ビジネス向けNFT管理サービス「N Suite」とは

「N Suite」は、複数人で秘密鍵を管理できるビジネス向けNFT管理サービスです。NFT発行や暗号資産の送金、スマートコントラクトのデプロイなど、NFT/Web3領域の事業をスムーズかつ効果的に行うための製品を含んだビジネスツールセットです。組織の秘密鍵管理の課題を解決することで、組織がWeb3の基盤となるブロックチェーンにアクセスするハードルを下げ、Web3の発展を加速させることを目指しています。

「N Suite」の詳細はこちら。 https://www.nsuite.io/

今回Flatt Securityは「N Suite」を対象に、Webアプリケーション診断を実施しました。

double jump.tokyo様がセキュリティ診断を利用した経緯と感想を「N Suite」事業責任者の青木宏文さんとinfra/devopsエンジニアの大関孝之さんにお伺いしました。

「N Suite」そのものがユーザーのセキュリティに関する課題を解決するプロダクトなので、それ自身のセキュリティも強化する必要があった

――まず最初に、Flatt Securityを知っていただいた経緯を教えてください。

大関孝之さん（以下、大関さん）：正直なところ、診断を検討し始めた時点ではFlatt Securityさんのことは存じ上げませんでした。診断ベンダーの選定のためにリサーチしていた段階で発見し、御社が三井物産デジタル・アセットマネジメントさんにセキュリティ診断を提供した際の事例記事を読んで興味を持ちました。

――セキュリティ診断が必要になったきっかけを教えてください。

青木宏文さん（以下、青木さん）：そろそろセキュリティ診断が必要なのではないかという意見が社内で出始めたのと、エンタープライズ企業のセキュリティ要件に対応するためという2つのきっかけがありました。

ただ、前者の内発的な動機が大きかったかと思います。「N Suite」そのものがユーザーのセキュリティに関する課題を解決するプロダクトですので、それ自身のセキュリティも当然強化する必要がありました。

プロダクト仕様に応じた要望や診断難易度の高い技術スタックもあったが、段取りの良さとスピード感のあるコミュニケーションが決め手に

――典型的な脆弱性だけでなくロジックの不備のような脆弱性の検出を診断には期待していたと聞き及んでおります。そのように考えていた背景をご教示ください。

大関さん：まず、セキュリティ診断は手段であり目的ではないと思っています。弊社のサービスにおいてリスクとなる脆弱性が存在するかを明らかにし、それを改善することがゴールだと捉えていました。

今回の診断対象の「N Suite」は秘密鍵管理の認可が肝となっているプロダクトです。必要な人のみが、必要な権限のみで操作を行えることに意味があります。

ですので、認可フローについて理解していただいた上で、そのロジックに不備がないかを徹底的に診断してほしいという意図で申し上げました。

齋藤友里（弊社営業）：弊社ではロジックの不備についても診断項目に標準で含まれていますが、そうではないベンダーさんもいらっしゃるようなので、他のベンダーさんをご利用の際には確かに注意すべき点かもしれません。

大関さん：私どもとしては「N Suite」のセキュリティ診断は次回以降もFlatt Securityさんにお願いしたいと思っていますので、心配無用かもしれません（笑）。

――gRPC-Webで通信を行うプロダクトですので、対応可能な診断ベンダーを見つけにくかったのでしょうか。

大関さん：そうですね、弊社のようにフロントエンドからのAPIをgRPCで受けるというのは珍しいと思いますし、実際ベンダーさん選定の際に候補にあったあるベンダーさんにも、難色を示されることがありました。

また他のあるベンダーさんには、一度話を持ち帰って頂き、後日「技術的には可能だが別料金での対応になる」とご説明いただきました。

Flatt Securityさんは最初のミーティングで営業の方に加えてエンジニアの方も同席していたので、その場で技術的に問題ないと即答いただけたのは良かったところです。

――Flatt Securityを選んでいただいた決め手を教えてください。

大関さん：一番の決め手は段取りの良さとスピード感でした。他社さんはメールベースでヒアリングシートをWordで共有したりと、社内のSlackでのコミュニケーションに比べてスピード感の無さを感じていました。

Flatt SecurityさんはSlackで共有チャンネルを作ってやり取りができたので、ストレスのないコミュニケーションが取れました。見積もり時のスピード感から、診断中や納品後のスピード感に期待できたことが決め手です。

初めての診断だったが可読性の高い報告書のフォーマットに満足

――実際にセキュリティ診断をした感想を教えてください。

大関さん：まず報告書がとてもわかりやすいと感じました。ベンダーさん選定の時に重視していた、「プロダクトの要である認可フローについて理解して貰った上での診断」をしていただけたのが感じられる報告書でした。

私どもが日頃触れているプロダクトでも、客観的な目線で第三者のベンダーさんにチェックしてもらうことで発見できることがあるんだと実感できました。

コミュニケーションに関しては先ほどから申し上げている通り素晴らしい体験でした。指摘事項についても、重要なものは都度報告していただきたいというこちらの要望を聞いていただけましたし、御社のセキュリティエンジニアの方と直接やり取りできたのも良かった点です。

――今後、Flatt Securityについて期待することや要望することなどあれば教えてください。

大関さん：定期的なセキュリティ診断の実施が導入要件になることもありますし、サービスのアップデートに合わせてまた診断をお願いしたいと思っています。

また、継続的な運用・開発に潜むセキュリティのリスクについてのサポートなども期待することの一つです。

青木さん：大関が申し上げた通りですが、継続的に診断していただくというのが最も期待するところです。