セキュリティ診断事例インタビュー

GCPへの大規模移行に伴いセキュリティ診断を実施。クラウドとアプリケーションはセットで診断すべきと考えていたのでFlatt Securityを選んだ

株式会社SmartHRは2013年1月に設立され、2015年11月よりクラウド人事労務ソフト「SmartHR」の提供を開始しました。2019年に関西支社を設立したことを皮切りに、2020年には九州支社、東海支社にも拠点を拡大しました。2021年にはシリーズDラウンドで海外投資家などから約156億円を調達。累計調達額は約238億円となり、創業から8年で企業価値が10億ドル(約1100億円)以上のユニコーン企業になりました。

今回診断を実施された企業様

株式会社SmartHR 従業員数:520名 ※2021年12月時点 https://smarthr.co.jp/

4万社以上が利用しているクラウド人事労務ソフト

image1

「SmartHR」は、雇用契約や年末調整などの人事・労務業務のペーパーレス化、従業員サーベイや分析レポートなど蓄積された情報を活用する人材マネジメントなど、さまざまな人事・労務業務を効率化するサービスです。年末調整やWeb給与明細などの労務手続きにも対応しており、従業員管理の煩雑な業務が軽減できます。

テレビCMでもよく見かける「SmartHR」の詳細はこちら。 https://smarthr.jp/

TwitterやFacebookでも最新情報がチェックできます。

今回Flatt Securityは、「SmartHR」のある機能を対象にクラウドアプリケーション診断(Webアプリケーション診断 + GCP診断)を担当させていただきました。株式会社SmartHR様がクラウドアプリケーション診断を実施した背景とその感想をセキュリティグループに所属しているセキュリティエンジニアの岩田季之さんに伺いました。

AWSからGCPへ移行するにあたり、セキュリティが課題に

image2

セキュリティグループに所属するセキュリティエンジニアの岩田季之さん

――今回はなぜ、セキュリティ診断が必要になったのでしょうか。

岩田季之さん(以下、岩田さん):今まで「SmartHR」のインフラは、AWSとHerokuをメインに使用していましたが、2021年からGCPへ切り替えることになりました。ただ、会社全体としてGCPへの知見が不足していたので、セキュリティ面で課題を感じていました。

Googleの提供する公式ドキュメントやCISベンチマーク(※)を参照したり、インターネットで情報収集したりしたものの、自分たちの対応が正しいのか確信は持てなかったので、第三者視点で診断を実施することにしました。

※編集注:CISベンチマークとは国際的に有名な、さまざまな環境におけるセキュリティのベストプラクティスをまとめたガイドライン。GCP環境を対象とするものもある。

――GCPに切り替えたきっかけはなんだったのでしょうか。

岩田さん:サービスが成長し、導入企業数が増えたことが大きいですね。大手企業ともお取り引きすることが多くなり、セキュリティでもそれ以外でも求められるものが増えました。AWSとどちらが優れていると一概に言えるものではないですが、我々の求める要件にはGCPの方が合致している部分が多かったのです。

――ほかの診断会社も検討したのでしょうか。

岩田さん:過去にお取り引きのある診断会社やクラウドの診断がメニューに入っている診断会社など、いくつか検討しました。

Flatt Securityさん以外の診断企業は、クラウド診断とアプリケーション診断は別の枠組みでという考え方でした。一方、Flatt Securityさんは私たちの懸念点を汲み取り、アプリケーションの仕様を踏まえた上でWebアプリケーション診断とGCPの設定をチェックする診断を実施する「クラウドアプリケーション診断」を提案してくれました。

他の診断会社でも「クラウドを見る際にアプリケーションの仕様を参考にはします」というレベルの提案はあったのですが、Flatt Securityさんの提案とは別のものだと感じました。そして、このFlatt Securityさんからの提案内容は、私たちが求めていた診断にドンピシャだったので、お願いすることにしました。

――アプリケーションの仕様も踏まえてクラウドを診断すべきだと考える理由を教えてください。

岩田さん:クラウドの利用が単なるIaaSとしてのものでオンプレミスと同様の構成であればそこまで強い理由はないかもしれません。しかし、クラウドのマネージドサービスを活用した構成になればなるほど、アプリケーションの仕様とクラウドの設定は密接に結びついてくると思います。

そこでアプリケーションとクラウドの診断を分けてしまうのは、クラウド以前のオンプレミスが主流だった時代の形式を引きずっているのではないかと考えています。

「診断対象が堅牢で、ベストエフォート型を続けても費用対効果が悪くなる可能性があるため、中断も可能」という連絡を受け、Flatt Securityへの信頼度が増した

――Flatt Securityを利用するにあたり、懸念点はなかったのでしょうか。

岩田さん:特にありませんでした。「脆弱性リサーチプロジェクト」(※)のページを見たり、セキュリティエンジニア同席で打ち合わせをしたりする中で、技術力は高いだろうと確信していました。

※編集注:「脆弱性リサーチプロジェクト」は、インターネット上で利用可能な様々なソフトウェア、ハードウェアの脆弱性を調査するプロジェクトです。こちらで活動実績を公開しています。

――実際に、セキュリティ診断を受けた感想を教えてください。

岩田さん:診断中の対応がとても丁寧だと思いました。というのも、3週間のベストエフォート型診断(※)で発注していましたが、診断中にFlatt Securityさんから「診断対象が堅牢で、診断期間中にベストエフォート型診断を続けても費用対効果が悪くなる可能性があるため、中断という選択肢もありますがどうしますか」という提案をいただいたんですよね。このような提案は今まで受けたことがなかったので驚きましたが、親切な対応を見てより信頼度が増しました。

リスクの高いところは少しでも多く診断していただきたかったので、結局中断はしませんでしたが、期限内にきちんと診断していただいたおかげで大きな脆弱性がないことが分かり、安心しました。

image

また、報告書もとても読みやすかったです。過去に他社でセキュリティ診断業務を行っていたメンバーも「これほど丁寧な報告書を見たことがない」と言っていました。おかげで、セキュリティが専門ではない開発チームのメンバーなどにも内容をスムーズに理解してもらうことができました。

※編集注:「ベストエフォート型診断」は、定められた期間内に可能な限りビジネスリスクの高い脆弱性を探す診断手法。アプリの仕様などを鑑み、より深刻度の高い脆弱性がありそうな箇所から優先付けを行い診断を行ないます。

網羅性を求められる際には不向きですが、より深刻な脆弱性を見つける上で一般的な診断よりもコストパフォーマンス(時間・費用)が圧倒的に高く、短期間で結果を得ることで次のアクションを策定しやすくなります。

「開発者に寄り添ったセキュリティを提供する」という考え方に共感

image5

SmartHRのオフィス風景

――今後、Flatt Securityに期待することや要望などあれば教えてください。

岩田さん:Flatt Securityさんが発信している「開発者(Developer)に寄り添ったセキュリティを提供する」という考え方(※)に非常に共感しています。

※編集部注:Flatt Securityは2021年10月に新たな事業方針を発表しました。

「開発者に寄り添ったセキュリティを世界中に届ける」Flatt Securityの挑戦 https://flattsecurity.hatenablog.com/entry/2110_ceo_message

私も、モダンな開発スタイルや開発フローに寄り添う「新しいセキュリティのかたち」を模索していたので、それをまさに「KENRO」や「Shisho」などサービスとして実現できていることが本当にすごいと思っています。Flatt Securityさんの目指すコンセプトをどんどん推進して、セキュリティ業界全体に浸透させていってほしいです。

セキュリティのお悩みについてFlatt Securityのセキュリティエンジニアに相談しませんか?

本記事ではセキュリティ診断の事例を紹介しましたが、セキュリティ診断は詳細や会社ごとの違い・特徴が分かりづらく検討しづらいサービスだと思われるのではないでしょうか。そこで、Flatt Securityでは無料のセキュリティ相談会を受け付けております。 セキュリティ診断に直接関係がなくとも、開発にまつわるセキュリティのお悩みに弊社のエンジニアが回答させていただきます。カレンダーより簡単に予約可能ですので、是非ご利用ください。

Internet Explorerをお使いの場合など、お問い合わせフォームが表示されない場合は別ページからお問い合わせください。