動画教育クラウド「tebiki」が実践　脆弱性診断の内製と外部ベンダ利用の両立方法とは？

Tebiki株式会社（旧：ピナクルズ株式会社）は「現場の未来を動画技術で切り拓く」というビジョンのもと、2018年に創業されました。

Tebiki株式会社 https://tebiki.co.jp/

2019年より、サービス業や製造業、コールセンター、飲食業など幅広い業界に向けて、クラウド型動画教育プラットフォーム「tebiki（テビキ）」を提供しています。

「tebiki」は現場で教えている様子を撮影した動画をアップロードするだけで、自動認識された音声が自動で字幕になり、世界100ヶ国語以上の言語に自動翻訳されます。さらに、図形挿入や音声吹き込み、シーンの削除なども可能です。パソコンを普段使わない人でも簡単に編集ができることも大きなポイントです。現場の人が動画をつくり、カリキュラムとして活用することで、クオリティの高い教育ができるようになります。

「tebiki」のサービスページ https://tebiki.jp/

今回Flatt Securityは、「tebiki」のAWS環境の検証をメインとするセキュリティ診断を担当しましたが、tebikiさんはスタートアップ企業でありながら今までセキュリティに関してさまざまな取り組みを実施されているといいます。取締役／CTOの渋谷和暁さんに詳しくお話を聞きました。

外部ベンダのセキュリティ診断とツールによる自動診断を併用した理由

ツールによる診断内製化に関するブログ「スタートアップがAeyeScanでセキュリティ診断を自動化した話」がとても好評でしたが、どのような経緯で自動化ツールを導入したのでしょうか。

※編集注 記事URL：https://techblog.tebiki.co.jp/startup-security-cycle-161157480781 また、「AeyeScan」ロゴ利用に関して株式会社エーアイセキュリティラボ様より許諾を得ています。

（Tebiki様ブログより引用）

渋谷和暁さん（以下、渋谷さん）：私たちはアジャイル開発を採用しており、頻繁にリリースを実施しています。全てのリリースに対して毎回セキュリティ診断を外部ベンダに依頼することは難しいと判断し、セキュリティ診断内製のための自動化ツールを導入することにしました。また、人的コストを抑えられ、決められた予算内で実施できることも導入した理由のひとつです。

そんな中、外部のセキュリティベンダによる診断も利用した理由を教えてください。

渋谷さん：もともとは、お取り引きしている企業から、「第三者によるセキュリティ診断を実施してほしい」という依頼をもらったことがきっかけです。サービスが成長するにつれ、お取り引きする企業の規模も大きくなり、求められるセキュリティチェックリストのレベルも高くなりました。

同時に、専門家によるセキュリティ診断を実施し、より網羅的な観点でチェックを行い、サービスの信頼性をより高めることも重要だと判断したという内発的なモチベーションもあります。実力のありそうな診断会社をいくつか検討した中のひとつがFlatt Securityさんでした。

最終的にFlatt Securityさんに決めた理由は、サービスページに「AWS・GCP・Azure診断」のメニューが明記されていた点です。普段内製で診断できていないAWSのセキュリティ診断を正式にメニュー化している企業は少なかったので、きっと専門的に診断していただけるだろうと期待ができました。

ありがとうございます。我々もアジャイルに対応した診断の提供など行っているものの、例えば2週間単位のスプリントの全てのリリースに対して診断できると言う事は難しい場合が多いので、併用はとても良い取り組みだと思います。

渋谷さん：両者を併用することで、内製診断のスピード感と専門家の視点による外部ベンダ診断の安心感を共存させることができました。

今後クラウドも含めてツールによる自動診断ではできないアプリケーションのコンテキストを踏まえて行う外部ベンダによる診断は定期的に実施していきたいと考えています。

「WebGoat」で挫折し、「KENRO」を検討

(取締役／CTOの渋谷和暁さん）

ツールによる診断内製だけでも常にリソース不足のスタートアップ企業には難しいことなのに、さらに外部診断も併用するのはお話しいただいたようなメリットがあるにせよなかなかできないことです。そのようにセキュリティを重視されている理由を教えてください。

渋谷さん：ユーザの皆様を守るためというのは当然として、万が一インシデントが発生したら数億円の損害になる可能性があるからです。特にSaaSについては新興分野ですから、よりセキュリティ対策が求められます。また、私自身、ほかの会社でもセキュリティ診断を受けた経験があるので、セキュリティは重要視していました。ですので、経営判断として、予算内であればなるべくセキュリティに予算を割く方針です。

セキュリティ診断の利用後に「KENRO」のトライアルを受講していただきましたよね。なぜKENROに興味を持っていただけたのでしょうか。

渋谷さん：今、開発組織にはエンジニアが4名、副業エンジニアが3名所属しているのですが、以前から、エンジニア全員のセキュアコーディング技術を底上げしたいという思いはありました。既存の施策によって、セキュリティのナレッジが蓄積されることも期待したのですが、そもそも修正方法を理解している人が少ないため、「学習機会」としての意味はあまりありませんでした。

OWASPが提供している「WebGoat」（https://owasp.org/www-project-webgoat/）を受講してもらったこともあるのですが、英語で書かれており、かつ受講のハードルが高いため、なかなか理解できず終わってしまいました。

「セキュリティの内製化」をテーマにしたもくもく会（エンジニアが同じ空間で「もくもくと」作業する会）を開催したり、定期的に見つかった脆弱性についてディスカッションをしたりする場も設けていますが、より専門的に学びたいと思い、「KENRO」のトライアルを受講することにしました。

実際にトライアルを受講した感想を教えてください。

渋谷さん：4名のエンジニアが受講したのですが、みんな「WebGoat」に比べて解説文が分かりやすいことに驚いていました。あまりセキュリティに詳しくないエンジニアもつまづかず進められているようでした。ほとんどブラウザ完結なので、Windowsから受講できたのもうれしいポイントです。

ただトライアル版では巧妙にマスクされているというか（笑）、ある程度、受講した効果は感じつつも、正式版を受講すればもっと理解が深まると感じました。トライアルでも手応えを感じていましたが、もっと理解を深めるために、少数ですが有料プランを購入してみました。来年以降も積極的にエンジニアの採用をしていく予定なので、ほかのエンジニア向けに有料プランの導入も検討しています。

ありがとうございました！

スマホで動画教育コンテンツを作れるtebikiの詳細はこちら 「tebiki」のサービスページ：https://tebiki.jp/

Flatt Securityのサービスに興味のある方は、ぜひこちらをご覧ください。

• KENRO サービスページ：https://flatt.tech/kenro
• セキュリティ診断 サービスページ: https://flatt.tech/assessment/detail