セキュリティに関するエンジニア向け研修

現在、僕が所属している会社では、新人エンジニア向けの研修資料の作成・充実化を行なっています。
本記事では、研修資料の中からセキュリティに関する項目に焦点を当て、内容についてざっくりまとめたいと思います。

新人エンジニア向けの研修資料について

セキュリティに関する研修資料の前に、まずは新人エンジニア向けの研修資料作成までの経緯や内容について軽く触れたいと思います。

自社開発部では、新人エンジニア向け研修の充実化・研修内容の内製化に今期から積極的に取り組んでいます。
今回はその一環として、「自社の開発体制を織り交ぜつつ、必要な知識や技術に触れることができるような研修資料を自社で作成しよう」という事になり、研修資料の作成に着手しています。

研修資料の内容については、開発業務に関わるもの（Webアプリケーション、データベース、Github、スクラム・アジャイル ...）を20数項目のセクションに分け、各セクション1時間以内で説明できるような内容となっています。それぞれの担当を開発メンバーに割り振り、各自で資料を作成していきます。
また、作成にあたり以下の点に注意しています。
　- 網羅的な内容ではなく、興味を持てる・まとまった内容に
　- 適度に使い方や概念を把握出来るように

セキュリティに関する研修資料について

ここからは、セキュリティに関する研修資料についてざっくりまとめたいと思います。
セキュリティに関する項目は、現時点では以下の4項目となっています。(セキュアコーディングは他の方が作成を担当)

- Web系の脆弱性
インジェクションやXSSなど、Webアプリケーション開発において押さえておくべき脆弱性について説明しています。

- セキュアコーディング
脆弱性対策やセッション周りを中心に、自社で扱っている技術ではどのようにセキュアなコードを保てるのかを具体的な例をもとに説明しています。

- 運用上の注意点
自社開発サービスを運用するにあたって、本番データについて注意する点や運用の際に利用しているAWSにおいて気をつけるべきこと(ルートユーザー・IAMなど)について説明しています。

- 暗号化について
暗号化の仕組みやSSLについての概要、暗号化をどこまですべきかについてまとめています。

各セクションは、それぞれの概要を説明した後に「では、自社で扱っている技術 (Rails, AWS) ではどのような事に気をつければ良い？どのような対策をするべき？」という流れで主に構成されています。
実際に同じようなシーンに遭遇した時や関連するタスクが割り振られた時に、研修内容を思い出してもらえたら良いな〜と思っています。

まとめ

研修資料を作成するにあたり、僕自身も各項目について改めてしっかり学習することが出来たので非常に良かったです。

今後も開発部全体がセキュリティ意識を持ち、セキュアコーディングができるよう、研修計画の洗練やドキュメントの整備を行なっていきたいと思います。