セキュリティ診断事例インタビュー

「Fintechとして技術力重視」「モダンなアプリケーションへの最適化」という要望を両立し、ホワイトボックス形式で診断を実施

株式会社sustenキャピタル・マネジメントは、ゴールドマン・サックス・アセット・マネジメント出身者らを中心に立ち上げられた、個人向け資産運用サービスの提供開始を目指すスタートアップ企業です。「誰もが安心して暮らせるsustainableな社会の実現」をビジョンに、資産運用サービス「SUSTEN(サステン)」を開発・提供しています。

「SUSTEN」は最新の投資理論に基づき、自動で運用するサービス

image3

「SUSTEN」は、ロボットアドバイザー(ロボアド)やファンドラップに分類される資産運用サービスです。ユーザーに代わって、最新投資理論に基づき世界中の金融商品へ分散投資を実施します。運用報酬は完全成果報酬制でサービス提供しています。

今回Flatt Securityは「SUSTEN」のAPIの一部に対するホワイトボックス診断を担当しました。株式会社sustenキャピタル・マネジメント様がセキュリティ診断を実施した背景を取締役で開発全般を担当する益子遼介さん、中村翔さん、リスク管理本部長の西村俊一さんに伺いました。

前回実施した診断ではカバーできなかったアングルもあり、モダンな作りのアプリケーションをホワイトボックス形式で診断できる企業を探していた

image2

取締役の益子遼介さん

――今回なぜ、セキュリティ診断が必要になったのでしょうか。

益子遼介さん(以下、益子さん):ブラックボックス診断を他社に依頼したことはあります。

前回は、OWASPの基準を念頭にツールによるブラックボックス診断でしたが、「トークンベースの認証」など自ずと対象外となっていた領域もありました。加えて金融サービスに求められる堅牢さを考えると、ソースコードレベルから診断するホワイトボックス診断が適していると考えました。

今回はそういった診断に対応いただける会社を検討していました。

――Flatt Securityを知った背景を教えてください。

益子さん:知り合いのセキュリティエンジニアに勧められたことがきっかけです。「スタートアップだけど、技術力はしっかりしている企業」だと紹介されました。

――Flatt Security以外の診断会社も検討されたのでしょうか。

西村俊一さん(以下、西村さん):はい。名の知れた診断会社を中心に、10社ほど問い合わせをしました。前回はやや知名度重視で診断依頼した経緯もあり、今回はセキュリティがより重要視されるFinTechサービスのため、技術力を優先して依頼する企業探しをしました。

セキュリティエンジニアの技術ブログや経歴を見て技術力の高さを確信

image5

リスク管理本部長の西村俊一さん

――Flatt Securityを選んだ決め手を教えてください。

益子さん:他社にホワイトボックス診断の実施を相談するとツールでの診断、つまり静的解析の提案が多かったんです。しかし今回は金融機関と接続するサービスである、という文脈を理解したエンジニアによる手動診断を実施したいと思っていました。

ですので、セキュリティエンジニアによる手動診断を提案してくれたFlatt Securityに依頼をしたいと思いました。

――Flatt Securityへ依頼するにあたって、懸念点はありませんでしたか。

益子さん:Flatt Securityさんは最初の打ち合わせからセキュリティエンジニアが同席し、すり合わせが十分にできていたので、当初から信頼していました。

中村翔さん(以下、中村さん):西村の話の通り、今回の診断で求めていたのは技術力です。Flatt Securityさんに所属しているセキュリティエンジニアの技術ブログや経歴を見て、高い技術力のある人が集まっていると知っていたので、安心して任せられるだろうと感じました。

益子さん:また、プロジェクトマネージャーの上村さんに安定感があり、診断前から円滑にコミュニケーションが取れたのも、依頼したいと思った理由のひとつです。

IdPのカスタマーサポートの人かと思うほど丁寧な引用がされており、分かりやすい報告書だった

image4

取締役の中村翔さん

――実際にセキュリティ診断を受けた感想を教えてください。

益子さん:報告書の内容が分かりやすく、社内のエンジニアでレビューした際に、みんな問題なく理解しているようでした。

中村さん:内容が弊社用にカスタマイズされていたのもよかったです。テンプレではないんだなと。

先程お話ししたように「SUSTEN」の認証は外部のIdPを組み込んでいますが、報告書の中で適宜IdPの公式ドキュメントも引用されていて、IdPのサポートの人かと思うくらい丁寧だと感じました。

益子さん:診断終了後の報告会(※)にも感謝しています。報告書が大変わかりやすかったのでその内容に関しては質問することは基本的になかったのですが、今後の開発において参考になるお話をたくさん聞くことができました。

※編集注:報告会は別料金のオプションメニューとなります。

――今後、Flatt Securityに期待することや要望などあれば教えてください。

益子さん:ホワイトボックス診断もブラックボックス診断ともに重視しているので、両方診断してもらえるとうれしいですね。

中村さん:私たちはセキュリティに関して、あれこれと模索しながら開発をしています。一度きりの診断ではなく、伴走してもらいながら、相談したり今後の診断を依頼したりなどできる関係性になれたらと思います。

  • シェア
  • このエントリーをはてなブックマークに追加
    • セキュリティ診断サービス詳細はこちら
    全ての事例を見る

    Internet Explorerをお使いの場合など、お問い合わせフォームが表示されない場合は別ページからお問い合わせください。

    会社情報

    会社概要採用情報ニュース技術ブログ#FlattSecurityMagazine脆弱性リサーチプロジェクト

    サービス紹介

    Shisho Cloud(シショウ クラウド)KENRO(ケンロー)

    お問い合わせ

    お問い合わせフォーム採用お問い合わせフォームプライバシーポリシー