現行システムに既知の脆弱性が見つかった場合、開発工程のどこかで対策漏れが生じた、あるいは対策そのものに不備があったことになる。脆弱性を発見したら、それをつぶすだけでなく、開発工程全体の見直しを図る。新たな脆弱性が明らかになった場合も、開発工程全体にフィードバックする。これが当社の目指すセキュリティ開発体制であり、実際にそうしたPDCAサイクルが日々回っている（図10）。

当社では、セキュリティ開発プロセスを進める上での大前提として教育を行っている。開催しているセキュリティセミナーは大きく、プログラマ、システム運用担当者、システム企画者向けの3種類があり、入社したエンジニア全員が受講する義務がある。セミナーは定期的に開催され、毎年数百人のエンジニアが受講している。
各セミナーには効果測定のためのテストがあり、特にプログラマは毎年テストを受ける必要がある。不合格だとペナルティを課せられる。具体的には記述したソースコードを合格者のレビューなしにチェックインできなくなる。このためセミナーの前には自主的な勉強会が開催され、皆積極的に取り組んでいる。
テスト結果が優秀だったエンジニアには、セキュリティマイスターという称号を贈る。開発工程全体にセキュリティ対策を浸透させるのが役割だ。セキュリティ対策に前向きに取り組むには、こうした文化作りが重要だ。

楽天では脆弱性が見つかるたびに工程全体を見直す（2ページ目） | 日経 xTECH（クロステック）