今回、アンドパッドはFlatt Securityのセキュリティ診断メニュー「Webアプリケーション診断」を利用し、ANDPADで提供予定の新機能を対象としてセキュリティリスクの調査・検証を行いました。診断実施の背景や感想について、アンドパッド 経営管理部長の青木勝則さん、プロダクト本部でプロダクトマネージャー（PdM）として働く米山諒さん、主に品質管理を担当しているマネージャーの土方哲雄さんにお話を伺いました。

診断実施を計画的にハンドリング

ーー皆さんはアンドパッドでどのようなお仕事をされているのでしょうか？

米山さん　私はプロダクト本部でANDPADのプロダクトマネージャーとして、プロダクトの企画や要件定義を担当しています。

土方さん　開発本部内の品質管理を担当するチームのマネージャーとして、ANDPADの品質管理に携わっています。プロダクトの開発体制や脆弱性の管理・チェックなど、プロダクトの品質に関わること全般を見ています。

私たち品質管理のチームでは、プロダクト開発の現場でセキュリティの運用が問題なくできているかを主に見ているのですが、弊社には専門のセキュリティチームも別に存在しています。自社内でのセキュリティ診断などはセキュリティチームが担当しています。

青木さん　全社のセキュリティや内部統制全般を担当しています。私は管理部門に所属しています。コーポレートITや情報セキュリティについても担当していて、SOCレポートの取得などは土方さんと協力して取り組んでいます。

弊社ではセキュリティチームが社内診断を行っていますが、網羅性と客観性を担保するため、ANDPADの各機能や新機能を対象とする外部ベンダーによるセキュリティ診断を、優先順位をつけて網羅的に実施しています。「お客様との接点が多い機能」「お客様のお金や決算情報に紐づく機能」については、特に優先度を高く設定し対応しています。

年度ごとに実施計画を立てて、どのタイミングで、どのぐらいのコストをかけて、どんな内容のセキュリティ診断をやるかを決めています。毎年1月から12月までの計画を立てており、例年11月頃には来年の計画もほぼ出来上がっている状況です。開発本部長や品質管理部門の土方さんと、どういう機能を対象として、いつ診断を行うか、擦り合わせを行って計画に落とし込み、経営陣に提案・説明し、その実行を担保するのが私の仕事です。

技術面での親和性、優位性を感じた

ーー今回、ANDPADで提供予定の新機能を対象とした、セキュリティ診断のご依頼をいただきました。診断実施の背景について教えてください。

青木さん　　私たちはサブスクリプションでSaaSプロダクトを提供しており、お客様に長く使っていただくことが重要です。ANDPADではお客様の業務を支える機能を拡充してきましたが、それは裏を返せば 「止まるとお客様の業務に影響が出てしまう機能が増える」 ということでもあります。そのため、今回の新機能に関しては提供する前にセキュリティ診断を実施する方針を立てました。

セキュリティ診断に関しては、以前から外部ベンダーにお願いしていましたが、「そろそろ他のベンダーさんも試してみたいよね」と社内で話していました。そんな時に、弊社の開発本部長から「Flatt Securityという会社が良いらしいですよ」と勧められて、初めてFlatt Securityのことを知りました。ちょうど新機能を開発しているタイミングだったので、「試しに検討してみようか」という話になり、既存ベンダーとも比較の上、今回はFlatt Securityさんに依頼させていただきました。

ーー青木さんご自身はFlatt Securityをご存知なかったとのことですが、ご依頼にあたり不安などはありませんでしたか？

青木さん　勧められた後にテックブログを見ていたので、技術的な不安は全くなかったです。

むしろ、freeeなど、私たちに近しいSaaS企業の診断実績が多いということで、技術面での親和性を感じました。他のベンダーと比べても技術的な優位性があるのではないかと思いました。

ーー実際に診断を受けられてみて、いかがでしたか？

米山さん　全体を通してスムーズでやりやすかったなと思いました。弊社の社内体制が強化されたことも背景にあるかもしれませんが、手間がかからなかったですね。

Slackでのやり取りもスムーズでしたし、環境準備が足りなかったところも丁寧なフォローをいただけました。資料も共有フォルダを準備いただきやりとりがとても楽でした。

青木さん　これまで外部ベンダーにお願いした際に、メールにスプレッドシートを付けてやり取りを行うケースが多かったので、コミュニケーションの取りづらさを感じていました。スプレッドシートの数十シートに内容を記載してやり取りをするのは大変でした。Slackでコミュニケーションできるというのは魅力でしたね。

土方さん　報告書に記載された再現手順が非常に読みやすかったですね。

これまでは、診断結果に記載された再現手順がわかりづらい、やりづらい場合があり、改善したいなと思っていました。何が起きてしまうかという事象のみが記載されていて、それを再現するための手法が示されていないと、開発エンジニアは困ってしまいます。Flatt Securityの報告書は他のベンダーと比べて、より開発者に寄り添っているレポートだと感じました。

※Flatt Securityのセキュリティ診断報告書サンプルは こちら からダウンロード頂けます

青木さん　営業の方にも柔軟に対応いただきました。価格についても違和感はなかったです。

https://flatt.tech/contact

ーー最後に、Flatt Securityに期待していることがあれば、教えてください。

青木さん　今回の診断は過去の診断より全体のボリュームは少なかったので、今後はもっと大規模な診断をご依頼してみたいですね。

また、コーポレートITの立場としては、社内で扱うツールなどの設定不備のチェックをサポートする「Shisho Cloud」のようなサービスに期待しています。Flatt Securityが提供する、開発に即したセキュリティサービスには私たちとしても価値を感じています。

開発組織も大きくなってきたので、セキュアコーディングの基礎をエンジニアに学習してもらう機会も今後必要になってくるかもしれません。社内で研修を回していくのはきついと思うので、外部研修を活用する形になると思います。第三者の教育を受けているというのは一つのステータスにもなりますよね。

ーー青木さん、米山さん、土方さん、本日はありがとうございました！

＜Flatt Securityのセキュリティ診断に関するお問い合わせはこちらから＞