開発者のセキュリティ意識を高めシフトレフトを実現するセキュア開発入門講座

「スモールビジネスを、世界の主役に。」というミッションを掲げ、統合型経営プラットフォームサービスを提供しているfreee株式会社。開発段階からのセキュリティ対策に注力しており、GMOサイバーセキュリティbyイエラエに開発者向けセキュア開発入門講座のご依頼をいただきました。講座を実施して感じた効果についてPSIRTの藤岡 祐さまにお伺いいたしました。

全社的な訓練の実施などセキュリティ対策に注力

freeeでは会計や人事労務といったプロダクトの性質上、秘匿性の高いデータをお預かりしています。また、クラウド上にデータを保管していることやパブリックな API を提供していることから、攻撃者がアクセスできる領域が広いためセキュリティは常に重要課題の一つです。

アジャイル開発を行い、リリースの速度が加速している中で、社内ではシフトレフトを推進しており、早い段階からセキュリティを意識したシステム開発を行っています。開発後にセキュリティ診断やペネトレーションテストを行うだけではなく、初期フェーズでセキュリティレビューや依存ライブラリの静的解析を行い、検知された問題のトリアージを行うなど、開発サイクルの重要な要素としてセキュリティを組み込んでいます。

またオンボーディングやトレーニングとして全社での障害訓練や脆弱なWebアプリを管理し堅牢化をする体験を積むHardening研修（新人研修でHardening）などの取り組みも行っています。実際のインシデントが起きた際にはビジネス層もクリティカルな判断が必要となります。障害訓練は年に1回ビジネス層も巻き込んで、全社的な取り組みとして実施するなど力をいれています。

シフトレフトの実現に向けた開発エンジニア
1人1人の意識向上に対する取り組み

毎日どこかのサービスでリリースが行われるなど、プロダクトの成長が加速していく中で、セキュリティを担保した開発を行うためには、開発者ひとりひとりのセキュリティ意識の向上が欠かせません。

普段からセキュリティに興味のある開発エンジニアは自分たちでも自主的に学んでくれますが、より多くの人たちにいかに興味を持ってセキュリティに取り組んでもらうかという点を重要な課題としてさまざまな施策を進めています。

初心者から熟練者まで楽しみながら
取り組めるハンズオン講座

今回のセキュア開発講座では、ペネトレーションテストの実際の手法をハンズオン形式で体験することで、攻撃者の視点からセキュリティについて学ぶことができました。

基本的なhttpの話や既知の脆弱性に関する解説を通じて参加者の知識をそろえてから実施していただけたため、普段セキュリティに馴染みの薄いエンジニアも、脱落することなく最後まで楽しみながら講座を受けることができました。

CTF形式で問題をクリアしながら学んでいきますが、ヒントがふんだんにあるため、これまでCTFに取り組んだことが無いエンジニアも親しみやすく、セキュリティに対して関心が高まったと感じています。

また本やeラーニングと異なり、疑問点はその場で質問できる点も良かったです。複雑な質問にも丁寧に答えていただき、参加者の熟練度によらず学びの多い機会となりました。

攻撃手法の理解が会社全体の
セキュリティ強化につながる

攻撃者の手法を知ることでセキュリティ意識を向上するという講座のコンセプトに非常に共感をしています。攻撃手法を学ぶトレーニングや一般的なCTFなどでは「攻撃」に主眼が置かれ、セキュリティにどう活かすかという視点が抜けている場合があります。

セキュア開発講座では攻撃手法の理解を通じて、脆弱性が会社のセキュリティにどう影響するかという点まで踏まえて解説をいただけました。単にハッキング技術を学ぶだけではなく、会社全体のセキュリティ強化につながる取り組みとして評価しています。

どれだけやってもセキュリティに完璧はありません。日々改善を繰り返しながら全社としてセキュリティを向上していきたいと考えています。開発者のセキュリティ意識や技術の向上はその中でも重要なテーマだと考えているため、今後も攻撃者目線でのさまざまな学習コンテンツが拡大していくことを期待しています。

会社名	freee株式会社
事業内容	freeeは「スモールビジネスを、世界の主役に。」をミッションに掲げ、統合型経営プラットフォームを開発・提供し、だれもが自由に自然体で経営できる環境をつくっていきます。
URL	https://corp.freee.co.jp/