今回、スマートラウンドは、ビジネスリスクの高い脆弱性を、予算・期間範囲内で可能な限り集中的に探索する「リスクフォーカス型プラン」を利用。「smartround」の一部機能を対象とした「Webアプリケーション診断」を、リスクフォーカス型プランの診断形式で実施しました。診断実施の背景や感想について、同社SREの山原崇史さんにお話を伺いました。

プロダクトの信頼性とコーポレートセキュリティを担保

——山原さんはスマートラウンドでどのようなお仕事をされていますか？

smartroundの開発におけるSREと、コーポレートITにおけるセキュリティ責任者という2つの立場を兼ねています。元々SREとしてスマートラウンドに入社したのですが、個人的にも関心があったためセキュリティにも関わることにしました。

smartroundはBtoB SaaSなので、ECサイトのように特定の時間にアクセスが殺到することはなく、高負荷対策を考える必要性は低くなっています。一方で、株主・投資家の情報や資金調達の予定、ストックオプションなど、機密性の高い情報を取り扱うため、セキュリティの担保が信頼性の担保につながります。SREはプロダクトなどの信頼性を担保することをミッションにしているので、本来的にはセキュリティと密接に関わる職種ではないかもしれませんが、プロダクト固有のこのような背景から、SREである私がプロダクトセキュリティも担当しています。

——どのような体制でプロダクトセキュリティ施策を進めていますか？

基本的には私が中心となって進めています。脆弱性やセキュリティ技術に関する情報を日頃から収集して、それらを参考にしながら施策を展開しています。プロダクト開発メンバーに施策内容や目的を適宜共有しながら取り組んでいます。

——今回診断対象となった、スタートアップと投資家のためのデータ作成・管理プラットフォーム「smartround」について教えてください。

スタートアップと投資家のデータ共有や、業務効率化を支えるSaaSです。スタートアップの場合は資本政策から株主総会、ストックオプション管理まで、投資家の場合はソーシングから投資先管理、パフォーマンス分析まで、それぞれ幅広いシーンで活用いただくことが可能です。

——今回、smartroundの一部機能を対象としたセキュリティ診断のご依頼をいただきました。診断実施の背景について教えてください。

smartroundは機密性の高い情報を取り扱うプロダクトなので、プロダクトに対するセキュリティリスクのチェックをより網羅的に行うことで、セキュリティレベルを一層高めていきたいという思いがありました。

セキュリティ診断を実施するためはある程度の金銭的・人的コストが必要だということも理解していたので、会社が一定のフェーズに達した段階で実施する方針で動いていました。

今回、想定していたフェーズにちょうど達したタイミングだったので、計画通りセキュリティ診断を実施することにしました。

スタートアップを熟知し、中長期的に信頼できるベンダーを探す

——業者選定にあたり、重視したポイントは何でしたか？

今回は2つのポイントに沿った形で業者選定を進めました。

1つ目のポイントは、「弊社のようなスタートアップをよく理解している会社であること」です。

前職以前でもセキュリティ診断に少し関わっていたので、セキュリティベンダーは会社によってカラーや強みが異なるということを知ってはいましたが、今回のベンダー選定にあたって社外のエンジニアにヒアリングした時にも「自社のカルチャーにマッチするベンダーが良い」というアドバイスを頂きました。そのため、今回はスタートアップ特有のスピード感やカルチャーにマッチしたベンダーさんにお願いしたいと考えていました。

そして、2つ目のポイントは、「中長期的に信頼できる会社であること」です。

smartroundを対象とするセキュリティ診断は、これからも定期的に実施していく予定です。決して今回限りのものではありません。そのため、中長期的に信頼でき、お付き合いできそうなベンダーさんにお願いしたいと考えていました。

——Flatt Securityを知ったきっかけは何でしたか？

私がスマートラウンドに入社した直後から、CTOやテックリードがセキュリティ診断の選定先候補の1つとして話題にしているのを聞いていました。

私自身は、テックブログを通してFlatt Securityという会社のことを知っていました。「GitHub Organizationの安全な運用とモニタリングに関するスライド」は特に参考にさせていただきました。

——最終的にFlatt Securityに依頼した決め手は何でしたか？

コミュニケーションのとりやすさと、スピード感ですね。他のベンダーさんと比較して、格段に違いました。契約を進めるまでのやり取りにも信頼感があり、安心してご依頼できました。

有名なスタートアップやメガベンチャーの セキュリティ診断実施事例も多数公開 されていたので、実力面でも信頼できそうだと感じました。

対象範囲を見極めてもらえる「リスクフォーカス型プラン」のメリットを実感

——実際に診断を受けられてみて、いかがでしたか？

ご提示いただいた予算・期間の範囲内で、様々な側面から網羅的な分析をいただけてありがたかったです。こちらから対象となるエンドポイントを指定する形ではなく、「リスクフォーカス型プラン」を利用したことで、対象範囲をプロに見極めていただけて良かったなと思いました。

セキュリティ診断を担当いただくセキュリティエンジニアの方とのコミュニケーションも、Slackで完結したので、迅速に調整を進めることができました。社内のエンジニアとやり取りするのと変わらない感覚で連絡できたので、安心感がありました。

——診断の実施費用に関してはいかがでしたか？

高い技術力を持ったセキュリティエンジニアの方に、一定期間張り付いて対応していただいたと思いますので、妥当な価格だと考えています。

※Flatt Securityのセキュリティ診断費用の見積もり資料は こちら で配布中です！

——診断報告書に関しては、いかがでしたか？

非常にわかりやすく、記載内容もしっかりしていました。開発メンバーはもちろん、CTOやテックリードも「非常に勉強になった」と話していました。

Markdown形式でも提供いただいたので、プロダクト開発の中で普段行うのと同じように、GitHubのIssueの作成ができて非常に楽で、システム改修の優先順位付けや担当もスムーズに決めることができました。

報告書の最後に、事象の再現手順が詳しく解説されているのも良かったですね。自分たちで事象を再現した上で、検証を進めることができたので非常にありがたかったです。

※Flatt Securityのセキュリティ診断報告書サンプルは こちら からダウンロード頂けます

——最後に、Flatt Securityに期待していることがあれば、教えてください。

今回セキュリティ診断を実施いただいて、弊社のプロダクトやカルチャーについて熟知いただいたと思います。「リスクフォーカス型プラン」をご提案いただいた今回の診断結果の満足度も高いですが、次回以降は、プロダクトの特性に基づいた、より一層充実した提案をいただけるのではないかと期待しています。

——山原さん、本日はありがとうございました！

＜Flatt Securityのセキュリティ診断に関するお問い合わせはこちらから＞