今回、ログラスはFlatt Securityのセキュリティ診断メニュー「Webアプリケーション診断」を利用し、Loglassにおけるセキュリティリスクの調査・検証を行いました。診断実施の背景や感想について、ログラスで開発エンジニアとして働く澤田史織さんと芳田昌彦さんにお話を伺いました。

セキュリティ診断の主担当に立候補

ーーお二人はログラスでどのようなお仕事をされているのでしょうか？

澤田さん　ログラスでは4つのチームに分かれて開発を進めているのですが、私は主にログラスに収集されたデータの分析機能の開発をメインに担当しているチームに所属しています。

芳田さん　私は設定機能をメインで開発するチームに所属しています。

ログラスには、 「やりたいことや興味のあることに対して、メンバーそれぞれがオーナーシップを持って進めることができる」というカルチャー があります。私は前々職でCTF（セキュリティコンテスト）の開催を補助するツールの開発をしていたので、セキュリティ領域には関心がありました。なので、今回のセキュリティ診断の話が出た時も、ぜひ携わりたいと思って主担当に立候補しました。

ーー社内にセキュリティの専門チームはありますか？

芳田さん　今期、エンジニア向けのインフラ整備や開発体験（Developper eXperience）向上を実現するためのチームが新たに発足しました。今後はそのチームがセキュリティをメインで見ていく予定です。

ログラスには現在20名以上のエンジニアが在籍しています。組織が拡大して、「エンジニア組織を横串で見るチームがあった方がいいよね」という意見がエンジニアから出てきたので、エンジニアリングマネージャー（EM）を中心にしてチーム構成を変えていきました。

澤田さん　現状、四半期ごとに組織の見直しや組織改変に取り組んでいます。

ツールでの診断は「実施後が大変」

ーー今回、Loglassのセキュリティ診断を実施した背景について教えてください。

澤田さん　Loglassは経営管理SaaSなので、お客様の大事なデータを取り扱う都合上、セキュリティ対策は特に重視しています。Loglassを対象にしたセキュリティ診断は過去にも行っていますが、それとは別に、ツールを使ったセキュリティ診断を個人で半年に1回ぐらいのペースで実施しています。

社内共通の意識として 「一年に一回は外部ベンダーによるセキュリティ診断を受けて、お客様からの信頼を得たい」 という思いがあり、今回改めてセキュリティ診断を受けることにしました。

芳田さん　ツールを使ったセキュリティ診断は、実施自体は楽なんですが、実施後に苦労しました。 見つかった脆弱性に対して優先順位をつけていくのが難しかった です。調べながら判断していくのが大変でした。

「どう見てもまずい」ものについては即座に対応するのはもちろんです。一方で、「これはまずそうだけど想定されるケースが少ないから、どこまでの優先度でやれば良いのかわからない」という議論もありました。

ーーどのようなきっかけで、Flatt Securityを選んだのでしょうか？

芳田さん　弊社のセキュリティアドバイザーを務められているセキュリティエンジニアの方が、以前Flatt Securityのセキュリティ診断を受けたことがあるということで、その方からご紹介をいただきました。調べていくうちに、私の前々職で同僚だった知り合いの開発エンジニアも働いている会社だということがわかり、驚きました（笑）。

他のセキュリティベンダーさんと比較しながら発注の検討を行っていたのですが、 Slackでやり取りが円滑にできた ことがFlatt Securityにお願いする決め手となりました。

技術的な質問にもスパッと返答があって、技術面においてもかなり信頼できる感触がありました。私たちはSaaSとしてマルチテナントで構成しているのですが、その実現方法をSlackで説明したら「わかりました」とすぐに反応があり、さすがだなと思いました。

職種の垣根なく、話しやすさを実感

ーー実際に診断を受けてみて、いかがでしたか？

芳田さん　エンジニアだけでなく、営業の方とのコミュニケーションの質も高いと感じました。

澤田さん 良い意味でフランク ですね。一般的な営業の方とやり取りしている時は「営業を受けている」感じがあるのですが、Flatt Securityには 職種の垣根なく話しやすい人がいる なと感じました。営業の人にも話しやすく、コミュニケーションが取りやすいですね。

診断中にエンジニアの方から「このエンドポイントをどう動かせば良いんですか？」という質問が来た時に、弊社の内部事情を少し端折った形で技術寄りの返信をしてしまったのですが、それも拾って理解いただいていたので「コミュニケーションが取れているな」と感じました。

芳田さん　他のベンダーさんはメールベースでのやり取りだったので、コミュニケーションの取り方が本当に違いましたね。メールだと「こちらが聞くことに対してのみ返答をしていただく」と言う形になりがちなので、私たちの意図を汲み取っていただくのが難しいなと感じることも少なからずありました。

澤田さん　電話でのやり取りもあったのですが、エンジニアの立場からするとSlackの方がコミュニケーションが取りやすいなと思います。 スピード感 もかなり変わってきますね。

芳田さん　診断中も色々と融通をきかせていただいたので、やりやすかったです。診断後の報告でも、納得できるアドバイスをいただいたので、今後につながりました。

※Flatt Securityのセキュリティ診断報告書サンプルは こちら からダウンロード頂けます

ーー最後に、セキュリティ診断以外の分野でFlatt Securityに期待していることがあれば、教えてください。

芳田さん　ログラスでは緊急時の体制強化を進めているので、セキュリティ診断のメニューとは別に、インシデントが起きた時の体制をチェックするようなサービスがあるといいなと思っています。

セキュアコーディングの学習プラットフォーム「KENRO」に関しては、ミドル以上のエンジニアでも知識がつけられるようなコンテンツの拡充を期待しています。

澤田さん　実践に近い形で学習できるとありがたいですね。

ーー澤田さん、芳田さん、本日はありがとうございました！

＜Flatt Securityのセキュリティ診断に関するお問い合わせはこちらから＞

※Flatt Securityのセキュリティ診断費用の見積もり資料を こちら で配布中です！