セキュリティ診断事例インタビュー

SaaSのアジャイル開発にも定期的なセキュリティ診断の実施が必須。報告書など診断の品質が決め手に

株式会社クロスワープは2001年に設立され、「コンテンツビジネスの現場力をコンピューティングでアップグレードする。」をミッションに、コンテンツビジネス業界向けクラウドコンピューティングサービスの開発と運営をしています。

「MODD(エム・オー・ディ・ディ)」は株式会社クロスワープが提供するエンターテインメント業界向けSaaS型EC・ファンクラブ運営プラットフォームです。MODDは大規模なECサービスを展開される際に必要となる各種機能を網羅し、高いセキュリティとサービスレベルを有したSaaS型サービスとなっています。

MODD

「MODD」公式Webサイト https://www.modd.com/

Flatt Securityは「MODD」のWebアプリケーション診断を担当しました。以降、その品質を評価いただきアジャイル開発のリリースにあわせて定期的にセキュリティ診断を実施することに。

Flatt Securityで実施した初回のセキュリティ診断の感想と、定期的な診断依頼に至った背景を株式会社クロスワープCTOの鈴木さんとeコマース事業部の岡原さんに聞きました。

従来は一つの診断企業に定めず、いろいろな企業にセキュリティ診断を依頼していた

office

(クロスワープ社)

まず、Flatt Securityを知っていただいた経緯を教えてください。

鈴木さん:2年ほど前、代表の山崎がビジネスカンファレンスに訪れたとき、Flatt Securityさんのブースで代表の井手さんにあいさつしたのが最初でしたよね。そのときはセキュリティ診断の話ではなく、当時開発していたサービスの話をメインにしていたとのことですが、山崎から社内に「若くて活きのいい会社がある」という共有があり、そのときに私たちもFlatt Securityさんのことを認識しました。

その後、なぜセキュリティ診断を依頼していただけたのでしょうか。

鈴木さん:「MODD」は主に決済機能や個人情報に関連する機能など、アップデートによって重大なセキュリティホールが生まれそうなときに、積極的にセキュリティ診断を実施していました。しかし、診断会社は固定ではなく毎回変えていました。

なので、セキュリティ診断が必要になったタイミングで「今回は試しにFlatt Securityさんに依頼してみよう」という話になりました。

どのような理由で診断会社を毎回変えているのでしょうか。

鈴木さん:同じ診断会社に毎回依頼するメリットをあまり感じないからです。例えば、PRが得意な企業は「いい診断をしてくれそう」とは思うのですが、クオリティは結局診断結果を納品してもらえるまでわからないんですよね。

だったら、いろいろな診断会社に都度依頼して得意不得意を把握しながら、適材適所でセキュリティ診断を依頼していったほうがいいと考えていました。

定期的に依頼しようと思った理由の一つは報告書のクオリティ

suzukisan

(CTOの鈴木さん)

――実際に、Flatt Securityのセキュリティ診断を受けた感想を教えてください。

岡原さん:一番感動したのは報告書のクオリティ。デザインが洗練されており、修正方法や注意事項など、重要な箇所が伝わりやすかったです。というのも、今まで依頼した企業の中には、文章が読みにくかったり、どこが重要事項なのか分かりにくかったりすることもありました。

Flatt Securityさんには自分たちが気づかなかった指摘をいただいたのはもちろん、報告書の分かりやすさも大変助かる点でした。

――ありがとうございます! 報告書のクオリティ以外にも、定期的にセキュリティ診断を依頼していただくことになった理由があれば教えてください。

岡原さん:今まで同じ診断会社に何度も依頼することはあまりなかったのですが、Flatt Securityさんなら、継続的な依頼をしていきたいと思ったからです。

私たちはサービスの成長にあわせて「CI/CD(継続的インテグレーション/継続的デリバリー)」というビルド、テスト、デプロイを自動化する取り組みを導入しアジャイル開発を行なっています。CI/CDにより開発工数が削減し、リリースのスピードが速くなった一方、セキュリティ面での課題は増えました。

その課題をお打ち合わせの際に相談したら、Flatt Securityさんもアジャイル開発におけるセキュリティを支援する仕組みを作りたいたいとおっしゃっていて、僕たちとセキュリティに関するスタンスが合っていたため、信頼して継続的に依頼できると思ったんです。

開発スピードにあわせて月に1~2回のサイクルでセキュリティ診断を依頼していきたい

image3

(定期的な診断依頼の一連のフロー。依頼から2週間で納品まで完了するような仕組みを運用している)

――最後に、Flatt Securityに期待していることや要望などあれば教えてください。

鈴木さん:何度もお話していますが、私たちにとって同じ診断会社に再度、ましては定期的に依頼するのはとても珍しいこと。今まではお付き合いが長くなればなるほど、メリットよりデメリットのほうが大きいと思っていましたが、今回はそのほうがお互いに経験値が上がり、より良い関係性になると思っています。

現在は2か月に1度の頻度で定期的にセキュリティ診断を依頼していますが、今後は開発スピードにあわせて月に1~2回くらいの頻度にできるようお互いに良いサイクルを模索していきたいです。そして、私たちが依頼する前にFlatt Securityさんから「そろそろ診断始めたほうがいいのでは?」とディレクションしてもらえるような関係性になれることを期待しています。

Internet Explorerをお使いの場合など、お問い合わせフォームが表示されない場合は別ページからお問い合わせください。