サイバーセキュリティーのスタートアップ企業であるFlatt Securityは、セキュリティーの技術力の高さに定評ある1社で、ウェブのプロダクト開発に取り組む人材や組織にサービスを提供している。脆弱性のないソースコードを書くための「セキュアコーディング」に着目したサービス「KENRO(ケンロー)」の利用社数が拡大。通販大手からスタートアップまで80社以上が導入している。KENROの事業開発担当である小島凌汰氏に話を聞いた。
――KENROとは?KENROは、セキュアコーディングの学習サービスとして2021年4月にローンチした。ウェブ開発に携わる全ての開発者が、身につけるべきセキュリティー技術の基礎を実践演習で学べるクラウド型学習サービスだ。
現在、サイバーエージェントやディノスコーポレーション、GMOペパボ、SUPER STUDIOなど80社以上が利用している。「SQLインジェクション」や「XSS(クロスサイトスクリプティング)」など、主要な10種類の脆弱性について学習できる。SQLインジェクションやXSSは、ウェブアプリケーションに対する重大な10のリスクを紹介する「OWASP Top 10」でも言及されている脆弱性だ。
また、javaやPHP、Pythonといった言語で学ぶことが可能。攻撃者の目線で、実際のアプリケーション攻撃の手法を学ぶ「ハッキング演習」や、脆弱性のあるコードを修正することで学ぶ「堅牢化演習」を通じて、ウェブ開発に必要なセキュリティーの基礎知識を習得できる。
従来のセキュリティー研修は、クイズ形式のイーラーニングや、外部講師を呼んだ集合研修が大半だった。当社のサービスは、個々人が自分のペースで演習をしながら学べる。受講生一人一人のスキルレベルに寄り添ったサービスといえる。
――ECサイトのセキュリティーリスクについて。ECサイト構築は、CMSのカスタマイズやカートシステムの開発など、ウェブアプリケーションの開発が必要になることが多い。CMSやフレームワークなどを利用している場合、それらが標準的な脆弱性対策していることもあって、基礎的な部分をエンジニアが学ぶ機会はあまり多くない。
しかし、カスタマイズなど標準的な使い方から外れた際には、基礎的な部分から学習して対策を講じる必要がある。
サイト構築を代行する会社も、同様でセキュリティーの知識や知見、対策が必要となる。インシデントを発生させたサイト構築代行会社が、過去に損害賠償を命じられたケースもあるためだ。
他にも、ECサイトを自社開発している場合も、開発者にセキュリティー対策の基礎的な知識が必要だ。脆弱性が発見された際、修正は開発者が対応するためだ。
法改正も進む今だからこそ、開発者が基礎を学ぶことが非常に重要となっている。
――通販やEC企業の活用事例は?新卒研修や部門研修での活用が多い。大企業では数十人単位、スタートアップは数人単位による活用など幅広い活用ケースがある。
KENROは受講生1アカウントあたりの課金体系のため費用が明確。受講生一人一人の進捗が可視化されており、エンジニアのスキルレベルの把握にも役立つと聞いている。こうした使いやすさという点も利用社数の拡大に寄与していると思われる。
――費用は?利用期間12カ月間で一人当たり税別8万円となっている。
コンテンツの一部を無料体験できるトライアルを実施しているため、利用の検討に活用いただきたい。
■脆弱性の攻撃と修正で学ぶ開発者のためのセキュリティ学習サービス「KENRO(ケンロー)」https://flatt.tech/kenro/