今回、BOOSTRYはFlatt Securityのセキュリティ診断メニュー「Webアプリケーション診断」を利用。「E-Prime」「E-Wallet」を対象として、セキュリティリスクの調査・検証を行いました。診断実施の背景や感想について、ソフトウェアエンジニアの片上祐介さん、アソシエイトの北野元仁さんのお二人にお話を伺いました。

ターゲット・機能の異なる複数サービスの診断を並行して実施

ーーお二人はBOOSTRYでどのようなお仕事をされているのでしょうか？

片上さん　北野さんは営業担当として、弊社の顧客である証券会社様、信託銀行様や銀行様のIT部門と向き合い、課題や要望をヒアリングして要件に落とし込むところまでを一貫して対応しています。

私は、プロジェクトマネージャ（PM）や品質管理（QA）を主に担当しています。プロジェクトマネジメントに加えて、セキュリティも含めたプロダクトの要求のキャッチアップからリリースまで一気通貫で見ています。

セキュリティ診断を行う際は、主に北野さんと私の二人が窓口となって対応しています。CTOやCOOと議論しながら、診断対象や範囲の設定や準備を行っています。

ーー今回はターゲット・機能の異なる複数サービスの診断を実施しました。それぞれのサービスについて、簡単に教えていただいてもよろしいでしょうか。

片上さん　まず、E-Walletは証券会社向けのエンタープライズ型ウォレットシステムです。弊社がコンソーシアム型で運用しているブロックチェーンと、証券会社様のバックオフィス基盤を接続して、投資家鍵や口座の管理を行うことができます。次に、E-Primeは証券トークンの発行・管理を行うシステムで、トークンの発行体や発行体代理となる信託銀行様・大手銀行様を中心に活用いただいています。

北野さん　E-Primeユーザーが社債や証券化商品のトークンを発行し、E-Walletユーザーが販売を担う、という形で活用が広がっています。

ーー今回、複数サービスのセキュリティ診断を実施した背景について教えてください。

片上さん　サービスのいずれも、金融機関に提供しているサービスであり、セキュリティ品質を高く保つべきであるという使命感があります。そのため、社内でセキュリティ品質の向上に努めるだけでなく、確かな実績を持つ第三者からの外部監査を実施する必要がありました。また、ブロックチェーンに接続しているE-WalletとE-Primeに関しては、ブロックチェーンの特徴である「一度書き込みを行ったら巻き戻しができない」という性質を考慮して、特に注意を払って品質・セキュリティを担保するようにしています。

モダンな技術スタック・スピード感が決め手に

ーーこれまでセキュリティ診断を実施する中で、苦労していたことはありましたか？

片上さん　これまでも外部ベンダーにセキュリティ診断をお願いしていたのですが、スピード感が課題となっていました。

また、新たなセキュリティベンダーを活用し、今までとは異なる観点からサービスを診断していただくことで、更なるセキュリティの向上を期待しておりました。

ーーどのようなきっかけで、今回Flatt Securityを選んだのでしょうか？

片上さん　前述の背景もあり、いくつかのベンダー様にお話を伺うことにしました。その中で、元々、Flatt Securityという会社名はTwitterなどでお見かけしていましたが、どのような会社なのか詳しくは存じ上げませんでした。

ある時、三井物産デジタル・アセットマネジメントさんのセキュリティ診断実施事例をたまたま拝見しました。Fintech領域で活躍されている同業他社の方から貴社が高く評価されていることを知り、興味を持ったのが、Flatt Securityを詳しく知るきっかけになりました。

その後、Twitterや技術ブログも拝見して、モダンな技術スタックのセキュリティ観点に対応できるエンジニアが多く在籍している印象を受け、「そのような技術レベルの高いエンジニアの方々にぜひ診断を実施してほしい」と思い、Flatt Securityにお声がけさせていただきました。

北野さん　先述の通り、弊社では診断実施までのスピード感が課題となっていたのですが、Flatt Securityではスピード感を持って対応いただけるということだったので、非常にありがたかったです。

開発ツールへの診断結果の連携がスムーズに

ーー実際に診断を受けてみて、いかがでしたか？

片上さん　今回診断対象となったE-Primeについては、金融の業務ロジックを組み込んだ機能が多いこともあって、仕様理解が難しいところもあったかと思うのですが、仕様を踏まえてスムーズに診断いただけたのが印象的でした。

メールや電話でやり取りさせていただいたのですが、Flatt Security側のPMや診断エンジニアの方々とのコミュニケーションも非常に円滑に行えました。こちらの質問もすぐに理解いただき、適切な回答をいただけたので、コミュニケーション面で困ることは全くありませんでした。

ーー診断報告書についてはいかがでしたか？

片上さん　診断実施後にMarkdown形式の報告書もいただけたので、大変助かりました。GitHubやJiraなどの開発ツールとの連携が非常にスムーズになりました。また、事象再現用のJavaScriptのコードが掲載されているのも良かったです。事象の再現や再発テストをブラウザ完結で行うことができるようになり、かなり負担が減りました。

ネクストアクションを考えていく上では、「攻撃成立の可能性」という指標が非常に参考になりました。他のベンダーさんからは、この観点でのフィードバックをいただいたことがなかったです。診断結果を踏まえ、優先順位をつけて対応事項を整理する際の判断基準になりました。

※Flatt Securityのセキュリティ診断報告書サンプルは こちら からダウンロード頂けます

ーー最後に、セキュリティ診断以外の分野でFlatt Securityに期待していることがあれば、教えてください。

片上さん　弊社には経験値が多いエンジニアが在籍しており、その方々にリードしていただきながら、「セキュリティを意識した開発」に邁進しております。一方で、今後、組織の拡大に伴い、メンバーのセキュリティに関するスキルのボトムアップが必要になるフェーズが来ると思うので、そのようなタイミングでセキュアコーディングの学習プラットフォーム「KENRO」を使ってみたいなと思っています。「セキュアコーディングをしっかり組織に定着させた上で、ものづくりができる」というのが理想形だと考えています。

＜Flatt Securityのセキュリティ診断に関するお問い合わせはこちらから＞

※Flatt Securityのセキュリティ診断費用の見積もり資料は こちら で配布中です！