今回、プレイドはFlatt Securityのセキュリティ診断メニュー「Webアプリケーション診断」を利用。「KARTE」の一部機能を対象として、セキュリティリスクの調査・検証を行いました。

診断実施の背景や感想について、プレイドのアプリケーションエンジニア・小川拓也さん、セキュリティエンジニア・赤坂翔太さんのお二人にお話を伺いました。

部門横断型チーム「セキュリティ組」が旗振り役に

ーーお二人はプレイドでどのようなお仕事をされているのでしょうか？

小川さん　私はプロダクトサイドのアプリケーションエンジニアとして働いています。

プレイドには、「セキュリティ組」と呼ばれる部門横断型のセキュリティのバーチャルチームがあります。私はセキュリティが主務ではないのですが、セキュリティ組に参加することでセキュリティにコミットしています。これまで、セキュリティ組としてセキュリティチームのタスクを手伝ったり、セキュリティ組で学んだことを自分の担当するプロダクトに還元していったりと様々な取り組みを進めてきました。

赤坂さん　私はセキュリティエンジニアとして、プロダクトサイドのセキュリティを中心に担当しています。

セキュリティ組には、セキュリティの知見を学びたい人が手挙げ方式で集まっていますが、私の所属するセキュリティチームにはセキュリティを専門業務とするメンバーが集まっています。

ーーどのような体制でセキュリティ診断を実施されていますか？

小川さん　基本的には、社内で実施する場合と外部ベンダーに依頼して実施する場合のいずれも、セキュリティ組が進行管理を行っています。診断範囲の検討や診断後の改修対応などはセキュリティチームやプロダクトサイドのエンジニアと協力しながら進めています。

ーー今回診断対象となったCXプラットフォーム「KARTE」について教えていただいてもよろしいでしょうか。

小川さん　ご契約頂いている企業の1st Party Customer Data（※）を活用することで、一人ひとりに寄り添った心地よい体験を生み出しCX（カスタマーエクスペリエンス）を向上させることを目的としたSaaSとして提供しています。

顧客の体験を可視化し困りごとやニーズなどを深く理解するための分析機能や、顧客とのリアルタイムなコミュニケーションを可能とするWeb接客機能といった機能をはじめ、様々な接点で顧客の体験を良くするための機能を包括的に提供できるCXプラットフォームとして多岐に渡る機能を開発しています。

（※）第三者を経由せず、企業が自社で収集した顧客データ

「発信している情報の質」と「実績」が決め手に

ーー今回セキュリティ診断を実施された背景について教えてください。

小川さん　KARTEで取り扱うクライアント企業の1st Party Customer Dataには、顧客の個人情報や機微情報が含まれる場合が多くなっています。そのため、データの取り扱いを厳密に行う必要があり、セキュリティ診断を定期的に実施するようにしてきました。セキュリティチームによるホワイトボックス診断を機能開発時に必要に応じて行いつつ、外部ベンダーによるセキュリティ診断も定期的に実施しています。

赤坂さん　社内のセキュリティ診断は、セキュリティ組に知見を共有しながら進めています。プロダクトサイドと濃密にコミュニケーションを取ることができ、連携を深める良い機会になっているように感じています。

ーーどのようなきっかけで、今回Flatt Securityを選んだのでしょうか？

赤坂さん　セキュリティベンダーごとにセキュリティ診断の特徴が異なる中で、弊社と一番マッチするベンダーを探したいという思いを持ち、様々なベンダーにアプローチしていました。

前職の同僚が働いていることもあり、Flatt Securityのことは以前から知っていました。技術ブログも毎回楽しく拝読させていただいています。

小川さん　私は赤坂に教えてもらって、初めてFlatt Securityのことを知ったのですが、発信されている情報の質と、実施事例などの実績ベースの情報が決め手になりました。

セキュリティ組では、セキュリティインシデントをはじめとするセキュリティに関するトピックを共有し合っているのですが、メンバーから度々「Flatt Securityの技術ブログは参考になる」という意見が出ていたので、「技術力がある会社なのかな」という印象を持っていました。

コーポレートサイトのセキュリティ診断事例記事を拝見したところ、BtoB SaaSの診断実績が多いことがわかり、弊社のプロダクトやシステムを対象としても、質の高いセキュリティ診断をしてもらえるのではないかという期待感を持ちました。

見積もり依頼時も、定型的ではなく柔軟に対応いただけた印象を受けました。個人的な感覚の話になってしまいますが、コミュニケーションの柔軟さも決め手の1つだったと思います。

業務ロジックもしっかり追い「期待の数段上」という印象

ーー実際に診断を受けてみて、いかがでしたか？

小川さん　診断報告書を最初にいただいて拝見した時、 技術力は「期待の数段上」 だなと思いました。

報告書の質も良く、診断の精度が高い印象を受けました。再現手順がコードベースで記載されていたのに加え、事象の背景や解決方法もわかりやすく記載されていました。個々の事象やアプリケーションに即して、実証可能な形で詳細に解説されていたのが印象的です。ここまで詳細に記載するには、セキュリティに関する知識だけでなくアプリケーションサイドの知識や実務経験が必要になってくると思うので、改めて技術力の高さを感じました。

※Flatt Securityのセキュリティ診断報告書サンプルは こちら からダウンロード頂けます

赤坂さん　業務ロジックに深く関係する部分もしっかりと追っていただけて「さすがだな」と思いました。プロダクトの仕様をじっくり確認しながら進めていただけたんだろうなと感じました。

ーー最後に、セキュリティ診断以外の分野でFlatt Securityに期待していることがあれば、教えてください。

赤坂さん　Flatt Securityが開発しているセキュリティ診断プラットフォーム「ORCAs」をOSS化してほしいですね。ぜひ弊社内でセキュリティ診断を実施する際に使ってみたいです。セキュリティ診断の知見の蓄積や共有、管理を向上させていきたいので、このようなツールがあるとありがたいなと思っています。

ーー小川さん、赤坂さん、本日はありがとうございました！

＜Flatt Securityのセキュリティ診断に関するお問い合わせはこちらから＞

※Flatt Securityのセキュリティ診断費用の見積もり資料は こちら で配布中です！

お知らせ

プレイドでは、サービス拡大に伴って幅広いポジションで募集しています。セキュリティエンジニアも募集していますので、是非採用ページをご覧ください。また、セキュリティに関するブログをいくつか公開しているため、参考までにあわせてご覧ください。