今回、GaudiyはFlatt Securityのセキュリティ診断メニュー「GraphQL診断」を利用。「Gaudiy Fanlink」の一部機能を対象として、セキュリティリスクの調査・検証を行いました。診断実施の背景や感想について、同社ソフトウェアエンジニアの勝又拓真さんにお話を伺いました。

IPのブランドイメージを守るため、プロダクトセキュリティに注力

——勝又さんはGaudiyでどのようなお仕事をされていますか？

バックエンドエンジニアとして、プロダクトのバックエンド周りの開発を担当しています。

また、「代表Dev」という開発組織の責任者としての立場で、開発組織の改善や技術投資にも取り組んでいます。働きやすさや開発生産性をより向上し、中長期的に成長できる組織を目指して、さまざまなプロセスの見直しや構築を進めるとともに、プロダクトマネージャー（PdM）とともにプロダクトロードマップに沿った技術投資を行っています。

▼勝又さんがGaudiyの「代表Dev」就任を振り返った記事（Gaudiy TECH BLOG） https://techblog.gaudiy.com/entry/2022/12/18/131402

——どのような体制でセキュリティ診断を実施されていますか？

Gaudiyでは、開発横断チームがプロダクトセキュリティを主導しています。まだまだ小規模の会社なのでプロダクトセキュリティを担う専任組織はありませんが、特に注意すべき箇所については、設計段階からセキュリティ対策を意識して進めています。

Gaudiyのプロダクトはブロックチェーンを活用しているのですが、ブロックチェーン部分のセキュリティについてはブロックチェーンチームが主導して進めています。

プロダクトセキュリティ課題の優先順位づけは、基本的に開発横断チームが行っています。外部環境の変化や、技術トレンドなどを踏まえながら対応の優先順位を決め、各開発チームに連携して対応を進めていただいています。今回のセキュリティ診断に関しては、代表Devである僕が窓口となり、社内外の調整を行いました。

——今回診断対象となった、ブロックチェーン技術を活用したファンプラットフォーム「Gaudiy Fanlink」について教えてください。

Gaudiy Fanlinkは、ブロックチェーンを活用した、エンタメファンのためのコミュニティサービスです。IPホルダーのお客様に、様々な作品ごとの公式コミュニティを立ち上げていただくことができるプラットフォームとして提供しています。Gaudiy Fanlinkで作られた公式コミュニティでは、ファン同士の交流やNFTの購買、コンテンツ閲覧、二次創作の発信など、作品に関する多様な体験が可能です。

——今回、Gaudiy Fanlinkの一部機能を対象としたセキュリティ診断のご依頼をいただきました。診断実施の背景について教えてください。

どのようなプロダクトにおいても、ユーザーの安全や企業のブランドを守るためにセキュリティは重要だと思います。しかし、それ以上に、Gaudiy FanlinkではIPを扱っているというプロダクトの性質上、セキュリティの担保を非常に重視してきました。

万が一、セキュリティインシデントが起きてしまったら、Gaudiy Fanlinkで扱うIPを傷つけることになります。IPホルダーの企業にとって、IPはビジネスのコアです。セキュリティ上の瑕疵により、そのイメージを損ねてしまうことはあってはなりません。

プロダクトのセキュリティレベルをより一段と高めるための取り組みの一つとして、今回、セキュリティ診断を実施することに決めました。

「診断員の質」と「コスパの良さ」が決め手に

——業者選定にあたり、重視したポイントは何でしたか？

Gaudiy FanlinkはGraphQLを使用しているため、当初は「GraphQLを対象としたセキュリティ診断を実施できるかどうか」というポイントを最も重視していました。

また、社内のセキュリティに詳しいエンジニアから「実際にセキュリティ診断を担当する診断員（セキュリティエンジニア）の技術力の高さを見極めた方が良い」というアドバイスをもらったので、セキュリティベンダー各社に話を聞く時はとても意識していました。技術力の高さを見極めるのは非常に難しいのですが、診断を担当するセキュリティエンジニアの実績を確かめることで測ることができました。

——Flatt Securityを知ったきっかけは何でしたか？

Flatt Securityのことは、Gaudiyと創業時期が近い会社なので名前は知っていましたが、どのような事業を展開している会社かは知りませんでした。

その後、Firebaseのセキュリティについて調べた時、Flatt Securityの技術ブログ記事が検索結果の一番上に出てきて、しかも一番詳しかったので驚きました。技術ブログには他にも参考になる記事が多く、社内の認知度も非常に高くなっていきました。

個人的には、セキュリティ診断だけでなくセキュアコーディング学習プラットフォーム「KENRO」や「Shisho Cloud」など、セキュリティを担保するために必要なサービスを多角的に展開しているところに魅力を感じました。セキュリティベンダーの中でもユニークな会社だという印象を受けていました。

——最終的にFlatt Securityに依頼した決め手は何でしたか？

ヒアリングの際に技術的に込み入った質問をしてしまったのですが、実際にセキュリティ診断を担当いただく診断員の方に、納得のいくご回答をいただけたので、「Flatt Securityさんだったらしっかりやっていただけそうかな」という感触を持ちました。診断員の診断経験の豊富さと技術力の高さを感じ、それが決め手の1つになりました。

加えて、他社と比較した際の「コストパフォーマンスの良さ」も強く感じました。料金については決して安いわけではありませんが、他社との相見積もりを行った際、最も高額だったわけではありませんでした。GraphQL診断の実績や診断員の質の高さを考えるとコストパフォーマンスが良いと思いました。経験豊富な診断員にGraphQL固有のセキュリティ課題をしっかり見てもらえるとのことだったので、安心感がありました。

※Flatt Securityのセキュリティ診断費用の見積もり資料は こちら で配布中です！

診断を通して改めて診断員の質の高さを実感

——実際に診断を受けられてみて、いかがでしたか？

GraphQLのスキーマと診断用の環境をお渡しするだけで、スムーズに診断していただけたのが印象的でした。Slackでやり取りできたこともあり、診断員の方とのコミュニケーションコストも低く、技術的なサポートも非常に心強かったです。診断員の方からのレスポンスも的確かつ迅速でした。

直接的には診断とはあまり関係がないのですが、診断期間中、認証の実装方針について診断員の方にご相談させていただいたことがありました。その際、セキュリティの標準規格に則った、説得力のある改善提案をいただくことができたので、改めて診断員の方の技術力の高さを感じました。非常にありがたかったです。

——診断報告書に関しては、いかがでしたか？

大変見やすかったですし、対応の優先順位がわかりやすい形で情報が整理されていたので助かりました。

また、診断報告書がPDFだけでなくMarkdown形式でも納品されていたのがありがたかったです。事象の再現手順がコピペするだけで動作するようなPoCコードで記載されており、DevToolsで簡単に事象の再現ができたため、診断後の改修対応もしやすかったです。社内のエンジニアからも好評で、みんな感動していました（笑）。

※Flatt Securityのセキュリティ診断報告書サンプルは こちら からダウンロード頂けます

——最後に、Flatt Securityに期待していることがあれば、教えてください。

Gaudiyでは、これからはよりプロダクトセキュリティの取り組みを強化していきたいと考えています。仕様段階からセキュリティ要件をしっかり組み込んでいくなど、継続的にプロダクトのセキュリティレベルを高めていくための施策をサポートいただけたり、どのような方針で進めれば良いかアドバイスをいただけると非常にありがたいですね。

——勝又さん、本日はありがとうございました！

＜Flatt Securityのセキュリティ診断に関するお問い合わせはこちらから＞