脆弱性の原理から対策まで 段階を踏んで理解できる「徳丸本講座」で 新入社員へのセキュリティ意識・知識習得に貢献

株式会社JSOL

HR本部 人財開発部 人財開発課 ご担当者様

SERVICE

教育

セキュリティ教育

株式会社JSOL

株式会社日本総合研究所および株式会社NTTデータのグループ企業である株式会社JSOLは、幅広いニーズに応えるシステムコンサルティング・ソリューションインテグレーターとして、ITコンサルティングからシステム構築・運用までの一貫したサービスを提供しています。
今回は、新入社員向けフォローアップ研修の一環として「セキュリティ教育(Security Campus GroupTraining)の徳丸本講座」を依頼した経緯や効果について、新入社員育成のご担当者様にお話しを伺いました。

“内容の正確さ”と“わかりやすさ”から「徳丸本講座」を選択

 弊社は幅広い業界に向けてコンサルティングからシステム構築・運用まであらゆるITソリューションを提供しており、セキュリティについては親会社も含め非常に重要視しています。開発・運用するうえでのセキュリティ基準も定めておりますので、ルールに従ったチェックシートを作成するために新入社員であってもセキュリティ知識の習得は必須であると考えています。

 新入社員は、最初の半年間でWebアプリケーションを題材にした研修を行うのですが、IT経験が無いメンバーもいる中、Webアプリケーションを作って動かすまでが精一杯で、セキュリティ知識の習得までは出来ていませんでした。とはいえ、あとから自力で学習するのはなかなか難しいですし、セキュリティ意識は早期のタイミングでないと定着しづらいので、出来るだけ早くセキュリティの知識と意識をインプットしたいと考え、現場経験が浅い入社1年後のフォローアップ研修でのセキュリティ教育実施を決め、依頼先の検討を進めました。

 1日でセキュリティを網羅的に学ぶのは難しいと思っているので、セキュリティの基礎となる、脆弱性が生まれる原理〜攻撃の仕組み〜対策までのロジックをきちんと理解できる教育コースを探しました。Webアプリケーションのセキュリティ教育関連で公開されているコースを網羅的にリサーチしていく中で、一部内容に誤りがある会社があったり、脆弱性とその概要が紹介されるだけの会社もあったのですが、徳丸本講座は内容が正確で、かつ脆弱性がなぜ生まれてどのように悪用されるか等の前提条件、攻撃の仕組みやリスク、対策の方法まで、段階を踏んでいて理解しやすい構成だと感じ、EGセキュアソリューションズさんに依頼することにしました。講義後にも徳丸本を読みながら継続して学習できる点も大きな魅力でしたね。

※徳丸浩著『体系的に学ぶ 安全なWebアプリケーションの作り方』/SBクリエイティブ刊

徳丸_修正

受講者の約9割が「良かった」と回答

 半年間の研修でWebアプリケーションについては学んでいるので、ある程度の知識は身についている前提だったのですが、基本的な原理のところから非常に丁寧に噛み砕いて解説してくださったので、かなり理解が深まったと思います。

 中でも、クロスサイトスクリプティング(XXS)の説明は特に分かりやすかったです。聞き馴染みのあるキーワードではあるけれど、どういう仕組みで何に気を付けたら良いのか具体的なイメージができていなかった人でも、聞いていれば間違いなくロジックが積みあがっていく構成でした。受講後のアンケートでも「自分の言葉で説明できるくらいまで理解を深められた」とコメントしている人もいましたし、適宜デモを交えながらあそこまで丁寧にやっていただけたら、わからない・理解が曖昧な人は恐らくいないのではないかと思います。

 また、今回の講座をきっかけにセキュリティへの意識が高まり、「セキュリティ技術のキャッチアップに対するモチベーションがあがった」「自分のシステム・サービスは大丈夫なのか危機感をもって取り組みたい」といった声も挙がっており、今回の依頼目的でもあったセキュリティの「知識」と「意識」の両方がきちんと身についたことが分かりましたし、受講者の9割近くが非常に良かった/良かったと回答していましたので、お願いして本当に良かったと思っています。

 受講者の中には、今の所属部署では直接業務に活かせないという人もいますが、今後5年10年先のことを考えると、Webに全く関らないことは恐らく無いですし、セキュリティについて全く知らないというのは通用しないので、今回きちんと基礎から学べたことは今後技術者として働くうえで必ず為になると思います。

撮影風景2

「Group Training」×「e-Learning」で継続的に学べる仕組み作りをともに

  

 講義後のアフターフォローや、継続的な学習に繫げる仕組みづくりの部分が課題に感じているので、自分のペースで進められるeラーニングも活用しながら、継続的に学べる仕組みを作りたいと考えております。例えば「Group Training」と「e-Learning」を組み合わせて、受講後には個別で自己学習を続けるというような、何をどのようにして学んでいくのがベストなのかアドバイスをいただけると嬉しいです。

jsol_logo_n_bb

株式会社JSOLのホームページはこちら