うほっ！！！コクティーーーーー！！！！！！！！！！

「この仕組みがないと、本当に困ります。セキュアプログラミングの勉強なしでプログラムを書き始められたらと思うと恐い」
楽天のエンジニア・武政央高さん（開発部 コンテンツメディアサービスプロデュースグループ）は、こう明かす。
“この仕組み”とは、楽天が導入している、三井物産セキュアディレクション（MBSD）のセキュリティ教育プログラム「セキュアWebアプリケーション開発セミナー」だ。エンジニアは、入社時に必ずセキュリティセミナーと試験を受験し、年1回、更新試験も受ける。不合格者にはペナルティがあり、自分の書いたソースプログラムが安全かどうかを、試験の合格者にセキュリティレビューをしてもらわなければならない。

楽天が採用した MBSDの「本質を見抜いた」セキュリティ教育プログラムとは - ITmedia News

リアル星野君だｗｗｗｗ

楽天のエンジニアのレベルはさまざまだ。独学でプログラミングをマスターした人から、入社して初めてプログラムを書く人もいる。
入社して初めてプログラミングの勉強をしたという、2005年新卒の浅岡哲也さん（開発部 ショッピングナビゲーションプロデュースグループ）は、セキュリティ教育や試験について当初は、「なぜこんなことをしなくてはならないんだろう」と疑問を覚えたという。だが、自分が書いたプログラムを先輩にレビューしてもらい、考え方が変わった。
「当初は自分のプログラムの何が悪いかも分からず、先輩に指摘されて直しても、どれぐらい安全になるかも分からない状態でしたが、脆弱性のあるプログラムにアタックしてみるとどうなるかを先輩に実演してもらい、勉強の必要性を痛感しました」

楽天が採用した MBSDの「本質を見抜いた」セキュリティ教育プログラムとは - ITmedia News

きゃぁーーー！コクティ！コクティ！コクティ！！！！ｗｗ

MSBDのセミナーでは、セキュアプログラミングの基礎知識とスタンダードな脆弱性、対処方法をまる1日かけて学び、その後試験を受ける。
テキストは100ページを超えるボリュームだ。「バグとは」「セキュリティホールとは」といった基本知識や、セキュアなWebアプリ構築の考え方、クロスサイトスクリプティングやSQLインジェクションといったスタンダードな攻撃と具体的な対処法などが1冊に詰め込まれている。
根本的な考え方の解説に時間を割き、日々進化する攻撃手法に対しても応用が利くよう工夫されているのがこのテキストの特徴。「場当たり的な対応ではいたちごっこになってしまうから」という、講師のMBSD国分裕氏（技術部セキュリティアセスメントマネージャー）の考えを反映している。
楽天のエンジニアは、テキストを事前にもらって勉強した上でセキュリティセミナーを受け、試験に臨む。鈴木さんは、「テキストからまず基盤知識を学び、知識がすごく固まりました。セミナーで知識

楽天が採用した MBSDの「本質を見抜いた」セキュリティ教育プログラムとは - ITmedia News

セキュア開発を開発のルーティンに入れて、うまく回している楽天の事例、これは素晴らしいな。

セキュリティ前提のモジュールやサービスを検討するようになるのは素晴らしい。

「セキュリティを意識しなければ、誰でも動くプログラムは作れますが、セキュリティを考えるとプログラミングは変わってきます。楽天として提供しているサービスの質をより高めるために、セキュリティ意識と知識は必須です」（浅岡さん）
「とにかく安全なものを作ろうという意識が高まり、何を意識すればいいかというポイントに気づけるようになりました。セミナーで『答えは1つではない』とも聞いていたので、『こういうのもできるんじゃないか』など、保険的な対策をたくさん考えたりもします」（鈴木さん）

楽天が採用した MBSDの「本質を見抜いた」セキュリティ教育プログラムとは - ITmedia News

ぉーーー！！！で、おいくら？！でした？！？！ｗｗｗｗ

「MBSDは場当たり的な対処法を教えるのではなく、プログラムとは何かという本質を見抜いた根本的な考え方を教えてくれるため、応用が効くんです。また、積極的に最新の内容を取り込み、新しい教育の仕組み作りにも柔軟に対応してくれますので、非常に助かっています。」

楽天が採用した MBSDの「本質を見抜いた」セキュリティ教育プログラムとは - ITmedia News

レアキャラに出会った感覚ですねｗｗｗｗｗｗｗｗｗｗｗｗｗｗ＞「きゃぁーーー！」

まっちゃさんがきゃぁーーー！ですって。愛されてますねー（ﾟ∀ﾟ）ニヤニヤ

楽天が採用した MBSDの「本質を見抜いた」セキュリティ教育プログラムとは - ITmedia News - 電波に乗せる想ひ。