情報セキュリティ企業が行っている新卒エンジニア研修について

はじめに

 この記事は情報セキュリティアドベントカレンダーの21日目の記事です。　
新卒のエンジニアに対しての研修方法は、色々とあると思いますが、研修を内製化する場合は、どのような研修内容にすればよいか頭を悩ますところだと思います。弊社も今年度までは、外部の研修サービスを利用していましたが、来年度より自社でエンジニア研修を行うことが決定し、開発部各自、準備を進めています。
そこで今回は、情報セキュリティ商材を取り扱う弊社が、自社で採用した新卒エンジニアに対して、どのような研修を行うかを紹介したいと思います。

研修内容

開発に最低限必要な項目

環境構築　ブラインドタッチ　Unix基礎Unix基礎　Ruby基礎1　Ruby基礎1　HTML基礎 　Rails演習 Basic Rails演習　Advanced  CSS基礎 CSS基礎Javascript基礎　Jquery基礎　Bootstrap基礎　Ruby基礎2 Git基礎

規格を読む（ISMS, Pマーク）

ISMSやPマークの理解を深める　マネジメントシステム

基礎知識

Webアプリケーション基礎　HTTP/DNS　ソフトウェアテスト/テスト自動化　UX/UI基礎　Chrome Developer Toolsの使い方　スクラムとは/アジャイル・クオリティ　データベース/SQL　デバッグ方法　サーバーとは　IDE/Editor(Visual Studio Code)　命名規則について　Git FlowとGithub Flowについて　例外処理について　rspecの書き方　リファクタリングのやり方

セキュアコーディングの方法

Web系の脆弱性に関する教材(SQLインジェクション・XSF・XSS) / GitHub・Gitを使う際の注意点(Secret keyの扱いとその影響、githubアカウントの管理、個人アカウントの使い方、public・privateの扱い)　/ 運用上の注意点(本番データをテストデータにして開発しない、root権限の扱い) / クラウドのアカウント管理(MFA使う・パスワードポリシーを設定する・最小権限の原則) / 暗号化をどこまですべきか

インフラ・デプロイ

CI/CD(デプロイ)　インフラ　AWS　Docker　モニタリング入門　Unix中級 

その他

正規表現　ITコミュニティ文化と情報発信に共通する成長と貢献の要素 　コーディングレビューのやり方 　ソフトウェアライセンス　アクセシビリティ　デザインの役割と関わりかた　Vue.jsについて　GraphQLについて　エンジニアのキャリアについて　アルゴリズム　Goについて　ドキュメントの書き方

一項目ずつ解説していきます。

研修内容の解説

開発に最低限必要な項目

　こちらでは、youtube教材や自社CTOが執筆したQiita記事等を使用し、自習形式で取り組んでもらっています。特徴的なのはブラインドタッチを採用しており、こちらは、e-typeで練習してもらいます。プログラミングもですが、基本的な業務をこなす上で、タイピングが早いことは非常に重要になってきます。今回は、腕試しチャレンジでスコア200、ミス入力数10以下を目標に取り組んでもらうことにしました。

規格を読む（ISMS, Pマーク）

　こちらは、弊社がISMSやPマークなどの規格取得支援コンサル事業をしている兼ね合いで、取り組んでもらいます。また、弊社の開発している情報セキュリティ向上クラウドSeculioでは、ISMS運用をサポートする機能(eラーニング、法令管理台帳、サプライチェーンセキュリティ、ルールブック(文書管理)、情報資産管理台帳、内部監査、インシデント管理、リスクマネジメントなど)を開発しているため、規格の知識が必要になってきます。

基礎知識

　こちらでは、プログラミングの中でも、コーディング業務以外で、エンジニアとして必要な基礎知識を学びます。こちらは、自習形式ではなく、在籍エンジニアによる講義形式になります。実は、こちらは、新卒研修以外に、在籍エンジニアの方々の知識の振り返りも目的としています。
　普段の開発業務では、しっかりと学ぶことができずに、なんとなくになってしまいがちなものが集められています。そのため、在籍エンジニアの方々がこれらのテーマについてスライド教材を作成し、新卒の方々に発表するスタイルにしました。私もHTTP/DNSなどは、コーディング業務中には意識していなかったところなので、全くわからない状態でしたが、教材作成に取り組んでいくにつれて、理解が深まっていきました。

セキュアコーディングの方法

　開発業務に取り組む上で、お客様の情報をどのように守るか、どのようなサイバー攻撃が存在するか、その対処法などセキュアなコーディングを実現するための手法を学びます。こちらも、在籍エンジニアによる講義形式となっています。こちらの教材をつくる上では、いわゆる徳丸本と呼ばれる安全なWebアプリケーションの作り方と脆弱性が生まれる原理と対策の実践が学べる本を参考にしたり、各自で調査をしています。

インフラ・デプロイ

　弊社のサービスのインフラには、AWSを用いています。AWSを始め、インフラ周りの知識は、インフラエンジニアしか把握していないところが数多く存在します。こちらも講義形式になりますが、在籍エンジニアも聴講することができ、新卒の方と一緒に理解を深めることができるようにしました。また今回の研修以外にも、インフラエンジニアの方に、不具合対応のときのコマンドラインからのコンテナログ抽出方法やサービスモニタリングについて勉強会を開いていただいたり、実践的な知識を学ぶ体制を構築しています。

その他

　その他の内容は、今回の新卒研修ではカバーしていない内容となりますが、弊社で採用している技術やエンジニアとして重要になる知識等を書き出しており、研修後に、各自で勉強すべき内容をまとめています。

まとめ

　いかがでしょうか。個人的には、規格の勉強やセキュアコーディングの研修を入れ込んでいる辺りは、情報セキュリティを扱う弊社らしい特色が出ているのかなと感じます。このような新卒研修は、新卒のみならず、在籍しているエンジニアにもためになるように設計されています。こちらの記事が、エンジニア研修を考える方々の助けとなれば幸いです。