セキュリティ診断事例インタビュー
double jump.tokyo株式会社は、NFT・ブロックチェーンゲーム専業開発会社として2018年4月3日に設立されました。
「My Crypto Heroes」「BRAVE FRONTIER HEROES」などのブロックチェーンゲームの開発、大手コンテンツホルダーを対象としたNFTの発行販売を行います。また、ゲーム・メタバース提携を支援するNFT事業支援サービス「NFTPLUS」や、複数人で秘密鍵を管理できるビジネス向けNFT管理サービス「N Suite」の提供・開発も行っています。
「N Suite」は、複数人で秘密鍵を管理できるビジネス向けNFT管理サービスです。NFT発行や暗号資産の送金、スマートコントラクトのデプロイなど、NFT/Web3領域の事業をスムーズかつ効果的に行うための製品を含んだビジネスツールセットです。組織の秘密鍵管理の課題を解決することで、組織がWeb3の基盤となるブロックチェーンにアクセスするハードルを下げ、Web3の発展を加速させることを目指しています。
「N Suite」の詳細はこちら。 https://www.nsuite.io/
今回Flatt Securityは「N Suite」を対象に、Webアプリケーション診断を実施しました。
double jump.tokyo様がセキュリティ診断を利用した経緯と感想を「N Suite」事業責任者の青木宏文さんとinfra/devopsエンジニアの大関孝之さんにお伺いしました。
大関孝之さん(以下、大関さん):正直なところ、診断を検討し始めた時点ではFlatt Securityさんのことは存じ上げませんでした。診断ベンダーの選定のためにリサーチしていた段階で発見し、御社が三井物産デジタル・アセットマネジメントさんにセキュリティ診断を提供した際の事例記事を読んで興味を持ちました。
青木宏文さん(以下、青木さん):そろそろセキュリティ診断が必要なのではないかという意見が社内で出始めたのと、エンタープライズ企業のセキュリティ要件に対応するためという2つのきっかけがありました。
ただ、前者の内発的な動機が大きかったかと思います。「N Suite」そのものがユーザーのセキュリティに関する課題を解決するプロダクトですので、それ自身のセキュリティも当然強化する必要がありました。
大関さん:まず、セキュリティ診断は手段であり目的ではないと思っています。弊社のサービスにおいてリスクとなる脆弱性が存在するかを明らかにし、それを改善することがゴールだと捉えていました。
今回の診断対象の「N Suite」は秘密鍵管理の認可が肝となっているプロダクトです。必要な人のみが、必要な権限のみで操作を行えることに意味があります。
ですので、認可フローについて理解していただいた上で、そのロジックに不備がないかを徹底的に診断してほしいという意図で申し上げました。
齋藤友里(弊社営業):弊社ではロジックの不備についても診断項目に標準で含まれていますが、そうではないベンダーさんもいらっしゃるようなので、他のベンダーさんをご利用の際には確かに注意すべき点かもしれません。
大関さん:私どもとしては「N Suite」のセキュリティ診断は次回以降もFlatt Securityさんにお願いしたいと思っていますので、心配無用かもしれません(笑)。
大関さん:そうですね、弊社のようにフロントエンドからのAPIをgRPCで受けるというのは珍しいと思いますし、実際ベンダーさん選定の際に候補にあったあるベンダーさんにも、難色を示されることがありました。
また他のあるベンダーさんには、一度話を持ち帰って頂き、後日「技術的には可能だが別料金での対応になる」とご説明いただきました。
Flatt Securityさんは最初のミーティングで営業の方に加えてエンジニアの方も同席していたので、その場で技術的に問題ないと即答いただけたのは良かったところです。
大関さん:一番の決め手は段取りの良さとスピード感でした。他社さんはメールベースでヒアリングシートをWordで共有したりと、社内のSlackでのコミュニケーションに比べてスピード感の無さを感じていました。
Flatt SecurityさんはSlackで共有チャンネルを作ってやり取りができたので、ストレスのないコミュニケーションが取れました。見積もり時のスピード感から、診断中や納品後のスピード感に期待できたことが決め手です。
大関さん:まず報告書がとてもわかりやすいと感じました。ベンダーさん選定の時に重視していた、「プロダクトの要である認可フローについて理解して貰った上での診断」をしていただけたのが感じられる報告書でした。
私どもが日頃触れているプロダクトでも、客観的な目線で第三者のベンダーさんにチェックしてもらうことで発見できることがあるんだと実感できました。
コミュニケーションに関しては先ほどから申し上げている通り素晴らしい体験でした。指摘事項についても、重要なものは都度報告していただきたいというこちらの要望を聞いていただけましたし、御社のセキュリティエンジニアの方と直接やり取りできたのも良かった点です。
大関さん:定期的なセキュリティ診断の実施が導入要件になることもありますし、サービスのアップデートに合わせてまた診断をお願いしたいと思っています。
また、継続的な運用・開発に潜むセキュリティのリスクについてのサポートなども期待することの一つです。
青木さん:大関が申し上げた通りですが、継続的に診断していただくというのが最も期待するところです。
Internet Explorerをお使いの場合など、お問い合わせフォームが表示されない場合は別ページからお問い合わせください。