今回、kickflowは、ビジネスリスクの高い脆弱性を、予算・期間範囲内で可能な限り集中的に探索する「リスクフォーカス型プラン」を利用。「kickflow」の一部機能を対象とした「Webアプリケーション診断」を、リスクフォーカス型プランの診断形式で実施しました。診断実施の背景や感想について、同社取締役CTOの小林佳祐さんにお話を伺いました。

創業当初から毎年必ずセキュリティ診断を実施

ーー小林さんはkickflowのCTOとして、どのようなお仕事をされていますか？

kickflowの開発部門全体を管掌しています。開発部門は開発チーム、QAチーム、カスタマーサポートチームで構成されています。それらの領域に加え、コーポレートITやプロダクトセキュリティなどの領域も管掌しています。プロダクトの技術面ほぼ全てが担当領域と言っても良いかもしれません。

ーーどのような体制でプロダクトセキュリティ施策を進めていますか？

セキュリティ診断に着手するタイミングや、設計レビュー・コードレビューを行うタイミングで、私を含めた開発チームのメンバー3人で検討することが多いですね。

弊社はエンタープライズ向けのSaaSを提供しているのですが、お客様にプロダクトを導入いただく際、定期的なセキュリティ診断（脆弱性診断）の実施を行っているかどうかを尋ねられるケースが往々にしてあります。そのため、創業当初から、プロダクトに対するセキュリティ診断を年1回必ず実施する方針を取っています。

昨年までは、私が一人でセキュリティ診断を担当していたのですが、今回は他のメンバーに窓口になってもらう形で進めました。

ーー今回診断対象となった、エンタープライズ企業向けクラウドワークフロー「kickflow」について教えてください。

エンタープライズ向けに開発された、稟議・ワークフローSaaSです。現在提供されている稟議・ワークフローに関するプロダクトは、SMB（中堅・中小企業）向けのものがほとんどなのですが、kickflowはエンタープライズ向けに開発されており、エンタープライズ向けに特化した機能を多数搭載していることが最大の特徴となっています。

また、外部サービスとの連携に注力しており、連携できる外部サービスの種類が多いことも特徴の1つです。現在、Slack、Teamsなどのコミュニケーションツールや、電子契約ツール等、幅広い外部サービスとの連携が可能で、今後も連携可能なサービスを増やしていく予定です。

内製システムとの連携を希望されるお客様も一定いらっしゃるので、APIも提供しています。お客様が開発したシステムからAPIで呼び出す形でもkickflowの機能を実行可能です。

ーー今回、kickflowの一部機能を対象としたセキュリティ診断のご依頼をいただきました。診断実施の背景について教えてください。

先程お話したとおり、弊社では毎年必ずセキュリティ診断を実施するようにしています。今回も、元々計画していた時期に差し掛かったので、セキュリティ診断を実施しました。

kickflowで取り扱われる稟議の内容は、社内でも一部の人しか見ることができないケースが多くなっています。特に、M&Aや採用に関する意思決定をするための稟議の場合は、本当にごく一握りの社内関係者のみ閲覧可能としなければなりません。kickflowではこのようなケースも想定し、稟議ごとに細かい権限管理ができるような機能を付与しているので、プロダクト全体はもちろん、そのような機能に対しても高いセキュリティレベルを担保するよう心がけています。

価格ではなく、技術力を軸にベンダーを選定

ーー業者選定にあたり、重視したポイントは何でしたか？

セキュリティ診断は今回が3回目です。前回までの2回は同じベンダーさんにお願いしていましたが、今回、これまでの診断結果を検証するために、異なる目線を持ったベンダーさんに診断を依頼することにしました。

そのため、今回は価格ではなく技術力で選ぶ方針で進めることを決めました。

ーーFlatt Securityを知ったきっかけは何でしたか？

元々、Flatt Securityの技術ブログの記事がSNS等で話題になっているのをよく見ていたので、「技術力のある会社なんだろうな」というイメージを持っていました。

SQLインジェクションやXSS（クロスサイトスクリプティング）などのベーシックな脆弱性については、エンジニアであれば誰でも知っていると思いますが、個別の技術・フレームワークに紐づいた脆弱性については、セキュリティの専門家でなければ深い知見を持っていないのではないかと思います。弊社ではVue.jsやAuth0等の技術を採用しているのですが、Flatt Securityの技術ブログで、それぞれの技術に紐づく脆弱性についての解説記事があったので、安心して依頼できそうだと感じました。

これまでお願いしていたベンダーさんでは、診断がある程度型化されているような印象を受けたのですが、Flatt Securityさんは手動診断とツール診断を組み合わせたスタイルを取っており、リスクフォーカス型プランも提供されているので「怪しいところを狙って探してくれるのではないか」という期待感がありました。

ーー最終的にFlatt Securityに依頼した決め手は何でしたか？

技術力の一点ですね。

正直なところ、Flatt Securityさんを選定した際は「本当に大丈夫かな？」という思いがありました。これまで依頼していたベンダーさんより価格が少し高かったので、価格に見合う成果があるのか、半信半疑でしたが「1回ぐらいならいいか」と思い、ご依頼することにしました。当時は、CEOからも「本当にやるの？」と心配されたぐらいでした（笑）。

診断を受け「今後も安心してお願いできそう」と実感

ーー実際に診断を受けられてみて、いかがでしたか？

技術力に関しては、完全に期待値以上でしたね。価格に見合う以上の成果を出していただけたので、今後も安心してお願いできそうだと感じました。

また、コミュニケーションもやりやすかったように思います。これまでの経験から、ベンダーさんとのやり取りは、セキュリティ診断で私たち発注側が苦労するポイントの1つだと感じていました。これまでは、ベンダーさんから提供を求められる資料を作ったり、質問に応じたりするのが、負担になっているように感じていましたが、今回はそのように感じませんでした。

※セキュリティ診断費用の見積もり資料はこちらで配布中です。

ーー診断報告書に関しては、いかがでしたか？

報告書もわかりやすかったです。事象の再現手順がコードで提供されていたので、開発チームのメンバーも簡単に事象の再現や検証ができたようです。

報告書を受けての改修も非常にスムーズでした。チーム内に報告書を共有した後、特に記載事項への疑問等は出なかったので、速やかに改修に移ることができました。

※Flatt Securityのセキュリティ診断報告書サンプルはこちらからダウンロード頂けます。

ーー最後に、Flatt Securityに期待していることがあれば、教えてください。

現在、私たちはHerokuを利用しているのですが、将来的にはGoogle Cloudに移行したいと考えています。移行が完了したら、ぜひGoogle Cloudの設定周りの診断もお願いしたいです。

ーー小林さん、本日はありがとうございました！

＜Flatt Securityのセキュリティ診断に関するお問い合わせはこちらから＞