セキュリティ診断事例インタビュー

高い技術力と、スピーディで幅広い提案のおかげで安心して依頼できた

株式会社アトラエ様は、“世界中の人々を魅了する会社を創る”をビジョンにHR事業を展開。IT・Web業界に特化した求人メディア「Green(グリーン)」を主軸に、ビジネス版マッチングアプリ「yenta(イェンタ)」やエンゲージメント解析ツール「wevox(ウィボックス)」などのサービスを開発・運用しています。2003年に設立し、2018年には東証一部に上場しています。

セキュリティ診断事例インタビュー wevox(株式会社アトラエ)様

今回診断を実施された企業様

株式会社アトラエ 従業員数: 55人(2020年3月時点)

https://atrae.co.jp

今回は、「wevox」の脆弱性診断を担当させていただきました。

「wevox」はチーム課題を改善するためのSaaS

wevoxのコンセプト画像 グッドデザイン賞2019受賞

「wevox」とは、これまで感覚的に推測するしかなかった、組織に対するエンゲージメント(愛着心・信頼等)や組織の現状を可視化し、組織改善のサイクルを生み出すサービス。2017年に正式ローンチして以来、利用企業は1500社を突破。三井住友銀行や大和証券、LINEなど大手企業も導入しています。 「wevox」の詳細はこちら。

https://wevox.io/

アトラエ様がFlatt Securityの脆弱性診断を利用するに至った経緯と脆弱性診断を受けた感想をエンジニアの小倉勇人さんにうかがいました。

セキュリティに強いエンジニア組織を作れるように伴走してくれる

エンジニア 小倉勇人さん
アトラエ 小倉勇人さん

――今回はなぜ、セキュリティ診断が必要になったのでしょうか?

以前は定期的に脆弱性診断を実施していました。しかし、弊社とセキュリティ企業の間で"受診依頼者と作業者"という関係から脱却できないことに対し、課題に感じていたんです。というのも、世界中を魅了するプロダクトを作るには、セキュリティにおいて自走できる強いチームを作る必要があると考えていたからです。 現時点では、弊社にはセキュリティに関して専門性のあるメンバーが多くありません。なので、脆弱性診断だけでなく、セキュリティ強化を自走できるような強いチームづくりをサポートしてくれるセキュリティ企業を探していて。弊社と一緒にセキュリティ強化に取り組んでいる外部のスペシャリストの方にその旨を相談したところ、紹介していただいたのがFlatt Securityさんでした。

――他にも複数社候補があったとのことですが、弊社を選んでいただい決め手は何でしょうか。

信頼しているその方が「技術力や実績のあるエンジニアが多い」と言っていたので、きっと安心して頼めるだろうとは思ってはいました。実際にお話をさせていただいたら、スキル面だけでなく、やりとりやコミュニケーションの円滑さもふまえてぜひ伴走してほしいと感じました。

プロ意識が高く、想定より2倍の速さで診断が進んだ

左上:弊社セールス・齋藤、右上:アトラエ・小倉さん、下:弊社エンジニア・村上
左上:弊社セールス・齋藤、右上:アトラエ・小倉さん、下:弊社エンジニア・村上

――ありがとうございます!コミュニケーション面では具体的にどのような点を評価していただいたのでしょうか。

Slack上のやりとりから、御社は上長に承認をとってから作業が進むのではなく、ひとりひとりがプロフェッショナルの自覚を持ち、裁量を持って動いていると感じました。だからスピード感があり、契約周りの事務的なやりとりも診断内容の提案も早く、想定より2倍の速さで動いていただけたと感じています。 その他に、診断の優先度が高い機能のスコープを2パターンの観点で提案していただいたのも嬉しいポイントでした。人月会計ではなくエンドポイント(リクエスト)毎という明朗会計なので、見積もりを含めた意思決定がスムーズにできました。 またエンドポイント毎の料金が決まっているので、今後継続的に社内のセキュリティ強化をしていくために、受診の中長期の計画もかなり立てやすいと考えています。この点はとても助かります。

サービス拡大にあわせて増えるであろうセキュリティ課題に対しても伴走してほしい

小倉さん

――今後Flatt Securityに期待することがあれば教えてください。

「wevox」利用企業様も増えて社内のエンジニアも急増したので、リリースの頻度が高くなると予想しています。ですので今後も伴走していただき、「どのような脆弱性が想定されるか」「どの部分が攻撃されやすいか」といったセキュリティ課題を一緒に考えていただけたらと思っています。 セキュリティ企業の方にこのようなことを言ってしまうと申し訳ないのですが、弊社の目標は自社内でセキュリティチームを作ることです。最終的には自走できるようになるため、診断だけでなく、セキュリティトレーニングサービスなどFlatt Securityからの幅広いご提案を期待しています!

――ありがとうございました!

検収完了後に小倉様よりいただいたメッセージを引用させていただきます。Flatt Security一同感動しました。

@here 全体メンションで失礼します。(個人の気持ちをお伝えしますw) 先程、診断結果を確認した上で検収書をお送りしました。この度は弊社のサービスの診断をしてくださりありがとうございました! 改めてインタビューでお話できればと思いますが、以下が特にありがたいと思った点です。 • スピード感あるやり取り • 貴社からの提案の幅広さ やり取りに関しては、皆様一人ひとりが専門性と思考をもとに自律的に対応・提案してくださるのがありがたかったです。セキュリティ企業に限らず、一般に企業さんとやり取りする際は承認や確認が入るため数時間・数日後の返信が多いものですが、皆様とのやり取りはスピード感と安心感もあり、今回のように診断をして頂く上ではかなり助かりました。 弊社はセキュリティに専門性があるメンバーが少ないため、貴社から具体的な提案を頂けるのもネクストアクションに繋げやすく助かりました。 (中略) ありがとうございます。 (中略) なんか今生の別れのようなメッセージになってしましたがw、また次回・次次回・・・と診断をお願い致します。今回は皆様に診断を依頼して本当に良かったと思っております!ありがとうございました! PS. Flattさんの皆さんはいろいろな媒体で拝見することが多く、その度に素敵な方々だな〜〜と思っております!Twitterやニュースなど見る度におもっておりますw

Flatt SecurityではWebアプリケーション・スマートフォンアプリケーション・スマートフォンゲーム・プラットフォーム・IoTに関する脆弱性診断サービスとペネトレーションテストを提供しております。 ご興味のある方はお問い合わせフォームよりお気軽にご連絡ください。