ネットショップ作成サービス「カラーミーショップ」では、セキュリティ強化のため、継続的にさまざまな取り組みを行っています。
今回の記事では、サービス開発に携わるメンバーが取り組んでいる「社内教育・研修」について解説します!
カラーミーショップの社内教育・研修
「カラーミーショップ」を運営するGMOペパボ株式会社では、システムセキュリティの向上・運営における信頼性の向上に取り組むため、サービス運営に関わるすべてのスタッフが、以下のトレーニングに参加しています。
1. セキュアコーディング研修
研修内容
セキュアコーディングとは、サイバー攻撃を防ぐ技法に基づき、システムを動かすプログラムを作成することです。
本研修では、カラーミーショップのシステム開発に携わるエンジニアを含め、当社のエンジニア全員がセキュアコーディングについて実習形式で学びます。なお、この研修は毎年受講することが義務付けられています。
研修の効果
この研修を通じてセキュアコーディングを学ぶことで、インターネットを通じて提供するサービスのプログラムに対し、不正なデータを送りつけられるなどの攻撃を受けても、セキュリティ被害が発生しないようなシステムを作成できるようになります。
また、普段のシステム開発でもセキュアコーディングが実施できているかを自動チェックする仕組みを運用しつつ、エンジニアの間でもチェックリストに基づいた人の目による相互チェックを行うことで、セキュリティ品質を担保しています。
2. ヒヤリハット事例の収集・改善ワークショップ
研修内容
ヒヤリハットとは、幸いにして大きな事故・災害には至らなかったものの、それに直結していたかもしれない一歩手前のできごとのことを指します。一般に、1件の重大な事故の裏には29件の軽い事故、300件のヒヤリハットがあるとされています(ハインリッヒの法則)。
この「ハインリッヒの法則」を教訓として、カラーミーショップの運営に関わるスタッフは、日頃の運営業務において情報漏えいなどのリスクにつながるヒヤリハット事例がないかどうか、定期的なワークショップを通じたリスクの洗い出しを行っています。
手順
- カラーミーショップの運営に関わる各チームのスタッフが、日常の業務内容を振り返り、情報漏えいのリスクが少しでもあるかどうかを振り返る
- その中で実際にヒヤリハットが発生したことがある業務について、その際のシチュエーションを詳細に記載する
- 各チームでヒヤリハットを共有する
研修の効果
ヒヤリハット事例の収集ワークショップを通じて、情報漏えいのリスクが少しでもある業務について、他のスタッフが気付いていなかったことを全体に共有できるようになります。また、これらを周知することで、情報漏えいを未然に防ぐための改善・解決策をチームで導き出すことにも繋がります。
ワークショップで洗い出されたヒヤリハット事例についてはリスクの高い順に対策を講じ、事故につながるヒヤリハット事例を1件でも減らせるよう、組織的な取り組みを行っています。
3. インシデント対応訓練
研修内容
インシデントとは、悪意のある第三者からシステムを攻撃されるなど、システムのセキュリティが脅かされる事象を意味します。
カラーミーショップでは、仮にシステムでインシデントが発生した際にすばやく事態収拾にあたれるよう、インシデント対応訓練を毎年実施しています。本訓練ではあらかじめインシデント発生のシナリオを作成し、スタッフが迅速かつ適切な行動を取れるかどうかの確認を行います。
手順
- マネージャーを含むスタッフが参加する訓練用のシナリオをあらかじめ作成し、実際のカラーミーショップのシステムのダミーを準備する
- 訓練当日、ダミーのシステム上で意図的にセキュリティインシデントを発生させ、監視システムや人の目によってインシデントを発見する
- ダミーのシステム上でインシデントを発見後、あらかじめ定められているインシデント発生時対応フローに従ってスタッフが行動し、事態の収束を図る
訓練終了後は改善点を各自洗い出し、普段の運営業務にもフィードバックしています。
研修の効果
本研修では、インシデントの発生を識別後、迅速に事態を共有し、スタッフ一丸となって事態の収束を図るまでの流れを体験します。また、インシデント発生時に必要な対応(たとえば、エンジニアであればシステム上のどの記録を確認すべきか など)について各職種のスタッフが再認識できるため、万が一のインシデント発生の際にも迅速な対応が可能となります。
さいごに
本記事では、カラーミーショップで行っている「社内教育・研修」について解説しました。
今後もショップオーナーさま、購入者さまに安心してご利用いただけるサービスを提供するため、継続的なセキュリティ強化とスタッフ教育に取り組んでまいります!
