カンムは、2022年6月に「手元の資産形成に活用できるクレジットカード」というコンセプトの新しいVisaクレジットカード「Pool」の提供を開始。ローンチにあたり、カンムはFlatt Securityのセキュリティ診断メニュー「Webアプリケーション（API）診断」と「スマートフォンアプリ診断」を利用し、セキュリティリスクの調査・検証をホワイトボックス形式で実施しました。診断実施の背景や感想について、カンムでセキュリティエンジニアとして働く金澤康道さんにお話を伺いました。

既存のクレジットカードとは異なるPoolの面白さ

ーー金澤さんは、カンムでどのようなお仕事をされているのでしょうか？

金澤さん　セキュリティエンジニアとして、PCI DSSの監査対応やそれに付随する運用効率化・体制構築などを主に担当しています。また、プロダクトのセキュリティ診断や、全社的なセキュリティのルール作りなど、社内セキュリティ体制の整備も行っています。

現在、セキュリティチームは私一人で、社内体制からプロダクトまでを一通り見ている状況です。なので、プロダクトのセキュリティ診断は、私自身が行う場合もありますが、外部ベンダーにお願いするケースが多くなっています。

ーーPoolは、2022年9月にサービス提供開始からわずか3ヶ月で累計投資金額1億円を突破していますが、サービスの面白さはどこにあると思いますか？

金澤さん　Poolはクレジットカードではあるのですが、プリペイドカードと同じく事前にウォレットに入金し、その入金額をカード利用可能枠として使うことができ、さらにカード利用可能枠の中から投資もできるという仕組み。クレジットカードによる決済金額の1％がキャッシュバックされるのに加え、投資すると予定利回り1％（年利、税引前）のリターンを期待できるので、資産形成に活用しやすいカードです。

通常のクレジットカードと同様に買い物や支払いに使えるほか、スマートフォンアプリ上で投資が行え、その額に応じてキャッシュバックやリターンを期待できるのが大きな特徴となっています。カードと投資をセットにしたプロダクトであることと、既存のクレジットカードとはまた異なる枠組みになっているところが面白いと感じています。

セキュリティエンジニア目線での悩みを解消

――今回、Poolのセキュリティ診断を実施した背景について教えてください。

金澤さん　2022年6月にPoolがリリースされるタイミングで、セキュリティエンジニアである私もセキュリティ診断を行ってはいましたが、最初なので洗いざらい全てチェックしたいという思いで、外部ベンダーであるFlatt Securityにセキュリティ診断を依頼しました。

リリース前に私が行った簡易的なセキュリティ診断では「致命的な脆弱性が存在しないか」「他者のカード／資産／投資情報が見えないか」という観点でのチェックを行いましたが、Flatt Securityには改めて全体を見てもらいました。

社内で脆弱性診断を実施するにあたっては、網羅的・体系的な診断項目が必要とは思いつつも、これまで作ることができていなかったので、課題として認識していました。また、実際診断項目を作ることができたとしても、自分一人だけで診断するとなると時間がかかってしまうので、ある程度かいつまんでやらざるを得ないと思います。外部ベンダーに依頼すると、体系立った診断項目に沿ってセキュリティ診断を受けられるので、そのような悩みを解消できると感じました。

ーーどのようなきっかけで、Flatt Securityを選んだのでしょうか？

金澤さん　上野宣さんと元々知り合いで、2020年に上野さんがFlatt Securityの社外取締役に就任するというプレスリリースを見て、初めてFlatt Securityという会社のことを知りました。

当時は別の会社でセキュリティエンジニアとして働いていたのですが、Firebaseのセキュリティをどうしようかと考えていた時に、Flatt Securityのテックブログの記事を見つけました。会社のメンバーは、米内さん（米内貴志／現・CTO）しか知りませんでしたが、とても実力がありそうだと感じたので、一回受けてみようと思い、2021年にセキュリティ診断をお願いすることにしました。

前職で受けた診断内容が非常に良かったので、カンムに転職してからも継続して利用してみようと思い、今回、Flatt SecurityにPoolのセキュリティ診断を依頼しました。技術力はもちろんのこと、前職で同様の診断実績があり、セキュリティエンジニアにも知り合いがいて安心できるというのが決め手になりました。技術面での信頼性は高いです。

充実した診断結果レポートが開発者にも好評

ーー実際にセキュリティ診断を受けてみて、いかがでしたか？

金澤さん　まず、診断結果がわかりやすく、開発者にも非常に好評でした。特に、Flatt Securityのレポートに書かれている事象の再現手順は非常に詳しく、わかりやすいので助かりました。

以前、別のベンダーさんにセキュリティ診断を依頼したことがあったのですが、明らかにFlatt Securityの方が診断結果のレポート内容が充実していたので、開発エンジニアから 「攻撃の成立性についても記載されていていいなあ」「テンプレ的でなく良く考えられている」「再現コードがあるので、テストコードに簡単に落とし込みできそう」 などと感嘆の声が上がっていました（笑）

セキュリティエンジニアや営業担当とのコミュニケーションも、やり取りが速く、非常に楽でした。

※Flatt Securityのセキュリティ診断報告書サンプルは こちら からダウンロード頂けます

――「体系的・網羅的な診断を行いたい」という思いがあったということでしたが、実際に診断を受けてみていかがでしたでしょうか？

金澤さん　体系的・網羅的な診断項目というかっちりした部分もありつつ、「ここはこうしたらどうですか」と提案いただける柔軟さも兼ね備えているなと感じました。非常に助かっています。

ーー料金についてはいかがでしたか？

金澤さん　今回はホワイトボックス形式の診断で、結構なコード量でしたが、妥当な金額だと感じました。

※Flatt Securityのセキュリティ診断費用の見積もり資料を こちら で配布中です！

ーー直近では、バンドルカードのセキュリティ診断についてもFlatt Securityにご依頼いただきました。

金澤さん　バンドルカードの後払い決済機能や決済ロジックを重点的に見てほしいと思っています。バンドルカードに関しては、初めてFlatt Securityにセキュリティ診断をお願いするので楽しみです。

ーー最後に、セキュリティ診断以外の分野でFlatt Securityに期待していることがあれば、教えてください。

金澤さん　セキュアコーディングの基礎知識を学べる「KENRO」も提供していると思いますが、ミドル・シニア向けの、少しレベルの高い教育メニューがあると非常に嬉しいです。そのレベルのエンジニアに向けた教育が結構難しくて、「何を話せばいいんだろう」となってしまうため、まとまった教育コンテンツがあるとありがたいです。

特に、最近重要になってきている認証認可やOAuth、トークン周りの扱いは、若手だけでなくミドル・シニアのエンジニアが悩むポイントでもあるので、注意点やベストプラクティスなどが共有されるといいなと思います。

Policy as Codeの文脈で言うと、「Shisho Cloud」の機能拡充にも期待しています。GitHubだけでなく、AWSやGCPとの連携も追加されるといいですね。

ーー金澤さん、本日はありがとうございました！

＜Flatt Securityのセキュリティ診断に関するお問い合わせはこちらから＞

カンムでは全ポジション積極採用中！

事業拡大に伴い、カンムではソフトウェアエンジニアを始めさまざまなポジションの積極採用を行っています。カルチャーや働き方、募集中のポジションについては、カンムの採用ページをご覧ください。