Claudio ERP Plus ※現在βリリース中。2022年正式リリース予定 https://www.claudio-erp-plus.com/

今回Flatt Securityは「Claudio ERP Plus」のFirebase診断とWebアプリケーション診断を実施しました。Firebase診断を実施した感想をクラウディオデジタルオフィスCTOの押野泰平さんに聞きました。

新サービスをローンチするにあたり、Firebaseの脆弱性が懸念に

ーーどのような経緯で、Firebase診断が必要になったのでしょうか。

押野泰平さん（以下、押野さん）：「Claudio ERP Plus」はマルチテナント型のサービスで、企業の人事情報や取引情報など機密性の高い情報を保持しています。そのため、他テナントの情報にアクセスできないようにしたり、テナント内ではロールと権限に基づいたアクセス制御を行うといったセキュリティ対策が必須となります。

正式リリースするにあたり、第三者からセキュリティの評価を受ける必要があると考えていました。

なかでも重要視したのがFirebaseについて。Firebaseを基盤に独自の認可モデルなどを構築しているため、一般的なWebアプリケーション診断ではなく、Firebaseに特化した診断をしていただきたいと思いました。

ーーFlatt Securityを知っていただいたきっかけを教えてください。

押野さん：Firebase診断ができる企業を探している中で、Flatt Securtyさんのバズっている記事を見つけ、問い合わせしてみることにしました。

あなたのプロダクトにも脆弱性が!? Flatt Securityが「Firebase」のセキュリティを重要視するワケ https://and-engineer.com/articles/YJNXfhEAACIATLVv

ーーFlatt Securityというスタートアップの診断会社に依頼するにあたり、不安なことはありましたか。

押野さん：スタートアップ企業だから不安、ということは特にありませんでした。企業規模よりも、「Firebaseに特化している診断を提供している企業」ということのほうを重要視しました。

ーー最終的に、Flatt Securityを選んでいただいた決め手はなんだったのでしょうか。

押野さん：最初の打ち合わせでセキュリティエンジニアの方とお話して、Firebaseに対して深い知識があるとわかり、安心して任せられると思いました。私たちのアーキテクチャをすぐに理解していただけましたし、想定していた予算感とも乖離がありませんでした。

Firebaseのエキスパートとして、コンサルのような役回りをしてほしい

ーー実際にFirebase診断を受けた感想について教えてください。

押野さん：構築した権限モデルやセキュリティ対策の根幹を揺るがすような脆弱性は検知されず、ひとまずほっとしました。しかし弊社では気づけなかった部分の指摘もあり、精度の高い診断内容だったと思います。

また、Firebaseの脆弱性がどのような観点で検知されるかについて、だいたいの考え方がわかったことも個人的には大きな収穫でした。

ーーありがとうございます！レポートについてはいかがでしょうか。

押野さん：非常に読みやすかったです。チームメンバー全員で読み合わせをしたのですが、セキュリティの知識がないエンジニアであってもレポート通りの手順で脆弱性を再現させることができました。

レポートの内容が分かりやすかったからこそ、手間取ることなく、指摘された部分についてスピーディーに改修することができたと思います。

ーー最後に、今後Flatt Securityに対して期待することがあれば教えてください。

押野さん：今回クラウディオとしても初めて、セキュリティ診断を実施しました。実際に診断を受け、このスキームが必ずしも利便性が高いとは正直思いませんでした。

アップデートし続けるSaaS型のプロダクトは実装した機能の単発のセキュリティ診断だけでは不十分です。既存の前提を拡張したり新しいアーキテクチャを取り入れる段階で、設計段階からセキュリティリスクを評価してもらったり、ミドルウェアやコアな実装部分をセキュリティの観点でレビューしてもらうという形で支援していただけるとうれしいです。

「診断をして終わり」ではなく、Firebaseセキュリティのエキスパートとして、コンサルタントのようなポジションでプロジェクトと携わっていただきたいです。