セキュリティ診断事例インタビュー

「短期間で認証・認可のロジックを重点的に診断する」という要求にFlatt Securityがベストな診断スタイルを提案してくれた

Ubie(ユビー)株式会社は、「テクノロジーで人々を適切な医療に案内する」をミッションに掲げ、医師とエンジニアが2017年5月に創業したヘルステックスタートアップです。AIをコア技術とし、生活者向けサービス「ユビーAI受診相談」と医療機関向けサービス「ユビーAI問診」を開発・提供しています。 2020年には20億円の資金調達を実施し、2020年調達額ランキング18位にランクインしました。累計調達額は44.8億円に達しています。

今回診断を実施された企業様

Ubie株式会社 従業員数:180名 ※2022年1月時点 https://ubie.life/

生活者向け(toC)サービス「ユビーAI受診相談」とは

image2

症状から適切な医療への案内をサポートするサービスです。生活者は自宅などで症状などを入力することで、適切な受診先・タイミングを調べることができます。2020年にサービスの提供を開始し、2022年始には月間利用者数が450万人を突破しました。

「ユビーAI受診相談」の詳細はこちら。 https://ubie.app/

医療機関向け(toB)サービス「ユビーAI問診」とは

image1

医療機関の紙の問診票のかわりにタブレットを活用した問診サービスです。医療機関にて患者はタブレットを使って症状を入力することで、医師などの診察前の待ち時間を活用し、事前に詳しい症状の内容を伝えることができます。

医師は文章に翻訳された問診内容と病名辞書の結果を活用することにより、電子カルテに記載を行う事務作業が大幅に削減されます。2017年にサービスの提供を開始し、2021年には500以上の医療機関に導入されています。

「ユビーAI問診」の詳細はこちら。 https://intro.dr-ubie.com/

今回Flatt Securityは、複数回のセキュリティ診断を実施させていただき、一回目は「ユビーAI受診相談」のFirebase診断(+ホワイトボックス診断)を、二回目は「ユビーAI問診」のWebアプリケーション診断を実施しました。

Ubie様がセキュリティ診断を利用するに至った経緯とセキュリティ診断を受けた感想、またリピート依頼された理由を、セキュリティエンジニアの水谷正慶さんとSREの坂田純さんに聞きました。

医療情報を扱うには、政府が提唱した「安全管理に関するガイドライン」に沿う必要がある

image5

セキュリティエンジニアの水谷正慶さん

――今回なぜ、セキュリティ診断が必要になったのでしょうか。

水谷正慶さん(以下、水谷さん):これまでの事業フェーズでは、サービスの開発や価値検証に力を入れていました。そのため、社内のセキュリティエンジニアがGCPの権限まわりの設定に漏れがないかなどの確認はしていたものの、第三者診断までの踏み込んだ対策は実施できていませんでした。

サービスの利用者が増えて機能開発もひと段落したため、まずは「ユビーAI受診相談」のセキュリティ診断を第三者機関に依頼することにしました。

――ヘルステックにおける、セキュリティの重要性を教えてください。

水谷さん:私たちが提供するサービスは、いずれも機密性の高い情報を多く扱っています。改ざんや悪用をされることによって受ける被害は計り知れません。

また、ヘルステックという医療情報を扱う分野では、政府が提唱する「医療情報システムの安全管理に関するガイドライン」の内容に沿うことが求められます。

――他社の診断会社も検討したのでしょうか。

水谷さん:検討しましたね。前職でも依頼したことのある企業も含め、3~4社に問い合わせをしました。

ほかの診断会社からは、「全部診断しましょう!」という網羅的な提案を多くいただきました。もちろん、中長期的に見ると、網羅的な診断が必要です。しかし、まずは重要な観点に絞って、短期的な診断を実施し、現状の把握に努め、次のアクションを決めることが最優先でした。Flatt Securityさんはそのような現状をくみ取った上で、ベストエフォート型診断(※)を提案していただいたため、自分たちの求めているセキュリティ診断だと判断しました。

※編集注:「ベストエフォート型診断」は、定められた期間内に可能な限りビジネスリスクの高い脆弱性を探す診断手法。アプリの仕様などを鑑み、より深刻度の高い脆弱性がありそうな箇所から優先付けを行い診断を行ないます。 網羅性を求められる際には不向きですが、より深刻な脆弱性を見つける上で一般的な診断よりもコストパフォーマンス(時間・費用)が圧倒的に高く、短期間で結果を得ることで次のアクションを策定しやすくなります。

水谷さん:また、基本的にレスポンスが速く、コミュニケーションが取りやすかったことや、私たちが普段使用しているSlackでやりとりできたことなどを踏まえ、柔軟に対応してもらえると思い、診断を依頼することにしました。

――「ユビーAI受診相談」は認証・認可など観点を絞って実施したいとのことで、そのような診断を提案させていただきました。今回はなぜ、認証・認可の優先度が高かったのでしょうか。

水谷さん:私たちがもっとも恐れているのは、本来公開されてはいけない情報が公開状態になってしまうことです。先ほどお話した通り我々のプロダクトは機密なデータを扱っています。その中でも、ユーザーの目線で優先度の高い認証認可を重点的に診断してもらいたいと思っていました。

Markdown形式の報告書でGitHubへのタスクの起票が楽になった

image6

SREの坂田純さん

――実際にセキュリティ診断をした感想を教えてください。

坂田純さん(以下、坂田さん):私たちは網羅性よりも、攻撃者の立場になったときにどのような攻撃を受けるのかを優先度の高い部分から再現してもらいたいという意図がありました。実際に診断をしてもらい、特に気になっていた部分で、期待していた結果が出ました。

サービス全体に満足できたので、追加で「ユビーAI問診」のWebアプリケーション診断を依頼することにしました。

――報告書の内容はいかがでしたか。

坂田さん:内容は分かりやすく、修正方法の手順も丁寧に書かれていたので大変助かりました。

また、報告書の内容を確認するのは主にエンジニアなので、Markdown形式も送っていただけた点がよかったです。今まで受け取ったことのある報告書はほとんどPDFのみだったため、書かれている指摘内容やコードをコピペ(コピー・アンド・ペースト)するのが少し大変でした。

今回はMarkdown形式のおかげで、GitHubのIssueにスムーズにコピペでき、タスクを起票できました。

※編集注:2022年1月よりMarkdown版報告書の提供を開始しました。提供の背景を下記ブログで紹介しています。

技術ドリブンだった組織に顧客目線のサービス改善を導入する(およびMarkdown版報告書提供開始のお知らせ) https://flattsecurity.hatenablog.com/entry/markdown_report

開発中のサービスも、中長期的にセキュリティ診断を依頼したい

image4

Ubieのオフィス風景

――今後、Flatt Securityに期待することや要望などがあれば教えてください。

坂田さん:今回診断を依頼した2つ以外にも、複数のサービスを開発しています。それらのサービスの中で、重点的にセキュリティ診断をしていただきたいところがあるので相談したいです。

※サービス拡大中のUbie様では、複数ポジションで採用を強化しています。採用ページはこちら。 https://recruit.ubie.life/

水谷さん:以前所属していた企業ではセキュリティ診断ベンダと年間契約をして、予算内で必要な診断を依頼していました。Flatt Securityさんにも、中長期的に定期的な診断を依頼させていただきたいと思っています。

Internet Explorerをお使いの場合など、お問い合わせフォームが表示されない場合は別ページからお問い合わせください。