セキュリティ診断事例インタビュー

プロダクトの仕様に沿った提案はFlatt Securityだけだった。結果にも満足し、セキュリティ診断に対するマイナスイメージも払拭

株式会社overflowは、2017年に創業。「世の中の非効率を解決し、ひとの時間をふやす仕組みをつくる」をミッションに、ハイクラスエンジニア・デザイナーに特化した複業・転職マッチングプラットフォーム「Offers(オファーズ)」を開発・運営しています。2021年12月には、シリーズAラウンドとして3億円の資金調達を実施いたしました。

今回診断を実施された企業様

株式会社overflow 従業員数:22名 ※2021年12月時点 https://overflow.co.jp/

採用ページはこちらをご覧ください! https://offers.jp/companies/overflow-inc

エンジニア・デザイナーに特化した副業・複業採用プラットフォーム「Offers」とは

image2

「Offers」は2019年5月のα版リリース以降、これまで累計300社にご利用をいただき採用を支援してきました。スカウト、求人掲載、採用広報機能を設け、ワンストップでエンジニア・デザイナー採用を行うことができるプラットフォームとなっており、副業&兼業をきっかけとしたミスマッチの少ない採用活動を行うことができます。

エンジニアやデザイナーは「SNSと連携したら企業からのオファーを待つだけ」という気軽さから、すでに1万人が登録しています。

「Offers」の詳細はこちら。 https://offers.jp/

今回Flatt Securityは「Offers」のWebアプリケーション診断を実施しました。overflow様がセキュリティ診断を利用するに至った経緯と、セキュリティ診断を受けた感想をCTOの大谷旅人さんにうかがいました。

Flatt Securityだけがアプリケーションの構成や仕様を理解した上で、見積もり内容を提案してくれた

profile ohtani

CTOの大谷旅人さん

――今まで、セキュリティについてどのような課題を持っていたのでしょうか。

大谷旅人さん(以下、大谷さん):定期的に社内で脆弱性診断ツール「OWASP ZAP」を使っていました。しかし大手クライアントからセキュリティ要件シートの中で第三者診断を求められることが増えたり、株主からも第三者診断の実施を推奨されたりしているという状況がありました。

また、サービス自体のセキュリティを強化する必要ももちろんあると思っており、セキュリティエンジニアによる手動診断を依頼できる診断会社を探していました。

――複数の診断会社と相見積もりを取られていたとのことですが、最終的にFlatt Securityを選んでいただいた決め手は何だったのでしょうか。

大谷さん:セキュリティ診断を依頼する際に必要な情報をまとめ、複数の診断会社に見積もりを依頼したところ、Flatt Securityさんがもっとも提案レベルの高い内容のものを送ってくれました。

ほかの企業にも松竹梅で複数のプランの見積もり提案をしていていただいたものの、結局どの画面やAPIを診断対象とするかは私たち側で選定する必要がありました。

一方でFlatt Securityさんはアプリケーションの構成や仕様を理解した上で、特に検査したかった画面に重点を置いた診断範囲を提案してくれました。SPAに対する診断項目が提案に含まれていたのも、御社だけでした。 また、打ち合わせを重ねる中で、同席していたセキュリティエンジニアの方がモダンな開発を熟知していることが分かり、信頼できると思ったので、診断を依頼することにしました。

エンジニアに寄り添った報告書に、社内メンバーからも高評価

――実際にセキュリティ診断を受けた感想を教えてください。

大谷さん:報告書には、専門のセキュリティエンジニアによるセキュリティ診断だからこそ見つけられた指摘があり、細かいところまできちんと診断していただいたことがわかり安心しました。社内のメンバーからも「やはり、専門家の知見はすごい!」という声が上がっていました。

image1

また、私は過去に前職でもセキュリティ診断を依頼した経験があるのですが、それらと比較してかなりエンジニアフレンドリーな報告書でしたね。例えば脆弱性の再現に関して、JavaScriptやshell scriptのコードがコンソールやターミナルにコピー&ペーストするだけで再現できるものになっており、非常に使いやすかったです。

image3

全体的に丁寧な記述のおかげで、副業エンジニアやプロダクトマネージャーでも理解しやすかったと言っていました。

――診断に関してはSlackで連絡させていただいておりましたが、コミュニケーション面で良かった点があれば教えてください。

大谷さん:細かくやりとりさせていただいていたので、コミュニケーション面で困ることはありませんでした。

診断結果を見て、セキュリティ診断へのマイナスイメージを払拭

――弊社が提供するWebエンジニア向けのセキュリティeラーニング「KENRO」のトライアルを受講していただいていると思いますが、所感はいかがだったのでしょうか。

大谷さん:Web脆弱性基礎編コースを受講しました。演習用の環境が整っており、ブラウザとコードエディタがあれば受講できるので、新しく入社したメンバーや研修などで活用できそうだと思いました。

――今後、Flatt Securityについて期待することや要望することなどあれば教えてください。

大谷さん:今まで診断会社にセキュリティ診断を依頼する中で、セキュリティ診断が形骸化していることに課題を感じていました。社内ですでに把握しているような事項やツール診断で認識できるものばかり報告されている場合も多いです。

そのため、今回の依頼も、当初は診断を実施したという事実によってセキュリティ要件シートの項目を満たせていればいいという気持ちがありました。しかしFlatt Securityさんの診断結果にはとても満足しています。本当に依頼してよかったと思いましたし、私たちのセキュリティ意識も高まりました。

今後はセキュリティ診断の内製化支援を相談しつつ、まずはGraphQL APIの診断を依頼したいと思っています。また、来年以降は、アジャイル開発ののリリースにあわせて、月1ほどの頻度で定期的にセキュリティ診断(※)を依頼したいので、ぜひ今後も相談させてください。

※編集注:Flatt Securityでは、アジャイル開発のリリースにあわせて、定期的にセキュリティ診断を実施する「アジャイル開発向けセキュリティ診断」プランを提供しています。詳細は下記の事例インタビューをご覧ください。

SaaSのアジャイル開発にも定期的なセキュリティ診断の実施が必須。報告書など診断の品質が決め手に https://flatt.tech/assessment/voice/crosswarp

Internet Explorerをお使いの場合など、お問い合わせフォームが表示されない場合は別ページからお問い合わせください。