セキュリティ診断事例インタビュー

freeeがお試し発注から年間契約締結へ。技術力重視でホワイトボックス診断を実施

freee株式会社は2012年、「スモールビジネスに携わるすべての人が、 創造的な活動にフォーカスできるよう」をミッションに設立されました。クラウド型会計ソフト「freee」をはじめ、HRプラットフォームサービス「freee 人事労務」や「freee会社設立」など、スモールビジネスのバックオフィス業務を効率化するクラウドサービスを開発・提供。2019年12月に東京証券取引所マザーズに新規上場しています。

freeeは2021年6月に記帳アプリ「Taxnote(タックスノート)」を開発・提供する合同会社ノンモを完全子会社化しました。スモールビジネスの帳簿作成をモバイル完結できる「Taxnote」を通し、より多様なスモールビジネスのニーズに応えていく予定です。

image4

記帳アプリ「Taxnote」 https://www.taxnoteapp.com/

今回、Flatt Securityは「Taxnote」のスマートフォンアプリに関してiOSとAndroidの両方を診断しました。セキュリティ診断の感想や診断依頼に至った背景をセキュリティエンジニアの金澤康道さんに聞きました。

セキュリティエンジニアのテックブログを読み、技術力の高さに期待

image5

セキュリティエンジニアの金澤康道さん

ーーまずはFlatt Securityを知っていただいた経緯を教えてください。

サイバーセキュリティの第一人者である上野宣さん(※)がきっかけです。僕自身、4年ほど前まで脆弱性診断員をやっており、上野さんとはその当時からの知り合いでした。2020年にFlatt Securityさんの社外取締役に就任したというプレスリリース を見て、御社のことを知りました。

※上野宣…2006年、株式会社トライコーダを設立。2020年、株式会社Flatt Securityの取締役に就任。

OWASP Japan 代表、一般社団法人セキュリティ・キャンプ協議会 GM、日本ハッカー協会理事、東京2020オリンピック・パラリンピック競技大会向け実践的演習「サイバーコロッセオ」推進委員などを務め、第11回アジア・パシフィック情報セキュリティ・リーダーシップ・アチーブメント(ISLA)を受賞。

ーーなぜ今回、セキュリティ診断が必要になったのでしょうか。また、なぜホワイトボックス診断を依頼していただいたのでしょうか。

「Taxnote」を買収するにあたり、セキュリティ診断が必要になったからです。

今までは、セキュリティベンダーに依頼したり、私が中心となって社内で診断したりしていたのですが、2021年2月に顧客情報漏洩のインシデントが発生したこともあり、よりセキュリティを強化する必要がありました。そこで、新たな試みとしてFlatt Securityさんに相談してみようということになりました。

また、ホワイトボックス診断を依頼した理由も同様です。費用がかかってでも、高いレベルでのセキュリティを実現したかったからです。マネージャーや部長クラスのメンバーもこの方針で合意が取れていました。

ーーFlatt Securityを利用するにあたり、懸念点はなかったのでしょうか。

なかったですね。テックブログでFirebaseのセキュリティに関する記事「Firestoreセキュリティルールの基礎と実践 - セキュアな Firebase活用に向けたアプローチを理解する」などを読み参考にしていたので、技術力の高いセキュリティエンジニアがいることはわかっていました。

それに、たとえ大手や有名な診断会社だとしても、実力は診断結果が出ないとわかりません。信頼している上野さんがいることもあり、「Flatt Securityさんなら期待する成果を出してもらえるのでは」と思い、依頼することにしました。

チームメンバーが報告書の構成や再現手順のわかりやすさを評価

image1

報告書を提出した後にfreeeさんからいただいたうれしいご感想

――実際にFlatt Securityの診断を受けた感想を教えてください。

不安に感じていた部分はしっかり診断結果に現れていて、期待以上でした。また、メンバーからは技術面だけでなく、「報告書が読みやすくてよかった」という声も挙がっていました。

というのも、他の会社からもらう診断結果報告書は文字量が多く、理解に時間がかかることが度々ありました。Flatt Securityさんのものは再現手順や修正方法がわかりやすく簡潔にまとまっていたので、すぐに対応することができました。

ーー私たちは報告書を提出してから、2営業日ほどで修正対応をする御社のスピード感に驚きました。

freeeは意思決定が早い社風なんです。役職についていなかったり新卒社員だったりしても、一人ひとりが裁量を持っているので、できる限り即レスを心がけています。Flatt Securityさんも対応が早く、お互いのスピードが合っていたのも、御社に依頼してよかったと思う理由の一つになりました。

精度の高さを実感し、年間契約を締結

logo

――ありがとうございます!最後に、今後Flatt Securityに期待することを教えてください。

今回の診断結果を踏まえ、年間契約をさせていただきました。もともと社内の輪読会でCTOの米内さんが上梓した『Webブラウザセキュリティ Webアプリケーションの安全性を支える仕組みを整理する』を取り上げたり優秀なセキュリティエンジニアがいることも把握しており、期待はしていました。今回の診断結果で確かな実力があることが改めてわかり、年間契約に踏み切りました。

また、セキュリティに携わるエンジニア全体のセキュリティ教育の必要性も感じており、「KENRO」の導入も検討しています。診断ができるエンジニアは現状、私だけ。まずは「KENRO」を通じて開発工程からセキュリティを意識できるようなエンジニアを増やし、ゆくゆくは診断を内製化できる組織づくりをしていきたいので、お力をいただけるとうれしいです。

  • シェア
  • このエントリーをはてなブックマークに追加
    • セキュリティ診断サービス詳細はこちら
    全ての事例を見る

    Internet Explorerをお使いの場合など、お問い合わせフォームが表示されない場合は別ページからお問い合わせください。

    会社情報

    会社概要採用情報ニュース技術ブログ#FlattSecurityMagazine脆弱性リサーチプロジェクト

    サービス紹介

    Shisho Cloud(シショウ クラウド)KENRO(ケンロー)

    お問い合わせ

    お問い合わせフォーム採用お問い合わせフォームプライバシーポリシー