セキュリティ診断事例インタビュー

「的確なレスポンス」「3パターンの見積もり」「企業の信頼度」が決め手に/Firebaseのセキュリティ診断事例

2011年に設立された株式会社グッドパッチ様は、UI/UXデザインに強みを持ったデザイン会社。「ハートを揺さぶるデザインで世界を前進させる」というミッションのもと、デザインパートナー事業とインハウスサービス事業の2つを展開しています。

セキュリティ診断事例インタビュー 株式会社グッドパッチ様

今回診断を実施された企業様

株式会社グッドパッチ 従業員数: 約200人(2020年5月時点)

https://goodpatch.com

今回Flatt Securityは、2020年4月にβ版をリリースしたばかりの新サービス「Strap(ストラップ)」の

  • Firestore/Realtime Database/Cloud Storageのセキュリティルールの診断
  • Cloud Functionsにおける特定のエンドポイントの実装に関する診断
  • Firebase HostingにおけるWebアプリケーションのデプロイ構成に関する診断

を担当させていただきました。

オンラインワークスペース上で共同作業ができる「Strap」

Strapのコンセプト画像

Strapはリモート環境下で働くチームを支援するサービス。チームメンバーが1つのオンラインスペースに集まり、情報共有しながら共同編集できるのが大きな特徴です。 リモート会議でオンラインホワイトボードとして利用し、会議の質を向上させることができたり

  • 多様なビジネステンプレート機能で思考を整理
  • 付箋を使ってチームでアイディエーション
  • プロジェクトのアウトプットを一元管理
  • 付箋を使ってチームの振り返り
  • フローチャート機能でつくるKPIツリー

といった活用が可能です。 「Strap」の詳細はこちら。

https://beta.strap.app

グッドパッチ様がFlatt Securityのセキュリティ診断を利用するに至った経緯とセキュリティ診断を受けた感想をエンジニアの矢原将宗さん、エンジニアリングマネージャーの西山雄也さんにうかがいました。

Firebaseのセキュリティルールを診断できる企業探しに苦戦

エンジニア矢原さん

――まず、Firebaseのセキュリティ診断を検討した背景を教えてください。

矢原さん: 2020年4月に「Strap」のβ版リリースを予定していたので、2019年の末ごろからセキュリティ診断を依頼できる企業探しを始めました。 「Strap」はFirebaseをバックエンドとして活用しており、セキュリティを担保するためにはFirestoreのセキュリティルールなどを第三者に診断してもらう必要があると考えていました。しかし、今までお世話になっていたベンダーさんにはBaaSとしてのFirebaseの事例が見当たらず。なのでお付き合いのあるベンダーさんに相談しつつ、並行してFirebaseのセキュリティ診断を依頼できそうな企業を探しました。 探し方はシンプルに、インターネットで「セキュリティ診断」や「フロントエンド セキュリティ診断」と検索してヒットした3〜4社にお問い合わせするというもの。その中の1社がFlatt Securityさんでした。

「的確なレスポンス」「3パターンの見積もり」「企業の信頼度」が決め手に

――複数の候補からFlatt Securityを選ばれた理由はなんでしょうか。

西山さん: 理由は3つあります。 1つ目は的確かつ素早いレスポンスをいただけたこと。他社さんの場合、Firebaseのセキュリティ診断を一般的なREST APIサーバーの診断と勘違いされてしまうことが多く。Firebaseをセキュアに活用できているか診断してほしい、という意向をなかなか汲んでもらうことができませんでした。 一方、Flatt SecurityさんはStrapのバックエンドであるFirebaseの技術構成を伝えたうえで「どのような観点で診断ができるのか」と質問したところ、弊社で想定していたものに近い回答をいただきました。 診断を受けるにあたって弊社から提供すべき環境や情報について伺った際、いただいたリストの中に「Firestore/Realtime Databaseのセキュリティルール」も含まれていたので、意図を理解していただいていると感じました。 スピード感もよかったですね。返答をすぐにいただけたので解像度の高い内容を早い段階から相談できました。また、質問したことに対して認識のズレがない回答をいただけたのもスムーズに進められたポイントだと思います。 2つ目はお見積もりを依頼するボリュームにあわせて「松竹梅」の3パターンで出していただいたこと。弊社としてもFirebaseのセキュリティ診断を依頼するのは初めてのこと。正直、どういう診断になるのかイメージついていない部分がありました。 お見積もりを3パターン用意していただいたことで、チーム内でも円滑に話し合いができ、依頼するか否かの判断基準になりました。また、どの金額も大きな認識のズレはなかったので、その点でも信頼がおけましたね。 3つ目は企業としての信頼度の高さです。著名な投資家の方が出資していることや事例紹介の中に自分たちも知っている企業の名前があったので、安心感がありました。 特に事例紹介にあったCASHさんは新しい技術を取り入れている企業。そのCASHさんとお取り引きがあるなら、最先端のセキュリティにも対応できる企業なんだな、と良い印象を持ちました。

Firebaseのセキュリティルールを理解し網羅的に診断。仕様上の脆弱性も指摘してくれた

エンジニアリングマネージャー西山さん

――実際にセキュリティ診断を受けた感想を教えてください。

矢原さん: 想定していなかった仕様上の脆弱性も発見していただけたりと、大変よく診断していただきましたね。報告書の内容も、一度納品いただいたあとにも、追記してほしい内容のリクエストにも柔軟に応えていただけました。再現性についても記入していただけたので大変満足しています。 西山さん: 網羅的に見てもらえました。Firebaseのセキュリティルールというものをよく理解した上で、抜け漏れを指摘していただけたという印象です。 矢原さん: 実は新型コロナウイルスの影響もあり、一度もお会いできてないんですよね。しかしオンラインミーティングでヒアリングしていただいたあとは、Slackの共通チャンネルで細かにすり合わせしていたので、コミュニケーション面でも特に問題はありませんでした。

"デザインの力を証明する"ためにセキュリティをしっかりと強化していきたい

ーー最後に、今後の御社および「Strap」のセキュリティ体制について教えてください。

矢原さん: 「Strap」はまだβ版をリリースしたばかり。これからどんどん追加機能も実装していくので、いただいた診断結果をもとにセキュリティを担保していきたいと思っています。 また、会社全体としてもどんどん組織が大きくなっているので、“デザインの力を証明する”ためにセキュリティをしっかりと強化していきたいです。 西山さん: 上場企業や大手企業と取引をする際に、セキュリティの観点はよく聞かれます。今までクライアント様から相当数のセキュリティアンケートにも答えているので、セキュリティの重要さは日々感じています。安心して使える状態である”というのも重要なUX、ユーザー体験なんですね。僕らとしてはセキュリティもデザインの大事な観点として考えています。 時代によってセキュリティの課題や法令も変わってくるので、随時新しい情報にキャッチアップしながら、ユーザーが安心して使えるプロダクトを提供していきたいです。

ーーありがとうございました!

Flatt SecurityではWebアプリケーション・スマートフォンアプリケーション・スマートフォンゲーム・プラットフォームに関してセキュリティ診断サービスを提供しております。 ご興味のある方はお問い合わせフォームよりお気軽にご連絡ください。