今回、ナレッジワークはFlatt Securityのセキュリティ診断メニュー「Webアプリケーション診断」「GCP診断」「Firebase診断」を利用し、複合的なセキュリティ診断を実施。ナレッジワークの一部機能を対象として、セキュリティリスクの調査・検証を行いました。診断実施の背景や感想について、同社エンジニアリングユニット セキュリティグループの亀本大地さんにお話を伺いました。

ユーザー企業の営業情報を守るためセキュリティ対策に注力

——亀本さんはナレッジワークでどのようなお仕事をされていますか？

亀本さん　　セキュリティグループに所属し、組織とプロダクトのセキュリティの両方を担当しています。組織・プロダクトのセキュリティに関するルール作りや実装をCTOと共に行っています。これまではいわゆる「情シス」的な業務も行っていましたが、専任の方が最近ご入社されたので、これからは組織・プロダクトのセキュリティにより注力していくつもりです。

——どのような体制でセキュリティ診断を実施されていますか？

亀本さん　　弊社ではセキュリティの担保を重視しており、創業当初から定期的にセキュリティ診断を実施しています。プロダクトの診断範囲・対象の検討から業者選定、必要なセットアップまでは、一貫して私が中心となって対応しており、必要に応じてCTOに相談しながら進めています。

——今回診断対象となったセールスイネーブルメントクラウド「ナレッジワーク」について教えてください。

亀本さん　　ナレッジワークは営業職の方に向けて提供しているBtoB SaaSです。営業生産性を向上するための各種ツールを総合的に提供しています。「ナレッジの共有」を主軸に様々な機能を展開しており、主な機能としては営業資料や社内ノウハウを共有するための機能、顧客・商談管理機能などがあります。

ナレッジワークでは、営業資料や顧客情報などのユーザー企業様の売上の源泉となる重要な情報をお預かりしているので、セキュリティの担保は非常に重視しています。そのため、創業当初からアプリケーション部分のセキュリティ診断は定期的に実施していますし、ストレージ部分についてもフルマネージドのGCPを活用することで高いセキュリティレベルを担保してきました。

GCP対応と確かな実績・技術力が選定の決め手に

——今回、ナレッジワークの一部機能を対象としたセキュリティ診断のご依頼をいただきました。診断実施の背景について教えてください。

亀本さん　　これまで、セキュリティ診断を実施する際は外部ベンダーにお願いしていたのですが、社内で議論した際に「技術力の高い会社にお願いしてみたい」という声が挙がり、業者選定を見直してセキュリティ診断を実施することにしました。

Flatt Securityの代表取締役CEOである井手さんはメルカリ時代の同僚だったので、元々よく存じ上げていました。井手さんからFlatt Securityについての話も聞いていたので、「依頼先候補の1つにしてみよう」と思いました。

——業者選定にあたり、重視したポイントは何でしたか？

亀本さん　　色々なベンダーにお話を伺ったのですが、AWSに対応しているベンダーが多い反面、GCPに対応しているベンダーは限られていました。GCPに対応しているというのは1つの決め手になったと思います。

また、技術的に信頼できるという点ももう1つの決め手です。社員が報告した脆弱性のCVEを公開しているほか、技術ブログ等を通じた情報発信もされていて、「これまでの実績を客観的に評価できる形でしっかりと公開している会社だな」と思いました。加えて、診断事例を通じて、成長著しいスタートアップから大手企業まで幅広く実施実績があることがわかったので、説得力がありました。診断ベンダーの技術力は、どうしても診断を実施いただくまで測りかねるので、技術力の高さがわかりやすい形で示されているのはありがたかったです。

——今回は、「Webアプリケーション診断＋GCP診断＋Firebase診断」という複合的な提案をさせていただきました。

亀本さん　　提案内容を最初に拝見した時、「想定していた以上によく見てくださっているな」という印象を受けました。診断メニュー名だけを見て、当初Webアプリケーション診断とGCP診断のみでご相談していたのですが、認証部分にFirebaseを利用しているというお話をしたところ、Firebase診断のご提案をいただきました。Firebase部分を独立して見ていただけるとのことだったので、安心感がありましたね。GCP診断についても、事前に「GCPの中でもこことここを見ていきます」という説明をいただけたので、診断範囲・対象を具体的に理解することができました。

診断メニューを追加したことで結果的にコストは上がったのですが、診断期間中の丁寧なフォローや報告書での解説内容が開発サイドからも非常に好評だったので、コストに見合った質の高いサービスを提供いただいたという実感があります。

※Flatt Securityのセキュリティ診断費用の見積もり資料は こちら で配布中です！

改修スピードを加速させる開発者フレンドリーな報告書に多数の喜びの声

——実際に診断を受けられてみて、いかがでしたか？

亀本さん　　技術的なコミュニケーションが非常にスムーズでしたし、信頼性の高い診断を実施いただけたと感じました。

Slackで診断員の方と直接コミュニケーションが取れたのも安心感があって良かったですね。「診断対象のこの部分に対してこのようなアクセスをしたいので、必要な情報をいただけますか？」という粒度で、事細かに相談いただき、丁寧にすり合わせができていたので、診断期間中もどのような作業をされているのかイメージがつきやすかったです。診断実施中に、社内にアラートメールが飛んでしまったこともあったのですが、その時も社内の担当者にすぐ説明して納得してもらうことができました。

また、自分一人ではわからないことが出てきた時も、Slackでやり取りしていた内容を社内にリンクで展開してスピーディーに解決できたので、効率的でした。

診断の準備や事後対応についても、こちらとしてどのようなアクションを取るべきか理解でき、ありがたく思いました。

——診断報告書に関しては、いかがでしたか？

亀本さん　開発エンジニアにも共有したところ、非常に好評で「再現手順が詳しく載っていて検証が楽だった」「しっかり連絡いただいて、迅速に対応できた」「クラウドのチェックもしていただいて安心感があった」など、多くの喜びの声が挙がりました。

再現手順がコードで提供されていたので、開発エンジニアが対応すべきことが明確になり、改修に対する工数見積も非常に楽でした。そのため、迅速に改修対応ができました。診断報告書で事象の再現手順が明確に示されていないと、開発エンジニアたちが自分たちで事象の原因究明や再現を行わなければならず、改修対応のスピードがワンテンポ落ちてしまいます。

※Flatt Securityのセキュリティ診断報告書サンプルは こちら からダウンロード頂けます

——最後に、Flatt Securityに期待していることがあれば、教えてください。

亀本さん　　Flatt Securityの強みは最新技術に精通しているところだと思うので、今後も最新の技術スタックにフォーカスしたサービス展開を続けていっていただきたいです。また、その中で得たセキュリティに関する知見をぜひ技術ブログなどで発信し続けていただけると嬉しいですね。

Shisho Cloudについては、今回実施したGCP診断のような内容を自社で継続して検証し続けられることへの期待値は非常に高いです。セキュリティ診断のように客観的な視点からセキュリティを担保する必要性はあるにしても、自分たちが作ったものに対するフィードバックは早ければ早いほど良いですよね。Shisho Cloudにはある程度自動的にGCP診断に近いものを実施してくれるような機能があるようなので安心感があります。

——亀本さん、本日はありがとうございました！

＜Flatt Securityのセキュリティ診断に関するお問い合わせはこちらから＞