データ統合自動化サービス「trocco®」とは

「trocco®」は、ユーザーの持つ膨大かつさまざまな種類のデータを自動で統合し、データ活用を効率化するクラウド型サービスです。

データ分析は多くの企業に求められていますが、データはそのままでは活用できず、前準備としてデータを「統合」する必要があります。

「trocco®」は「データ統合」を自動化し、工数の約9割を削減することで、エンジニアがより戦略的な業務に集中することを支援します。また、データ統合のリードタイム削減も実現し、企業は営業やマーケティングといったビジネスの意思決定に、データを素早く活用することができます。

「trocco®」の詳細はこちら。 https://trocco.io/lp/index.html

今回Flatt Securityは「trocco®」を対象に、Webアプリケーション診断をホワイトボックス診断形式（※）で実施しました。

※編集注：ホワイトボックス診断とは、外部から疑似攻撃を行う通常のブラックボックスに対して、ソースコードやシステムの設計、仕様書などを提供していただき、それらの分析を通して実施する診断のことです。

primeNumber様がセキュリティ診断を利用した経緯と感想をCTOの鈴木健太さんとSREの高塚広貴さんにお伺いしました。

機微な情報を扱う&特殊な構成のSaaSなので、既存のセキュリティ対策に加えてより高度な検証を求めていた

――まず最初に、Flatt Securityを知っていただいた経緯を教えてください。

鈴木健太さん（以下、鈴木さん）：実は自分は以前からFlatt Securityさん自体は知っていたのですが、今回セキュリティ診断の問い合わせをするきっかけになったのは、前職でFlatt Securityさんの診断を経験したことがあるメンバーがいたからです。

――セキュリティ診断が必要になったきっかけを教えてください。

鈴木さん：「trocco®」はユーザーがデータ分析基盤を構築するためのSaaSです。プロダクトで扱うお客様のデータはかなり機微なものになり得ますから、セキュリティの担保は必須です。

元から定期的な外部ベンダーによるセキュリティ診断は実施していたのですが、より深く大規模な検証を実施したいと考えていました。

また、セキュリティ観点でのコードレビューは自分が中心に担当していたのですが、開発スピードの向上に伴って段々とレビューが追いつかなくなっていました。

――すでに利用しているセキュリティ診断ベンダーがいる中で改めてFlatt Securityにご相談いただいた背景を教えてください。

鈴木さん：不満があったわけではないのですが、我々のプロダクトは特殊な構成を持っているので、一般的なセキュリティ診断では不安がありました。特殊というのは例えばお客様のサーバーとSSHで接続したり、任意のコードを書いて処理できる機能が存在したりする点ですね。

そこで、アーキテクチャを踏まえたホワイトボックス診断を実施できるような、高度な技術力を持つベンダーを探していたという背景があります。

顧客目線のプランの提案とブログから伝わる高い技術力が決め手に

――お見積もり段階において、当初primeNumber様よりご提示いただいた予算枠を大きく下回る提案をさせていただきましたが、どのように感じましたか。

鈴木さん：「予算使い切らないんだ」ってびっくりしました（笑）ですがもちろんそれは好印象でした。他の会社さんの診断事例記事も見ましたが、常に顧客目線でサービスを提供されているのだろうと感じました。

また、リスクフォーカス型プラン（※）の診断提案には少し不安もありましたが、診断開始後に定期的に連絡をもらえたので最終的にその不安も払拭されました。Slackで迅速なレスポンスをいただきスムーズなコミュニケーションが取れたのも満足しています。

（※）定められた期間内に可能な限りビジネスリスクの高い脆弱性を探す診断手法。アプリの仕様などを鑑み、より深刻度の高い脆弱性がありそうな箇所から優先付けを行い診断を行ないます。網羅性を求める際には不向きですが、より深刻な脆弱性を見つける上で一般的な診断よりもコストパフォーマンス（時間・費用）が圧倒的に高く、短期間で結果を得ることで次のアクションを策定しやすくなります。

――ご提案内容以外にもFlatt Securityを選んでいただいた決め手があれば教えてください。

鈴木さん：そもそもホワイトボックス診断を実施できるところが少ないというのはありますが、金額には納得感がありましたし、技術ブログを読んで高い技術力が伝わってきたことも決め手になりました。

初めてのホワイトボックス診断で不安があったが、細部まで検証したことがわかる報告書に期待以上の技術力を感じた

――実際にセキュリティ診断を実施した感想を教えてください。

鈴木さん：まず、技術力は期待以上でした。仮に自分がいきなり知らないプロダクトのコードをもらったとしてもしっかり見るのは厳しいなと思いますし、ホワイトボックス形式と言ってもどこまで見てもらえるのか不安があったのですが、細部の実装まで見てくれたとわかったのでそのスピードと質に驚きました。

報告書に関しても、飾り気のないWordファイルみたいなものを想像していたのですが、読みやすくデザインされていてとても丁寧だなと驚きました。

高塚広貴さん：セキュリティエンジニアならではの指摘があって良かったです。開発者としては「こことここを比較して不正な値を弾ければいいよね」という実装でセキュリティを担保したつもりでも「このようにすれば回避できてしまう」といった指摘をくれるのがセキュリティエンジニアだと思います。

――今後、Flatt Securityについて期待することや要望することなどあれば教えてください。

鈴木さん：今後も定期的な診断をお願いしたいと思いますし、予算を確保しておきます。定期診断以外にも新規開発部分の診断をスポットでお願いしたいと思います。