セキュリティ診断事例インタビュー

オープンソースの自動運転ソフトウェアを開発するTIER IVの認証基盤にセキュリティ診断を実施。「信頼感のある技術ブログを読んでいた」ことが依頼の決め手に

株式会社TIER IV(ティアフォー)は、2015年に設立された、オープンソースの自動運転ソフトウェア「Autoware(※)」の開発を主導する自動運転スタートアップです。

2017年12月には、国内初となる一般公道での遠隔制御型自動運転システムの実験を実施し、5段階ある自動運転レベルのうち、レベル4にあたる無人運転に成功しました。2020年8月には、SOMPOホールディングスと資本提携を交わし、これまでに累計175億円を資金調達しています。

※AutowareはThe Autoware Foundationの登録商標です。

自動運転システムの導入・運用・開発を支えるサービス「Web.Auto」とは

Web.Auto

引用元:https://tier4.jp/products/

株式会社TIER IVが提供する「Web.Auto」は、自動運転システムの利用・運用・開発のすべてをサポートするWebプラットフォームです。サービス事業者へは「Autoware」と連動した運行管理システムを、開発者へは「Autoware」を利用するためのデータ・開発環境などを提供します。

「Web.Auto」の詳細はこちら。 https://web.auto/ja/

今回Flatt Securityは「Web.Auto」の認証基盤サービスを対象に、Webアプリケーション診断を実施しました。

TIER IV様がセキュリティ診断を利用した経緯と感想をSREの宇津井大さんとソフトウェアエンジニアの澤田翔太さんに聞きました。

国際的な枠組みの整備も進む中、リニューアルした認証基盤サービスへのセキュリティ診断実施が必要だった

Mr.Utsui

SREの宇津井大さん

――まず最初に、Flatt Securityを知っていただいた経緯を教えてください。

宇津井大さん(以下、宇津井さん):TIER IV内のセキュリティエンジニアにおすすめの診断ベンダーを聞いたところ、Flatt Securityさんを紹介されました。複数社オススメしてもらったのですが、その中で最終的にFlatt Securityさんにお願いしたというわけです。

――なぜ今回、セキュリティ診断が必要になったのでしょうか。

宇津井さん:「Web.Auto」の認証基盤をリニューアルしたタイミングでセキュリティ診断が必要になりました。認証基盤が脆弱だと利用している全てのサービスに影響が出ますから、特にセキュアにしたいと考えています。

また、自動車のサイバーセキュリティを巡る法令、基準、ガイドラインは多岐にわたっています。自動運転を取り巻く環境は整備が進んでいて、2022年はWP29(※)のUN規則、自動運転レベル4の解禁と大きなイベントが続きます。セキュリティ診断を実施する背景としては充分過ぎるものでした。

※WP29とは「自動車基準調和世界フォーラム(World Forum for Harmonization of Vehicle Regulations)」の略称で、主に国際間での自動車のルールを取り決める国連のワーキンググループです。

WP29に関してはTIER IV様のTech Blog、安全への取り組みシリーズでも触れられています。

技術ブログを見ていたので、診断の技術力に対する信頼感があった

node.js thumbnail

弊社技術ブログ記事の一例 https://blog.flatt.tech/entry/node_mysql_sqlinjection

――Flatt Securityを選んでいただいた決め手を教えてください。

澤田翔太さん(以下、澤田さん):最初のミーティングでお話ししたセールスの方は非技術者でありながら技術面への理解度が高いと感じました。「まずは10分お話しさせてください」と設定していただいたミーティングが本当に10分で終わったのも好感が持てました(笑)

第一印象は良かったですし、社内のセキュリティエンジニアがオススメしてくれた診断ベンダーは他にも複数社あったのですが、最も期待感を持てたのでFlatt Securityさんにお願いしました。

宇津井さん:個人的には、御社の技術ブログを拝見していたので技術力に関しては信頼感がありました。高度な内容を公開している技術ブログが決め手のひとつでしたね。

澤田さん:確かにそうですね。技術記事をTwitterのタイムラインで見かける印象があります。

PDFに加えてMarkdownの報告書に細かな配慮を感じた。指摘事項の確認も容易で満足だった。

Mr.Sawada

ソフトウェアエンジニアの澤田翔太さん

――実際にセキュリティ診断をした感想を教えてください。

澤田さん:大変満足しています。

まず、報告書のクオリティが高いと感じました。PDF形式が多い中、Markdown形式で報告書を受け取れたのは良い体験でした。コピー&ペーストするだけで動作するコマンドを記載していただけたので、指摘事項の確認が容易で助かりました。Jiraへのタスク起票も負担なくできました。

また、コミュニケーションもとりやすかったです。Slackを繋げていただけたので、気軽かつスムーズなやりとりができて良かったです。

さらに、少ないコミュニケーションでもTIER IV社のシステムへの理解が高く、技術力の高さを感じました。診断を依頼した背景などを共有していないのにも関わらず、こちらの意図を汲み取ってくださったところに技術力の高さを感じました。

――今後、Flatt Securityについて期待することや要望することなどあれば教えてください。

澤田さん:今回の診断で良かった点であるコミュニケーションのスムーズさは、継続してほしいと思います。

また開発者目線で言うと、セキュアなアプリケーション作りに、セキュリティエンジニア目線でご助力いただけますと幸いです。

宇津井さん:今回はWebアプリケーションを対象とした簡易的な診断ではありましたが、今後サービスをますます拡大していきますので、ホワイトボックス診断やペネトレーションテストなどの高度な診断も依頼したいです。

先に述べた「WP29」などの自動車業界特有の基準もありますので、そこに慣れていただけると今後も一層良いお付き合いができるかと思います。

  • シェア
  • このエントリーをはてなブックマークに追加
    • セキュリティ診断サービス詳細はこちら
    全ての事例を見る

    Internet Explorerをお使いの場合など、お問い合わせフォームが表示されない場合は別ページからお問い合わせください。

    会社情報

    会社概要採用情報ニュース技術ブログ#FlattSecurityMagazine脆弱性リサーチプロジェクト

    サービス紹介

    Shisho Cloud(シショウ クラウド)KENRO(ケンロー)

    お問い合わせ

    お問い合わせフォーム採用お問い合わせフォームプライバシーポリシー