セキュリティ診断事例インタビュー

LayerX × 三井物産の新サービスがセキュリティ診断を実施。改修の優先順位決定に困らない開発者フレンドリーなサービスを評価

三井物産デジタル・アセットマネジメント株式会社(MDM)は2020年、実物資産への豊富な投資・運用経験を持つ三井物産と、業務プロセスのデジタル化を推進するLayerXによって設立されました。

日本には1000兆円を超える個人資産が預金などの形で価値を生むことなく眠っています。MDMは【「眠れる銭」を、 Activateせよ。】を経営理念に、デジタル技術を活用した、不動産・インフラを中心とする実物資産のアセットマネジメント事業を展開しています。

同社は11月8日、不動産・インフラ等の実物資産への私募ファンド案件に特化したプロ投資家限定のオンライン投資サービス「ALTERNA(オルタナ)」を正式にリリースしました。MDMが厳選した実物資産の私募ファンド案件に特化しており、案件の情報収集、Q&A、投資意向表明、運用中のパフォーマンス把握などが可能です。

MDMは「ALTERNA」を通じて資産運用の様々な非効率を解決し、プロ投資家に良質な実物資産の証券化商品への投資機会を提供します。

image2

「ALTERNA」サービスページ https://www.alterna-x.com/

LayerXのエンジニア集団が集まるMDMの詳しい情報は、こちらからご覧ください! https://layerx.notion.site/Fintech-97111295263b459a90f76bc84af5e3f0

今回、Flatt Securityは「ALTERNA」のWebアプリケーション診断(API及びSPAを対象)を担当しました。セキュリティ診断の感想や診断依頼に至った背景をシニアセキュリティアーキテクトの鈴木研吾さんに聞きました。

見積もり提案が早く、タイトなスケジュールにも対応

image4

シニアセキュリティアーキテクトの鈴木研吾さん

ーーどのような経緯でFlatt Securityを知っていただいたのでしょうか。

鈴木研吾さん(以下、鈴木さん):御社のことはニュースなどで見かけることがあり、以前から知っていました。CTOの米内さんも知人です。

MDMでは定期的にセキュリティ診断を実施しているため、御社は以前から依頼候補には挙がっていました。しかし、長くお付き合いのある診断会社があったため、特に相談はしていませんでした。

ーー長くお付き合いのある診断会社がある中で、Flatt Securityを選んでいただいた決め手は何だったのでしょうか。

鈴木さん:そもそも、今回の診断完了までのスケジュールは非常にタイトでした。そのせいもあっていつも依頼している診断会社はスケジュールの都合が合わなかったため、以前から候補に挙がっていたFlatt Securiryさんにお声がけすることにしました。

ほかの診断会社も候補としてはありましたが、お見積もりの提案スピードが最も速く、診断範囲と金額も私たちの想定している内容と乖離がなかったので、今回依頼することになりました。

また、通常のAPIへの診断だけでなくSPAへの診断をオプションとして提示して下さったのはMDMのプロダクトにフィットしていて良いと思いました。SPA診断オプションは予算的にも問題なかったので合わせて依頼させていただきました。

報告書に優先度の指標が書かれていることで、「攻撃成立の可能性」を把握できた

ーーコミュニケーションや進捗管理など、セキュリティ診断を進める上で良かった点があれば教えてください。

鈴木さん:早い段階からSlackを使ってインタラクティブなコミュニケーションをとれたことは、とても助かりました。他の診断会社でもSlackでのやりとりはありましたが、メールも並行して利用することがあり、手間に感じていました。

弊社のコミュニケーションツールがSlackベースなこともあり、通常業務とのスイッチングコストが低く、Flatt Securityさんとはスムーズにやりとりすることができました。

ーー実際に診断を受けた感想を教えてください。

鈴木さん:報告書の内容が非常に良かったですね。プロダクト開発における最も重要なステイクホルダーである開発者が扱いやすいものになっていると思います。

私自身、今までは5社ほど診断会社とお取り引きをした経験があるのですが、その中でも特に開発者フレンドリーな内容だと思いました。緊急度だけでなく修正における優先度の指標として「攻撃成立の可能性」も書かれており、「どのような修正対応をしたらいいのか」をすぐにジャッジし、改修に動くことができました。

image3

「開発者に寄り添ったセキュリティを提供する」という考え方に共感

ーー既存の脆弱性診断の枠組みに囚われないようなサービスを作り出す弊社の取り組みについても共感いただいていると弊社CTOの米内より聞きました。そのような観点で、今後Flatt Securityに期待することなどもあれば教えてください。

鈴木さん:Flatt Securityさんが掲げる「開発者(Developer)に寄り添ったセキュリティを提供する」という「B2Dセキュリティ」の考え(※)には、とても共感しています。

※編集部注:Flatt Securityは10月に新たな事業方針を発表しました

「開発者に寄り添ったセキュリティを世界中に届ける」Flatt Securityの挑戦 https://flattsecurity.hatenablog.com/entry/2110_ceo_message

「Software is eating the world」と言うように、ITはメディアやSNSなど規制の少ない領域だけでなく、医療や物流、金融など、あらゆるビジネスで求められると同時に、そのうちの一部がソフトウェアサービスとしてアンバンドリングされるなど、ソフトウェア開発の重要性も大きくなっていることは否めません。それなのに、旧来のソフトウェア開発手法に合わせたセキュリティ対策を当てはめても有効とは言えないでしょう。

監視やインシデントレスポンスももちろん大事ですが、設計、開発、リリースまでのサイクルが短くなる現状に合わせたで、セキュリティ対策をすることが重要だと考えています。そこで、組織内のプロダクト開発・運用業務と、セキュリティ業務との分断の解消を目的とする「Shisho(シショー)(https://shisho.dev/)」のようなサービスを提供するのは、さすがだと思いました。

今後もセキュリティ診断だけでなく、「Shisho」をはじめとするプロダクト開発にも期待しています。

Internet Explorerをお使いの場合など、お問い合わせフォームが表示されない場合は別ページからお問い合わせください。