今回、カミナシは、「カミナシ」の一部機能を対象とした「Webアプリケーション診断」を実施しました。実施の背景や感想について、同社取締役CTOの原トリさんとセキュリティエンジニアの西川彰さんのお二人にお話を伺いました。

「プロダクトセキュリティの文化づくり」に注力

ーーお二人は、カミナシでどのようなお仕事をされていますか？

トリさん：CTOとして、プロダクトの開発・運用やエンジニア組織づくり等、技術に関する領域を幅広く見ています。

西川さん：専任のセキュリティエンジニアとして、プロダクトセキュリティ全般を担当しています。

ーーこれまで、どのような体制でプロダクトセキュリティ施策を進めてきましたか？

トリさん：元々、「プロダクト開発に関わるメンバー一人ひとりが、プロダクトセキュリティにオーナーシップを持って取り組んでいけるようなカルチャーを作る」というゴールを設定していました。そのゴールに共感した西川さんに入社いただいたことをきっかけに、取り組みを加速させています。

現在、エンジニアリング組織には20人ほどが在籍しており、ほとんどのメンバーがプロダクト開発に携わっています。プロダクトセキュリティに関しては、西川さんにメインで動いていただいており、1人で15人分ぐらい活躍されています（笑）。

西川さんの主な業務はプロダクトセキュリティのイネーブルメントです。通知への対応や脆弱性の修正などの細かな業務を全て1人で担っているわけではありません。組織にいかにプロダクトセキュリティを浸透させるか、がミッションとなっています。

西川さん：「最小のセキュリティ施策で最大限の効果を発揮するにはどうすればよいか」を考え、実行するのが私の仕事です。例えば、AWSなど、業務で利用しているプラットフォームやツールでセキュリティに関する機能がリリースされた時、それをすぐ取り入れるのではなく、「どうすれば開発チームに適合できるのか」「それは本当に必要なのか」という視点で常に考えるようにしています。

セキュリティに関する細かい仕組みやツールの実装に関しては、業務委託で週1日入っていただいているSREの方にお任せしています。他の企業にはない独特の取り組みなのではないかと感じています。

▼西川さんによるイネーブルメントの取り組みの解説記事

https://kaminashi-developer.hatenablog.jp/entry/2023/07/19/120000

ノンデスクワーカーのDX・業務効率化をサポート

ーー今回診断対象となった「カミナシ」について教えてください。

トリさん：「カミナシ」は、工場や建設工事、清掃業など、普段の業務をデスクではない場所で進めている方々、ノンデスクワーカーに向けたプロダクトです。

アナログな価値を提供する業界・業種の現場では、デジタル化が進まず、現場の負担が大きいという課題がありました。また、現場のDXが進んでいない一方で、管理部門や本社からは分析のためのデジタルデータを求められ、データをまず紙の帳票に記録し、さらにそれをExcelに転記する…といった二重の負担が発生していました。

それらの課題を解決するためのプロダクトとして「カミナシ」が生まれました。現場の紙帳票をデジタル化する機能から始まり、レポート機能や分析機能などの様々な機能も追加し続けてきました。今では紙帳票に換算すると数百万枚単位のデータが毎月記録されるようになっています。記録されるデータには、企業秘密などの機微情報が含まれる場合もあるので、情報漏洩対策には留意しています。

“セキュア開発への伴走力”が業者選定のポイントに

ーー今回のセキュリティ診断実施の背景について教えてください。

トリさん：これまで、カミナシでは外部ベンダーによるセキュリティ診断の実施経験がありませんでしたが、それには理由があります。セキュリティ診断は「やって終わり」ではなく、診断結果を踏まえた対応を行うまでがセットだと考えているからです。

一方で、「指摘事項全てに対応する」というスタンスは現実的ではなく、優先順位や対応すべき理由を明確にした上で、優先順位の高いものから対応する必要があります。

優先順位をつけるには客観的な指標が必要になります。僕が「これは優先度高く対応しよう」と言うこともできますが、それではメンバーの納得感は生まれず、スケールしません。そこで、リスクマトリクスを書き、セキュリティポリシーとして明文化することにしました。そして、将来的にこのポリシーが普段の業務の中でも活用されるようになってから、セキュリティ診断にも活用したいと考えていました。

ポリシー策定は、社内での説明や浸透までを考えると、僕が一人でオーナーシップを持って担当するには重すぎる仕事でしたが、西川さんが入社してくれたおかげで、一気に進めることができました。

西川さん：ポリシーの策定が完了し、社内でも運用が始まったタイミングで、予定通りセキュリティ診断の実施に着手しました。

プロダクトのセキュリティの現状を知らないとどのような対策をすべきかわからないと思いますし、そもそも開発メンバーの中に意識が芽生えないのではないかと考えていました。セキュリティ診断の実施を通じて、現状の把握に加え、開発チームへの啓発も進めていきたいという思いがありました。

ーー業者選定にあたり、重視したポイントは何でしたか？

西川さん：上述のとおり、今回のセキュリティ診断では「開発チームへの啓発」がテーマとなっていましたので、そのテーマに沿って伴走してくれるかどうかを非常に重視しました。

具体的に言うと、距離感ですね。これまで様々なベンダーさんにセキュリティ診断をご依頼させていただきましたが、中には「事務的すぎる」と感じたやり取りもありました。

トリさん：これはベンダーさんのミッション・ビジョンや規模にもよるのかもしれませんが、コミュニケーションを「セキュリティ診断という作業を行うためのもの」と位置づけているベンダーさんがいらっしゃるのも事実です。たくさんの案件を抱えていると、どうしても流れ作業的に対応せざるを得ない局面もあると思います。

一方、Flatt Securityさんは最初から「『カミナシ』をよりセキュアにするにはどのようにすべきか」という点に重きを置いてコミュニケーションを取ってくださったので、伴走力の強さを感じました。開発経験のあるセキュリティエンジニアが多いという、Flatt Securityさんのバックグラウンドに拠るところも大きいのではないかと思います。非常にナイーブな差ではありますが、この直感を信じてご依頼して良かったと改めて感じました。

無料付帯のソースコード診断を実施し、成果を最大化

ーー実際に診断を受けられて、いかがでしたか？

西川さん：技術力は期待通りで、申し分ありませんでした。診断終了後、事象の再現手順をスクリプトで提供いただけたので、すぐに再現できたのがありがたかったです。

※Flatt Securityのセキュリティ診断報告書サンプルはこちらからダウンロード頂けます。

また、コミュニケーションも非常に取りやすかったです。診断期間中も、丁寧にやり取りさせていただいたので安心感がありました。

ーー今回は無料付帯のソースコード診断も実施させていただきました。ソースコード提供に抵抗感はありませんでしたか？

トリさん：正直なところ、最初は抵抗感がありましたね。事前に「診断終了後にソースコードは破棄する」「診断以外の用途にソースコードを利用しない」など、安全にソースコード診断を進めるための規程の取り交わしはしていましたが、人為的なミスやリスクはどのようなケースにも付き物だと思うからです。

しかし、契約に至るまでのコミュニケーションを経て「Flatt Securityさんになら安心してお任せできそうだ」という感触を抱くことができました。仮に何か起きてしまった場合も「自分が責任を持ちます」と言えるぐらいには信頼することができました。

ソースコード診断も実施いただけたことで、診断報告書のクオリティも高まりましたし、結果的に成果を最大化できたように感じます。

西川さん：私は最初から特に抵抗感はなく、ぜひ実施したいと思っていました。

以前、他のベンダーさんにソースコード診断を依頼して実施したことがあるので、非常に価値の高いものだと認識していました。加えて、Flatt Securityさんに実施いただけるのであれば、一定の成果が出てくるだろうという期待がありました。

診断結果をインシデントハンドリング訓練に活用

ーー診断結果はどのように社内に共有されましたか？

トリさん：診断期間中も、緊急性の高い指摘事項は開発チームに適宜共有し対応してもらっていました。今回の診断を通じて、緊急性の高い案件への対応を進めるためのプロセス・体制を作っていけたことは大きな成果です。

僕や西川さんは過去にそういった案件への対応やハンドリングをした経験があるのですが、社内にはそのような経験を積んだメンバーが限られていることがわかりました。

セキュリティに限らず、緊急性の高いインシデントについては「まずは止血すること」が最優先事項になり、普段の開発業務で優先されるべき、設計や実装の優秀性といった要素の優先順位は格段に落ちます。そういった、言ってしまえば基礎的な体制・考え方が明確に言語化されていなかったこと、メンバー一人ひとりが認識できていなかったことに気付かされたのです。

西川さん：診断報告書については、社内の報告会で共有しました。エンジニアだけでなく、PMやデザイナーのメンバーも参加する形で、報告書の内容だけでなく、インシデントハンドリングの考え方やプロセスについてトリさんから説明していただきました。

トリさん：診断を通じて、プロダクトをセキュアにするだけでなく、緊急性の高い案件への対応プロセスをトレーニングすることができ、あるべきインシデントハンドリングの体制を整えることができたように感じます。対応プロセスや考え方については、最終的に西川さんがドキュメントとしてまとめてくださったので、開発チームのメンバーにとってもとても納得感のあるものになったようです。

ーー診断実施後の改修はどのように進めていきましたか？

西川さん：一般的に、診断での指摘事項に関しては、セキュリティエンジニアが優先順位を付けた上で、開発チームに「いつまでに対応してください」という形でお願いする場合が多いと思います。しかし、このやり方は弊社のカルチャーにマッチしていないと思うので、デリゲーションポーカーのような仕組みを活用して、セキュリティエンジニアの責任を開発チームに一定委譲することにしました。

現在は、プロダクトセキュリティのオーナーシップを開発チームが6割、セキュリティチームが4割持っています。そのため、セキュリティチームから何か指示を出さずとも、開発チーム主導で改修を進めてもらうことができました。

セキュリティエンジニアの仕事は「やらなくても良いことを明確化していくこと」だと思っています。何かをやっていると安心できますが、組織の規模や性質、フェーズなどによってやるべきタイミングは異なります。セキュリティに関して、何をやらなくていいかを判断できて、かつその判断に責任を持てるのは、セキュリティエンジニアだけです。そこが腕の見せ所なのではないかと考えています。

ーー最後に、Flatt Securityに期待していることがあれば、教えてください。

西川さん：今後もセキュア開発への伴走力を維持しながら、セキュリティ業界を代表するユニコーン企業になるまでスケールしていってほしいです。

トリさん：プロダクトセキュリティのあり方を広く啓発し続けてほしいです。また、プロダクトセキュリティの当たり前、デファクトスタンダードを作ることに、より広く、深く貢献していただけることを期待しています。

次にご依頼する際は、セキュリティ診断もさらに進化しているのではないかと思いますので、楽しみにしています。

ーートリさん、西川さん、本日はありがとうございました！

＜Flatt Securityのセキュリティ診断に関するお問い合わせはこちらから＞

※セキュリティ診断費用の見積もり資料はこちらで配布中です。