Flatt Security Blog

株式会社Flatt Securityの公式ブログです。プロダクト開発やプロダクトセキュリティに関する技術的な知見・トレンドを伝える記事を発信しています。

株式会社Flatt Securityの公式ブログです。
プロダクト開発やプロダクトセキュリティに関する技術的な知見・トレンドを伝える記事を発信しています。

クラウドネイティブの時代に、脆弱性診断を開発者向けにリデザインする。Flatt Securityプロフェッショナルサービスの展望

f:id:flattsecurity:20211017165337j:plain

プロフェッショナルサービス事業部の宮下です。Flatt Securityと聞いて脆弱性診断のイメージを持たれる方も多いのではないでしょうか。その脆弱性診断を提供しているのが当事業部です。 これまで当事業部の活動を紹介することが少なかったこともあり、まず当事業部とこれまでの活動を紹介し、そして当事業部の新たな取り組みについて紹介します。

なお、本ブログは2億円の資金調達の発表に合わせて公開していますが、合わせてCEOの井手によるブログと、CTO米内によるプロダクト事業に関するブログも公開しておりますので、是非合わせてご覧ください。

プロフェッショナルサービス事業部の紹介

私達はお客様のサービスのセキュリティ課題に対して脆弱性診断という手段を用いて課題解決のお手伝いをしています。脆弱性診断の提供開始から約2年間で、プロダクトを開発・提供するお客様を中心にWebアプリケーションやスマートフォンアプリケーション、IoTなど様々なサービスに対する脆弱性診断やペネトレーションテストを実施し多くの評判をいただいています。

脆弱性診断では品質と速度を重要視しており、それらを脆弱性診断の各プロセスにおける標準化を行うための内製サービスで実現しています。内製サービスは脆弱性診断をスケールさせるための土台として日々発展を続けています。このように事業をエンジニアリングする文化が私達にはあります。

お客様の課題に基づいたサービスの改善

サービスを提供する中で脆弱性診断におけるニーズや開発における様々な課題を伺うことができました。特に多く聞かれた声としては「AWSやGCPのようなクラウドサービスを利用したアプリケーションのセキュリティをどう担保するか」、「脆弱性を作りこまない方法はないか」、「脆弱性を発見し、直す知識を得たい」などがあり、開発者のセキュリティに関する不安やニーズが多く聞かれました。これらに対して、次のようなサービスの改善を行っています。

脆弱性診断サービスのアップデート

クラウドを用いた開発におけるセキュリティの担保に対する課題を特に多く伺いました。近年のプロダクト開発では採用される技術スタックは多様化し、脆弱性診断では技術スタックに応じた診断方法が求められています。

私たちはこの課題に対して、アプリケーションの技術スタックやその構成に合わせて適した診断をクラウドネイティブ診断として提供をはじめました。クラウドネイティブ診断では診断対象に対するヒアリングを重視し、用いられる技術スタックやその構成を把握した上で脆弱性診断の提案・設計をオーダーメイド型で行います。

f:id:flattsecurity:20211017165821p:plain
AWSに対する診断の概要

f:id:flattsecurity:20211017165947p:plain
Firebase診断における診断対象

既にFirebase診断やAWS・GCP・Azure診断をそのような形式で提供し多くの評判が得られており、対応可能な診断対象は随時追加していく予定です。

KENROの提供

また、診断を提供したお客様からは「脆弱性を作り込まないための知識を得たい」「脆弱性を見つけて修正する知識を得たい」との声を伺うことができました。座学を中心としたセキュアコーディング研修を提供することも検討しましたが、実践的に開発者が手を動かして知識を得られなければ効果が薄いと考え、さらにより広くの開発者にも提供できるよう実践型のセキュアコーディング研修サービスであるKENROをリリースしました。

KENROはリリースして半年で多くの反響をいただいており、脆弱性診断を提供したお客様にも好評をいただいています。当社はプロフェッショナルサービスとプロダクトの2軸がありますが、それぞれが個別に動くものではなく、お互いを補完し合う存在としています。

f:id:flattsecurity:20211017170308p:plain

開発者に寄り添うプロフェッショナルサービスを目指して

診断のアップデートやKENROの提供に加え、事業を開発組織向けに再設計を進めます。

目指す方向は1セキュリティベンダの立場を脱して開発者の皆さんと共にあるセキュリティチームの一員となること。開発の現場に効果的なセキュリティ支援を行うサービスの検討を進めています。 プロダクトが開発における普遍的な課題を解決することに対して、プロフェッショナルサービスは開発組織ごとの異なる課題を解決していきます。

終わりに

我々のチームは事業会社のセキュリティエンジニア経験者やプロダクト開発者を中心に、様々な経験と能力を持つメンバーで構成されており、技術力とプロダクトチームとの連携を武器にお客様の課題を解決していきます。ですが、多くの課題を解決するためにはチームの総合力をまだまだ上げなければなりません。 クラウドネイティブな技術スタックに対する脆弱性診断や開発者向けのプロフェッショナルサービスを共に作っていきたい仲間が必要です。

興味のある方は是非当社のコンタクトよりお気軽にご連絡ください。実際にどんな診断をやっているの。というような軽いお話からでも大丈夫です。全職種対象の会社説明会も実施しますので、まずはこちらから弊社のことを詳しく知っていただく形でもいいかもしれません。

f:id:flattsecurity:20211018102821j:plain

会社説明会さんのお申し込みはこちら

また、脆弱性診断の相談会を行っています。これまで診断を実施したことが無いが、いつどのような方法で診断を受ければ良いのか、開発で採用している技術スタックにはどういう診断が最適なのか気軽に相談できる場を用意しています。

相談会はもちろん無料です。以下のURLよりお気軽にご連絡ください。 https://flatt.tech/assessment/online_consulting/

ご応募ご相談お待ちしております。