Flatt Security Blog

株式会社Flatt SecurityのBlogです。

Webエンジニア向けセキュアコーディング学習サービス「KENRO」のトライアルを一般開放しました

f:id:flattsecurity:20211006201420p:plain

こんにちは、Flatt Security執行役員の @toyojuni です。

弊社はWebエンジニア向けのセキュアコーディング学習プラットフォーム「KENRO(ケンロー)」を提供しています。この度、商談の中で限られたお客様にのみ提供していた「KENRO」のトライアル利用を 無償・期間無制限で一般開放 することとしましたので、そのお知らせも兼ねつつ一般開放に至った背景などをこちらのブログでお話ししようと思います。

「KENRO」とは?

f:id:flattsecurity:20211006171958p:plain 「KENRO」は、Web 開発に必要なセキュリティ技術のハンズオンの研修・学習を行うことができる、環境構築不要のクラウド型学習プラットフォームです。

https://flatt.tech/kenro

これまでエンジニア向けのセキュリティ教育となると、集合研修や簡易的なeラーニングの形式で提供されていたものが主だったのではないでしょうか。しかし、集合研修はコロナ禍において開催しづらい上に繰り返し学習することが難しく、また動画やクイズだけによるeラーニングでは実践的な学習を行うことが難しいという課題が存在していました。

「KENRO」はこれらの課題を解決するように設計されています。

攻撃者の目線でデモ環境に攻撃を行う「ハッキング演習」と、脆弱なソースコードを修正し、修正結果が自動判定される「堅牢化演習」の2種類の演習で実践的な学習を行うことができますし、12ヶ月の受講期間中には何度も繰り返し学ぶことが可能となっています。

f:id:flattsecurity:20211006192839p:plain
「堅牢化演習」の判定結果の例

他にも、

  • XSSやCSRFなど10個のWebアプリケーションの代表的な脆弱性について学ぶ「Web脆弱性基礎編コース」以外にもGraphQL、JWT、WebSocketといった最新技術について学習できる発展コースも受講できる
  • 「Web脆弱性基礎編コース」の「堅牢化演習」における修正対象のソースコードはPython、Java、Go、Ruby、PHP、C#の6言語に対応している

ことも特徴です。

※本来Webアプリケーションの脆弱性の原理原則を学ぶにあたって言語は無関係ですが、使い慣れた言語の方が受講体験が向上するため6言語をご用意しています。

大規模な研修からベンチャー企業でのチーム演習まで様々なご利用方法が可能ですので、ご興味のある方は是非事例インタビューなども参考にしてみてください。

「KENRO」のトライアルとは?

f:id:flattsecurity:20211006172121p:plain
「KENRO」受講画面の例(SQL Injection)

トライアルの内容は、先述の「Web脆弱性基礎編コース」の10の学習コンテンツ全てを一部がマスキングされた状態で利用することができるというものです。

10の学習コンテンツとは以下を指します。

  • SQL Injection
  • Cross-Site Scripting (XSS)
  • Cross-Site Request Forgery (CSRF)
  • OS Command Injection
  • Directory Traversal
  • Insecure Deserialization
  • XML eXternal Entity (XXE)
  • Open Redirection
  • Clickjacking
  • Header Injection

また、文章で構成された教材だけでなく、一部のハッキング演習と堅牢化演習も利用可能です。 具体的には、「Web脆弱性基礎編コース」の「ハッキング演習」26個のうち10個を、「堅牢化演習」9個のうち2個を実際に体験することができます。

さらに、トライアルに関しては料金は無料、期間も無制限でご利用いただけます。 メールアドレスを登録するだけで自動でアカウントが発行されるので、利用開始までに煩わしいフローも一切ありません。

トライアルの利用開始は「KENRO」公式ページよりどうぞ。

トライアル一般開放の背景

実は「KENRO」はたった半年前、2021年4月に正式版をリリースしたばかりのプロダクトです。そのため弊社内でも導入までのビジネスフローのようなものも確立されてはなかったのですが、基本的には

  1. 「KENRO」に関してお問合せをいただく
  2. 「KENRO」利用画面のデモをお見せし、利用イメージに齟齬がないか確認いただく
  3. トライアルをご利用いただき、「KENRO」を評価いただく
  4. 高評価であればご導入に向けてご調整を進めていただく
  5. ご導入

という流れで商談を進めていました。

すなわち、トライアルは上記のような商談の流れの中で限られた人数の方に限られた期間提供するものでしかありませんでした。

しかし大前提として「KENRO」の受講者はWebエンジニアの皆さんであり、「KENRO」の価値を最も理解してもらえるのもWebエンジニアの皆さんです。

実際に、トライアルを自社のエンジニアに利用してもらった企業からは「KENRO」は非常に高い評価を得ており、トライアル利用企業のうち実に 71% が「KENRO」の導入に至っています。

※計測期間は2021年4月〜9月

それならば、トライアルの内容を公開することを出し渋るのではなく、上記の5ステップにおける1と2を取り除き、「まずは個人で試してみよう」という方も含めて誰でも気軽にトライアルを利用できるようにすることが最も広く「KENRO」の価値を届けられる方法だと判断しました。(なお、現在「KENRO」は法人での導入にのみ対応しております、個人でのご利用をご希望の方は、1アカウントだけの購入も可能ですので所属企業に提案していただけますと幸いです...!)

トライアルはどのような人にオススメ?

以下のような方にオススメです!トライアル利用のハードルはこれまでと比較して大きく下がりましたので、是非実際に触って体感していただければと思います。

  • 「ハッキング演習」と「堅牢化演習」を実際に体験したい
  • どの程度の難易度の教材かを把握したい
  • 「Web脆弱性基礎編コース」全体のボリューム感を知りたい
  • 自社での最適な「KENRO」の利用方法を把握したい
    • 事業部や部署をまたいで複数人でトライアルを利用することも有効ですし、導入をご検討の場合はお問合せより是非弊社担当者にご相談ください。

トライアルの利用方法

最後に、トライアルの利用方法をご案内します。

f:id:flattsecurity:20211006154511p:plain
トライアル利用開始までの流れ

トライアル利用までの流れは画像のように非常にシンプルです。

まず、「KENRO」公式ページのトライアル開始フォームにメールアドレスをご入力ください。入力いただいたメールアドレスに送信するURLよりトライアル利用をすぐに開始できます。

トライアルの学習コンテンツを修了し、企業での導入を検討される方はトライアル画面内に設置してある専用の導線よりお問い合わせが可能です。

弊社担当者が最適な導入方法に関してご相談・ご提案させていただきますので、お気軽にご連絡ください。

最後に

長々と紹介をさせていただきましたが、結局我々の思いとしては「エンジニアに価値を感じてもらい、エンジニアにセキュリティを届ける」ことを達成したいというのが大きいです。

我々は「KENRO」以外にも「セキュリティ診断」のサービスを提供していますが、そちらでもサービスの先にいるエンジニアを第一に考えることを大切にしています。 使用している技術スタックに応じたオーダーメイドの診断プランを提案したり、報告書における脆弱性の再現方法には時には画面キャプチャや動画も交えて丁寧に記述し、社内でのレビューを徹底するなどコストを惜しみません。

「開発者に寄り添ったセキュリティ」に興味のある方は、ぜひ弊社コーポレートWebサイトをご訪問ください。

ここまでお読みいただきありがとうございました。