハンズオンプログラムとして提供していますが、今回はドワンゴ様の研修プログラムに組み込むため、認定セキュアWebアプリケーション設計士に認定Webアプリケーション脆弱性診断士のハンズオン部分を組み合わせて合計2日間プログラムとして特別にカスタマイズし、30名を超えるエンジニアの方にご受講いただきました。セキュア設計に係る知識を学びながらも座学だけでなくハンズオンも行える研修としたい、というドワンゴ様のニーズに対応した特別プログラムになっており、座学とハンズオンが半々となる構成としています。
Webアプリケーション設計士の講義はアプリケーション構築時にどのようにセキュリティ要件を設計に反映すればよいのか、どのような考慮点があるのか、シフトレフトの考え方などを踏まえつつ、Webアプリケーション設計のポイントを体系だって習得いただきました。
脆弱性診断士の講義では、構築されたアプリケーションを診断するための知識・スキルを習得することはもちろんのこと、セキュリティの視点を持ち開発できるようなカリキュラム設計になっています。通常では2日かけて講義する内容をハンズオンを重視したカリキュラムとして再設計しました。
SecuriST®は座学で学んだことを演習環境で実践し習得できるようGSXが環境を提供しています。この点が大きな特徴であり、多くの受講者様に支持を頂いています。ドワンゴ様の研修プログラムでも実践環境を提供させていただいており、手を動かすことで知識をスキルとして身に付けることができたとご評価いただいています。
▼佐山氏私は、大学生の頃から教育に携わる職業を目指していて、とあるきっかけでプログラミングを学ぶ機会があり、教育事業のシステム開発に携わることができるという観点からドワンゴのインターンに参加したことがきっかけで入社することになりました。
GSXの講義については、事前に資料が共有されており、それを読み込んで講義に臨むことができたため、効率的に学ぶことができました。座学での講義に多くの学びがあり、そのあとに手を動かすハンズオンへと続いていくため、理解を深めていくことができました。研修課題として開発したWebサービスにおいて、不足している点に気付くことができました。中でも実際に攻撃を実行してみることができる機会は稀であるため、実践環境で攻撃を体験できたことは貴重な経験になりました。実際に攻撃をしてみることで、エラー処理や予期せぬ入力への対策が不十分だと、アプリケーションがいかに脆いかということを痛感しました。普段のコーディングでは見逃してしまいそうなポイントへの意識を持つことができました。教科書やネットの記事で見ていた攻撃手法を実際に試してみたことで、頭の中だけで理解しているのとは全く違う視点が得られました。また、開発にあたってはフレームワークを活用することが多くありますが、これまではフレームワークに対してなんとなくでしか理解ができていませんでしたが、講義を通じて具体的な理解に変えることができました。
▼王氏私は、ニコニコのWebサービスの開発に携わりたく、インターンに参加したことがきっかけでドワンゴに入社することになりました。コンテンツによって感動を提供できることを高校生の頃から感じており、コンテンツを創造するクリエイターの力になりたいと考えています。
GSXの講義を受けたことで、開発の工程でXSSへの対処やクロスサイトリクエストフォージェリへの対処などセキュリティに対する要点を抑えることができ、現場での実務にも活かすことができると感じています。実際に、コードレビューの際に、同僚が記述したコードに潜む潜在的なXSSの危険性を指摘し、適切なエスケープ処理を提案することで、セキュリティ意識を高めるきっかけを作ることができました。中でもハンズオンがとにかく楽しかったです。模擬環境をチェックし、SQLインジェクションが発生し得る箇所を発見。開発段階でバリデーション処理を提案・実装し、新しく仕組みを設計するスキルを磨くことができました。標準的なフレームワークの場合、フレームワークそのもので脆弱性をカバーしているため、独自で開発したフォームなどに対しSQLインジェクションなどを試みる機会もありません。GSXの講座では独自の環境が提供されており、脆弱性診断を動かしたり、実際に攻撃してみたりすることができるため、貴重な体験ができたと感じています。実は、研修課題で作るWebアプリケーションの認証の実装方法について悩んでいて、ローカルストレージを利用しようとしていたのですが、見事に講義の中でローカルストレージを使わないようにと教わり、実践的な講義であることを身をもって感じることができました。
▼西岡氏今回の教育プログラムは自分たちが思った通りのプログラムにできました。GSXの講座についてもセキュリティの全般を座学で学び、手を動かして反復するという主旨にそった内容にすることができ期待通りでした。
今後も新卒の段階から研修を通じてセキュリティの意識を高めてもらい、自分たちが開発するWebアプリケーションに脆弱性を作り込まないようにする意識を持ったエンジニアをこれからも育成していきたいと考えています。
サイバー攻撃が高度化・巧妙化する中で、セキュリティに関する専門知識を備えた人材の需要は業界全体で年々高まっています。ドワンゴ様はこの課題に対し、エンジニアのキャリア初期段階から「セキュリティ」を重要な柱として位置づける教育を実践しています。
今回の新入社員エンジニア育成プログラムでは、実践的なスキルを磨くことだけでなく、セキュリティに対する意識改革を促すきっかけとなりました。プログラムを通じて、個人の成長やチーム全体の文化変化を引き起こし、ドワンゴ様ならではの研修スタイルも進化を続けています。
新入社員エンジニアの皆様は、机上の知識だけではなく、リアルな攻撃・防御シナリオを体験することを通じて、セキュリティ問題に正面から対応する力を身につける第一歩となりました。プログラムを通して得たスキルやマインドセットは、日々の業務プロセスに直結し、ドワンゴ様が提供するサービスの安全性の寄与へとつながっていきます。
システム環境、開発手法、セキュリティ対応が複雑に絡み合う現代において、今回の研修をきっかけに、より高度なスキルを持つセキュリティエンジニアが育成されるとともに、エンジニア全体が「セキュリティ意識」を本当の意味で身につける流れに寄与することが期待されます。また、ドワンゴ様のエンジニア育成の取り組みは、自社で研修を行う企業にとって、プログラム設計や実行のヒントが多く詰まっています。
今後もドワンゴ様の取り組みが進化し、サービスの「安心」と「安全」を兼ね備えたインフラを提供するだけでなく、次世代エンジニアの輩出を通じて、IT業界全体の健全な成長に貢献していくことと期待されます。
- 開発マネージャー陣による教育チーム組成 現場を統率するマネージャーが育成チームを組成し、現場で培った実践感覚に基づき教育を実行
- 座学と実践の組み合わせによる理解の深化 座学で学んだことを実践で手を動かして反復することで学びを検証し知識をスキルに変えていく
- 自学実践・学び・検証のシームレスな研修プログラム 事前に自学によるプログラミングがあり、セキュリティ研修を経て、自分たちが作った成果物をセキュリティ視点で見直せるようにシームレスな研修プログラムとして設計されている
- GSX教育講座をカスタマイズして組み込み 基本的には定型プログラムとして提供している講座をカスタマイズして自社の研修プログラムに組み込むことで研修成果を最大化
- SecuriST®認定Webアプリケーション設計士 インターネットまたは内部ネットワーク向けに公開するWebアプリケーションをセキュアに構築するための要件や設計を学ぶ、短期集中の1日トレーニングコースです。Webシステムの発注担当者やWebアプリケーションの設計・開発に関わる人におすすめです。PCI DSS等で要求されるOWASP Top10にもとづいた安全なコーディング技法のためのトレーニングとしても最適です。
- SecuriST®認定脆弱性診断士 情報システムのセキュリティテスト(脆弱性診断)の知識や技術の習得と、そのスキルを客観的に証明する仕組みです。「認定Webアプリケーション脆弱性診断士」「認定ネットワーク脆弱性診断士」の2コースがあり、企業の情報セキュリティ対策に必要な脆弱性診断士の育成を目的に、GSXが開発した教育カリキュラムです。
本記事のシェアはこちらから
