【インターネットを安全に】Webアプリケーションセキュリティのスペシャリスト“セキュアスカイ・テクノロジー”です

【ディップ株式会社様 インタビュー】

システム企画本部
システム開発部　部長
江畑 英明様

システム企画本部
システム開発部　マネージャー
森脇　久司 様

ディップ株式会社は、人材派遣のお仕事探しの情報サイト「はたらこねっと」、アルバイト情報サイト「バイトルドットコム」、看護師専門の転職サービス「ナースではたらこ」、採用ホームページ検索エンジン「ジョブエンジン」等をはじめとした業界最大級の総合求人情報サイトを扱うサービス会社である。1997年3月設立。

システム開発部メンバー全員で、「脆弱性を作り込まない」知識を45日間で取得

ディップは、Webサイトを通じた求人サービス運営のため、複数の求人・紹介サイトから登録される重要度の高い個人情報を収集・蓄積している。同社はこれまで、利用者の個人情報を安全に管理するため、プライバシーマークの取得、Webアプリケーション診断の実施、SSLサーバ証明書を利用した通信の暗号化など、情報セキュリティ対策に真摯に取り組んできた。このたび、Webアプリケーションを開発するメンバーに向けたセキュリティ教育として、SSTが2011年4月にリリースした実践的セキュアプログラミングeラーニングを社内研修としていち早く取り入れた。

研修実施の背景には、セキュアプログラミングによってWebアプリケーションの開発段階から脆弱性を作り込まないようにすることでサービスリリースのスケジュールをオンタイムで管理することと、一部のリーダーだけでなくシステム開発部メンバー全員が受講することでチーム全体の底上げを図るという2つの目的があった。

同社システム開発部 江畑 英明氏は、研修導入を決めた理由として、まず、各メンバーが自分のペースに合わせて効率よく学習できる点を挙げた。Webサイトをリリースする前に実施しているWebアプリケーション診断で脆弱性が発見されると、アプリケーションの修正でスケジュールの遅延が発生する。それを未然に防ぐために脆弱性を作り込まないように開発段階から留意する必要があった。そのためには、メンバー全員を対象にしたセキュアプログラミング研修が求められたが、メンバー全員で一斉に研修を受講することが困難なため、各メンバーが容易に受講できるeラーニング形式が同社にマッチした。次に、同社はPHPを活用してWebサイトを開発しているため、セキュアプログラミングのサンプルコードがPHPで記述されているテキストが評価ポイントになった。一方、eラーニングでは受講者がきちんと受講しているか？どのくらい理解をしているか？などの不安要素があった。そこで、理解度確認テストや終了後のまとめ研修（復習やグループ討議、Q&Aなど）を実施することが、導入の最終的な決め手に繋がった。

脆弱性の脅威は学ばなければ分からない

eラーニングを受講したあるメンバーは、「SQLインジェクションなど名前しか知らなかったが、実際の脅威を知ることで安全なWebサイト構築への理解を深めることができた。」とコメントした。実際の開発現場では、脆弱性名称を聞いたことはあるが、その脆弱性を作りこんだことによるリスクの大きさに対する認識が甘くなっているケースも少なくは無い。脆弱性が起こす脅威も含めて学ぶことにより、そのリスクの大きさを認識し、開発者が、よりセキュアプログラミングを意識することとなる。

併せて、同氏は、今後は常駐している開発会社のメンバーにも本サービスを受講してもらい、よりセキュアプログラミングを意識した開発現場とし、定常的にセキュリティ対策を徹底させていく方針だと述べている。