今回Flatt Securityは、IoT向けSIMよりアクセス可能なAPIのホワイトボックス診断（※）を担当しました。セキュリティ診断を実施した背景とその感想を、ITセキュリティオフィサーの高橋真幸さんと執行役員・プリンシパルソフトウェアエンジニアの片山暁雄さんに伺いました。

※ホワイトボックス診断 … 世の中に広く提供されるブラックボックス診断では、動作しているシステムに対して擬似的な攻撃を行うことで診断を実施するため、ソースコードなどを受け取ることはありません。対して、ソースコードやシステムの設計、仕様書などを提供していただき、それらの分析を通して実施する診断を「ホワイトボックス診断」と呼びます。

セキュリティの必要性の高まりと、これまでの対策だけでいいのかという不安

――なぜ今回、セキュリティ診断が必要になったのでしょうか。

高橋真幸さん（以下、高橋さん）：ビジネスの拡大に伴ってセキュリティ強化が重要視されるようになったからです。

ソラコムではIoTサービスの提供だけでなく、お客様のIoTプロジェクトが円滑に進むよう、さまざまな課題に取り組んできた経験とノウハウを活かしてサポートメニューも用意しています。そのため、お客様のIoTシステムのプラットフォームとして大規模に活用いただくケースが増えてきています。

また、現在19個のクラウドサービスも提供しており、スタートアップから物流・インフラ企業まで顧客数は2万を超えました。さらに「24時間/365日のサポート対応」プランもできるなど、会社とサービスが急成長しています。これにあわせてセキュリティを強化する必要がありました。

もちろん、今までも定期的にセキュリティ診断は実施しています。しかし、これまではツールを利用した脆弱性診断を実施していたため、脆弱性を組み合わせた攻撃に対する耐性やツールでカバーできない脆弱性の存在などをテストする方法を検討していました。

一方、ペネトレーションテストを依頼する場合は、診断の網羅性は低いため「問題なかった」と結果を聞かされても、どこまで本当に問題がなかったのかをこちらで検証することはできません。

きちんと実績がある信頼できる診断会社にホワイトボックス診断のような「より網羅的にリスクを洗い出せる踏み込んだ調査」を実施してもらいたいと思っていたんです。

そんな中、御社の取締役である上野宣さん（※）を知っている社内メンバーから、「Flatt Securityはどうか」という意見が上がりました。

そこで自分から連絡させていただき、最終的に御社からの提案で診断対象のAPIに対してホワイトボックスの形式で診断を実施することになりました。

※上野宣…2006年、株式会社トライコーダを設立。2020年、株式会社Flatt Securityの取締役に就任。

OWASP Japan 代表、一般社団法人セキュリティ・キャンプ協議会 GM、日本ハッカー協会理事、東京2020オリンピック・パラリンピック競技大会向け実践的演習「サイバーコロッセオ」推進委員などを務め、第11回アジア・パシフィック情報セキュリティ・リーダーシップ・アチーブメント(ISLA)を受賞。

決め手は世界レベルの評価を得ていたエンジニアの実績

――セキュリティを強化している中で、Flatt Securityと取り引きをすることに対し、懸念点はありませんでしたか。

高橋さん：実力のあるセキュリティエンジニアがいる点で最初から信頼はありました。 特に注目したのは志賀さん。CTFで強豪チームに所属しているという情報はあったものの、CTFはチーム戦なので、個人でどれくらい実績があるのかは分かりかねていました。

しかし、「脆弱性リサーチプロジェクト」の取り組みや国際的セキュリティコンテスト「Pwn2Own」での賞金$30,000獲得の記事を読んで、個人でも直近の実績があり、評価が高いことを知り、安心できました。

――実際にセキュリティ診断を受けた感想を教えてください。

片山暁雄さん（以下、片山さん）：特によかった点は2つ。まずは報告書の内容です。想定されるリスクを正確に把握することができ、またセキュリティを高めるための対策が具体的に提案されていました。

要点を絞った内容になっていたのもよかったポイントです。ほかの診断企業では分厚い報告書を受け取ることが少なくありません。細かく書いていただけることはありがたいものの、インフォメーションレベルのものが入っており、かえってノイズになることもあります。Flatt Securityさんの報告書は必要な情報のみ書かれていたので、ほかのエンジニアからも高い評価が上がっていました。

次に、弊社がホワイトボックス診断を実施するのは初めてで不安に思っていた点を解消してくれた点ですね。報告内容にはもちろん満足でしたし、弊社のソースコードだけでなく使用しているライブラリの観点が含まれていたのも本当に助かりました。

高橋さん：ホワイトボックス診断はどの程度ソースコードをしっかり読んでもらえるかというのも不安でしたが、自分の想定以上に読み込んでいただけたのもありがたかったですね。

定期的な診断を実施しつつ、社内のセキュリティ体制も強化していきたい

――今後、セキュリティに対してどのような取り組みをしていく予定ですか？

片山さん：現在提供しているプラットフォームだけでなく、今後ローンチしていく新サービスもできる限りセキュリティホールがないよう、よりセキュリティを強化していきたいです。なのでセキュリティ診断を定期的に実施しつつ、社内のエンジニア自身が修正対応できるような体制づくりをしていきたいです。

そのために、「KENRO」の導入も検討しています。現在、セキュアコーディング習得はエンジニアたちが独学で学んでいますが、足並みはそろっていないため、「KENRO」を通じて全員でセキュリティについて学ぶ機会を設けることも必要なのではと思っています。