今回、NstockはFlatt Securityのセキュリティ診断メニュー「Webアプリケーション診断」を利用。株式報酬SaaS「Nstock」β版の一部機能を対象として、セキュリティリスクの調査・検証を行いました。診断実施の背景や感想について、同社エンジニアの和田佳久さんにお話を伺いました。

事務局の負担や権利者の疑問を一挙に軽減する株式報酬SaaSを開発

——和田さんはNstockでどのようなお仕事をされていますか？

メインの仕事は、株式報酬SaaS「Nstock」の開発です。Nstockには僕を含めて3名のエンジニアが在籍していて、その全員が職種や担当領域を区別せずに「Nstock」の開発に携わっています。その中で僕も、元々強みとしているバックエンドだけではなく、フロントエンドやインフラなどの開発も担っています。また僕はコーポレートITの経験もあるので、オフィス移転時のレイアウト検討やそれに付随するネットワーク設計だったり、幅広いセキュリティ・ガバナンスの取り組みも行ってきました。

——どのような体制でプロダクトセキュリティ施策を進めていますか？

今はエンジニアが少なくセキュリティ専門のチームがあるわけではないので、プロダクトセキュリティ施策についても僕たちエンジニアが中心となって検討・実施をしています。施策の輪郭が出来てきた所で、PdMが描いたプロダクトロードマップを踏まえながら内容や実施時期を落とし込んでいます。

セキュリティ診断については、僕たちエンジニアが実施内容や金額などを取りまとめた後に PdM の承認をもらって進める形だったので、かなり一任されていました。

——今回診断対象となった、株式報酬SaaS「Nstock」について教えてください。

一言でいうと「株式報酬の管理を楽にするSaaS」です。これまで、企業による株式報酬の管理はExcelや書面上で行われており、管理作業が非常に煩雑になっていました。株式報酬に関して、企業が管理すべき情報は多岐に渡ります。ストックオプションを例に挙げると、「誰にいつどのぐらい付与したか」だけでなく、「どのような条件で行使できるのか」、「退職しても行使ができるのか」や「行使の承認や売買の手続きはどのようなものか」など幅広い情報を漏れなく誤り無く管理する必要があります。「Nstock」では、これらの情報管理や手続きをSaaSに集約することで、事務局と呼ばれる企業担当者の負担軽減を図っています。

また企業の従業員など、株式報酬を受ける側である権利者の負担も同時に軽減することを目指しています。株式報酬の価値や、契約内容をわかりやすく示すことで、従業員のエンゲージメントも向上することができると思っています。

現在はβ版として提供しており、既に複数社でトライアル導入が進んでいる状況です。

——今回、Nstockの一部機能を対象としたセキュリティ診断のご依頼をいただきました。診断実施の背景について教えてください。

プロダクトセキュリティ施策については、エンジニア陣から「正式リリース前のこのタイミングでセキュリティ診断を実施しておきたい」という意見を挙げました。それをPdMを含めて議論し、実施を決定しました。

ーーFlatt Securityを知ったきっかけは何でしたか？

実施することを決めはしたものの、僕自身セキュリティ診断をお願いするベンダーさんの選定を実施したことはありませんでした。大まかな比較観点は用意できたのですが、金額感や実現性などの肌感覚を得たかったので、親会社であるSmartHRにセキュリティ診断の実施状況に関して話を聞くことにしました。すると、これまではFlatt Securityに依頼してきたということだったので、話を聞かせていただけるように繋いでもらいました。

▼SmartHRの診断実施についてのインタビュー https://flatt.tech/assessment/voice/smarthr

ただ、今回直接的にはSmartHRからの紹介でしたが、僕個人としてはそれ以前からFlatt Securityさんのことは存じ上げていました。僕はNstockに入社する前、株式会社インフキュリオンで開発部門の立ち上げやコーポレートITを管掌する役割で働いていまして、その中でFlatt Securityさんの存在を知り、興味を持っていたんです。

「必要最小限の工数で実施できるか」が業者選定の鍵に

——業者選定にあたり、重視したポイントは何でしたか？

費用感と対応工数の少なさですね。繰り返しにはなりますが弊社にはエンジニアが3名しかおらず、プロダクトセキュリティ専門部署があるわけでもないので、セキュリティ診断を実施するにあたっては「必要最小限の工数で実施できるかどうか」というポイントはかなり重視していました。

この時は、他にも僕が個別に興味を持っていたベンダーさんが複数あったので、並行してヒアリングを進めながら業者選定を行っていきました。

——最終的にFlatt Securityに依頼した決め手は何でしたか？

決め手は、コミュニケーション面での煩雑さを感じなかった点です。コミュニケーションがメールベースで、複数の書類への記入・提出が必要というベンダーさんもあった中、Flatt SecurityさんはSlackでリアク字なども交えながらテンポよくやり取りでき、サービスやインフラの構成図とOpenAPIのドキュメントをお渡ししただけで、どんどん見積を進めてくださったので、こちらの準備工数は格段に少なかったです。応対速度もスピーディーで診断実施に必要な準備期間も短縮されました。

加えて、弊社が実施すべき診断メニューだけを提案いただけたことも大きかったです。「Nstock」というプロダクトの状況を理解した上で、本当に実施すべき診断メニューだけをお勧めいただきました。過剰な売り込みもなく、エンジニアとしては非常に好感を持ちました。

——Flatt Securityに依頼するにあたって、不安感はありませんでしたか？

個人的には不安感はありませんでしたね。すでにSmartHRでの診断実績についてお話を伺っていましたし、カンムさん、Finatextホールディングスさん、freeeさん、三井物産デジタル・アセットマネジメントさんなど、FinTech業界での診断実績が豊富だったので、信頼感がありました。

プロダクト仕様を踏まえた”具体的で納得感のある報告書”に驚き

——実際に診断を受けられてみて、いかがでしたか？

技術力の高さを実感しました。先ほども申し上げましたとおり、事前に提出した資料は、サービスとインフラの構成図やOpenAPIのドキュメントぐらいだったのですが、「Nstock」の認証の仕様をしっかり理解した上で診断を実施いただけたんです。「Nstock」における認証の仕様を理解いただくために、もう少し事前にやり取りが必要かなと想像していたのですが、お渡しした資料から正確に仕様を把握いただき、診断報告書にも非常に具体的で納得感のある解説をいただいたので、かなり驚きました。

対応方針について質問させていただいた際も、UXやユーザーの観点を踏まえた明朗なご回答をいただけてありがたかったです。脆弱性を解消すべきという一方的な回答ではなく、トレードオフも考慮した回答内容だったので、プロダクト開発サイドに寄り添った回答だと感じました。

——診断の実施費用に関してはいかがでしたか？

他社と比べて圧倒的に安いというわけではありませんでしたが、手を伸ばしやすい価格帯でした。コストに関する違和感はありませんでした。。

※Flatt Securityのセキュリティ診断費用の見積もり資料は こちら で配布中です！

——診断報告書に関しては、いかがでしたか？

現時点の課題と、取るべき対策について具体的に記載されていて、非常にわかりやすかったです。報告書の冒頭に掲載されている診断対象や診断結果のサマリー部分は、経営層やお客様への説明にも役立ちそうだと感じました。

また、事象の再現手順や原因などの解説も丁寧でした。報告書はMarkdown形式でもご提供いただけたので、コードをコピペするだけで検証を行うことができ、検証スピードも迅速化されました。

※Flatt Securityのセキュリティ診断報告書サンプルは こちら からダウンロード頂けます

——最後に、Flatt Securityに期待していることがあれば、教えてください。

今後も、「Nstock」を対象としたセキュリティ診断を定期的に実施する予定ですし、金融事業のサービスが立ち上がった際にもセキュリティ診断を実施する予定なので、その際もぜひご相談させていただければと思っています。

また、今後開発体制も拡大していきます。インフキュリオンに在籍していた当時から「エンジニアのセキュリティ技術向上に役立つな」と思っていた「KENRO」についても、僕の退職後実際に導入されてたようですので、将来検討したいと思います。

▼インフキュリオンのKENRO活用事例インタビュー https://flatt.tech/kenro/voice/infcurion

——和田さん、本日はありがとうございました！

＜Flatt Securityのセキュリティ診断に関するお問い合わせはこちらから＞