セキュリティ診断事例インタビュー

エンタープライズ顧客も増え急成長中の「commmune」のセキュリティ診断。他社より高い解像度のプロジェクト進行と開発者に寄り添った報告書を評価

コミューン株式会社は、「企業とユーザーが融け合う社会を実現する。」をビジョンに掲げ、2018年に設立されました。2021年には第三者割当増資により19.3億円の資金調達を実施し、累計調達額は24.3億円に達しています。

同社はコミュニティサクセスプラットフォーム「commmune(コミューン)」と、効率的なカスタマーサクセスのためのアクション基盤「SuccessHub(サクセスハブ)」を提供しています。

「commmune」は自社に最適な顧客コミュニティをノーコードでかんたんに構築・運用でき、顧客・ユーザーコミュニケーションのワンストップ化が可能です。

コミュニティプラットフォーム「commmune」とは

commmune_service_description

「commmune」は、コミューン株式会社が提供するコミュニティサクセスプラットフォームです。自社に最適な顧客コミュニティをノーコードで簡単に構築・運用でき、顧客・ユーザーコミュニケーションのワンストップ化が可能です。顧客コミュニティを通して、課題解決・利用度向上・ファン増加を促し、企業の継続的な売上向上を実現します。 「commmune」の詳細はこちら。 https://commmune.jp/

今回Flatt Securityは「commmune」を対象に、Webアプリケーション診断を実施しました。

コミューン様がセキュリティ診断を利用した経緯と感想をプロダクトオーナーの久松佑輝さんとSREの川岡潤さん、エンジニアの根岸徹也さんにお伺いしました。

エンタープライズの顧客が増えてきたことで、より高いセキュリティレベルを客観的に示すことが求められるようになった

Mr.Kawaoka

SREの川岡潤さん

――まず最初に、Flatt Securityを知っていただいた経緯を教えてください。

川岡潤さん(以下、川岡さん):コミューン内に前職でFlatt Securityさんにセキュリティ診断を依頼した経験があるエンジニアがおり、そのメンバー経由でFlatt Securityさんを知りました。

――セキュリティ診断が必要になったきっかけを教えてください。

久松佑輝さん(以下、久松さん):「commmune」の顧客にエンタープライズの企業様が増えてきたことで、より高いセキュリティレベルを客観的に示すことが求められるようになったことがきっかけです。

セキュアなアプリケーション開発は常に意識していましたが、どうすれば現在のセキュリティレベルを網羅的に把握できるだろうかと手段を模索していました。社内で脆弱性を洗い出すにはかなりの工数がかかるので、まずは第三者のベンダーさんに診断してもらうことを決めました。

初回のミーティングからセキュリティエンジニアが同席してくれたので、いきなり技術的な話ができてスピード感があった

Mr.Hisamatsu

プロダクトオーナーの久松佑輝さん

――Flatt Securityを選んでいただいた決め手を教えてください。

久松さん:最初のミーティングで営業の方に加えてセキュリティエンジニアの方も同席して頂けたので、技術的な話がいきなりできたことは決め手のひとつになりました。

他の診断ベンダーさんだと最初のミーティングは営業の方のみで技術的な話は次回以降、となることが多いので、Flatt Securityさんが一番スピード感がありプロジェクト進行の解像度も高かったです。

川岡さん:スピード感もそうですが、レスポンスの質も高いと感じました。

slack_from_mr.hisamatsu

他ベンダーと比較して見たことのないくらい丁寧な報告書だった。評論家的ではなく、開発者に寄り添っていることが伝わった

Mr.Negishi

エンジニアの根岸徹也さん

――実際にセキュリティ診断をした感想を教えてください。

久松さん:Slackを使った非同期のコミュニケーションはストレスが無く、年末年始の休暇が明けてすぐに診断に向けて動き出せたのはスピード感があって良かったところです。

根岸徹也さん(以下、根岸さん):エンジニア目線だと報告書がわかりやすいのが良かった点です。

セキュリティの専門家ではないエンジニアも多いので、指摘事項が具体的で再現性も高いのはありがたかったです。エンジニアのリソースは限られていますからね。

川岡さん:他ベンダーさんと比較しても、ここまで丁寧な報告書は今までありませんでした。Flatt Securityさんも診断会社であることには変わりはないのですが、評論家的なベンダーさんとは違い、報告書の内容が開発者に寄り添ってくれているなと感じました。

特に指摘事項の再現手順が、実際のコードや画面キャプチャ付きで説明されているというのは初めての経験でした。また、脆弱性を発生させないための根本的な対策を具体的な指示レベルで提示してくださったのもFlatt Securityさんが初めてでした。

前職で他のベンダーさんにセキュリティ診断を依頼した際には「攻撃の実現性は低いが脆弱性が存在する」などと報告され、関係者へどう説明すればいいか困った経験もありました。

Flatt Securityさんの報告書は指摘事項についてとても具体的に説明されていたので、そのようなことが無くて助かりました。

――今後、Flatt Securityについて期待することや要望することなどがあれば教えてください。

久松さん:定期的なセキュリティ診断は必要だと考えていますので、その時はまた相談に乗っていただきたいと思います。

川岡さん:アプリケーションは日々アップデートされていきますがFlatt Securityさんにはそこをキャッチアップしていただき、アップデートの差分を踏まえて診断プランを提案していただけると嬉しいです。

根岸さん:個人的にはFlatt Securityさんがリリースされている技術ブログを継続していただきたいです(笑)。エンジニアとしては非常に勉強になるコンテンツです。

  • シェア
  • このエントリーをはてなブックマークに追加
    • セキュリティ診断サービス詳細はこちら
    全ての事例を見る

    Internet Explorerをお使いの場合など、お問い合わせフォームが表示されない場合は別ページからお問い合わせください。

    会社情報

    会社概要採用情報ニュース技術ブログ#FlattSecurityMagazine脆弱性リサーチプロジェクト

    サービス紹介

    Shisho Cloud(シショウ クラウド)KENRO(ケンロー)

    お問い合わせ

    お問い合わせフォーム採用お問い合わせフォームプライバシーポリシー