スタートアップ企業のスピード感あるアジャイル開発には、定期的なセキュリティ診断が不可欠

Autify, Inc.（オーティファイ株式会社）は、米国サンフランシスコに拠点を置き、AIを用いたソフトウェアのテスト自動化プラットフォーム「Autify（オーティファイ）」の開発・販売を行っています。2019年2月に米国トップアクセラレーターの一つであるAlchemist Acceleratorを日本人チームとして初めて卒業し、同年10月には累計で307万米ドル(約3.2億円)を調達した注目のスタートアップ企業です。

2019年10月に公式グローバルローンチした「Autify」のセキュリティ診断を、この度イエラエセキュリティが担当させて頂きました。何故イエラエセキュリティに脆弱性診断を依頼することになったのか、脆弱性診断を経て強化されたセキュリティに対する取り組みや、今後の方針についてまで、CEO、共同創業者の近澤 良様とCTOの松浦 隼人様にお話しを伺いました。

脆弱性診断を受けることで「曇りの無い」品質を担保

近澤：「Autify」はAIを用いたソフトウェアテスト自動化のサービスです。ウェブアプリケーションを対象として、今までは「人」が手作業でやっていたようなテストを自動化することが出来ます。ログインができるか、商品がちゃんと購入できるか、といったような、実際にアプリケーションを操作することによって挙動を担保するというテストですね。これまで、非常にメンテナンスコストが大きいという課題を抱えていたこのテスト工程を、「Autify」 は2つの特徴で解決しています。

1つ目の特徴は、誰でも、コードを書くことなく、簡単にテストを自動化できることです。「Autify」にサインインし、テスト手順を実際に操作すると、その手順を「Autify」が記録して「シナリオ」が出来上がり、テストとして再生できる形にしてくれます。これをワンクリックでマルチデバイス、マルチブラウザで一度に実行することが出来、テストが終わるとSlackに通知がくるシステムです。PCのChromeと、IE11と、スマートフォンiOSとAndroidでテストしたい、ということが簡単に出来るんです。テスト結果は「ここの画面でこのボタンが押せました」「ここに入力できました」等スクリーンショット付きで表示されますので、確認も容易です。

もう1つの特徴は、AIがテストのシナリオのメンテナンスをしてくれることです。アジャイル開発されているサービスですと、画面の仕様やUI、デザイン等の変更というのは頻繁に発生しますよね。そういった場合、通常の方法でのテスト自動化だと、すぐにテストスクリプトが壊れてしまうんです。右上にあったボタンが左上に移動したら「右上にボタンがありません」で普通テストは止まってしまいます。そこで我々はAIを使って、ボタンの移動を認識して、移動した「左上のボタン」をクリックしてテストを継続してくれるようにしています。

2019年3月にβ版をローンチしましたが、当時は機能開発で手一杯でした。ただ、「Autify」はサービス内容的に、品質を担保する製品ですので、セキュリティを始めとした「信頼性」が非常に重要になってくるという認識は早くからありました。オフィシャルローンチしてからは、お客様に大企業様が増えてきたこともあり、脆弱性診断を定期的に受けて、曇りのない状態にする対策ができる組織へ変えていく必要性があると思うようになりました。

驚きのスピード感で出た、攻撃者目線の脆弱性速報

松浦：「脆弱性診断をしよう」という話が出た時に、最初に頭に浮かんだのがイエラエセキュリティさんでした。実は私は、イエラエセキュリティの社長さんと前職の同僚で、向かい側の席で仕事をしていた仲でした。とはいえ、コスト等の観点で他のベンダーさんとも比較させて頂きましたが、結果的にお見積もり内容が最も納得いくものでした。これまで一緒に働いてきた事から仕事ぶりには信頼を置いていましたので、安心して、是非イエラエセキュリティさんにお願いしようということになりました。

診断に際して、開発者の中で最も担保しなければいけないセキュリティ事項と認識していたのは、顧客間の情報が分かれて見えているかというところです。「Autify」上で自動化テストの対象となるウェブサービスというのは、まだ世に出ていないものが多いので、企業秘密に近いものであることが多いんですね。ですから、A社さんのテスト結果がB社さんに見えてしまうというようなこと、あるいは外部に見えてしまうということが致命的になりかねない。そこに関しては、診断では問題が無かったことが分かってホッとしました。

全体では1ヶ月と1週間くらいかけてテストしていただきましたが、非常に早い1週間程度のタイミングで“速報”として「悪意ある攻撃があった場合、サーバ上の情報が見えてしまう」という重要な脆弱性についてご連絡頂きました。そのサーバ上に顧客情報は無かったので、情報漏洩リスクそのものはなかったのですが、「これは攻撃者の立場に立たないと、そもそもこういう所を突こうと思わないな」という内容で、レポートを頂いて私もチームメンバーもその観点に驚き、勉強になりました。開発者目線では、攻撃者の目線で脆弱性を探すというのはなかなか出来ないことですので、やはりこれは専門家に頼んでよかったなと思ったところですね。

またアプリケーションフレームワークの機能に依存することで生じていた脆弱性も「速報」でご指摘頂きました。非常に良くできたフレームワークが世の中には沢山ありますから、それに頼ってしまうところがあったのですが、それではいけないということが可視化されて、非常に学びになりました。一般的なセキュリティの知識としては知っていた脆弱性が実際にレポートが出てきて、ガツンと殴られたような感じがしましたね。この速報だけでも、開発者達の意識が変わったかなと実感しています。最終的に頂いた細かいレポートの脆弱性も含め、今はご指摘頂いた全ての脆弱性を「潰した」状態になっています。

期脆弱性診断を機にセキュリティへの取り組みが活発に

近澤：当社の場合、アジャイル開発を行っていることもあり、早いスピードでどんどん新しい機能が日々追加されていっています。そこで、今後も定期的な診断が必ず必要になってくると思っています。最低でも年2回位はしたいと考えています。最終的にはクォーター毎位でやるのがいいのかもしれません。

松浦：スタートアップ企業の場合、セキュリティ意識よりも機能開発のスピードがどうしても優先されてしまうというところは間違いなくあると思います。素早く機能を追加してお客様に提供しなければ“死んでしまう”というのも、スタートアップの宿命ではあるのですが、今後はバランスを取っていかなければいけないなというのは、改めて感じたところです。

今回、脆弱性診断をしたことで、開発者のセキュリティ意識が向上して「こういうところで問題が起きやすい」という共通認識が出来たことは、非常に良いサイクルとなっています。広い範囲で、脆弱性を起こさないように、少しずつコードのリファクタリングを始めました。また「今は脆弱性ではないが、別の要素が絡むと脆弱性になりうる」「この部分を消しておけば、この機能は脆弱性にはならない」等のアイディアがエンジニアから積極的に出てくるようになりました。これらの取り組みを徐々に進めていきたいと思っています。

また、有り難かったのは、イエラエセキュリティの担当の方から「御社のサービスだと、このあたりの脆弱性診断が足りていないんじゃないですか」と的確にご指摘頂いたことです。今後繰り返し脆弱性診断していく中で、我々がまだ診断できていない部分については、今後もアドバイスを頂ければ嬉しいです。

近澤：今回の診断内容には、非常に満足しています。イエラエセキュリティさんにはこれからも引き続き、“痛いところ”を突いて頂きたいですね。

会社名	Autify, Inc.（オーティファイ株式会社）
事業内容	米国トップアクセラレーターの一つであるAlchemist Acceleratorを、日本人チームとして初めて2019年2月に卒業したスタートアップ。ソフトウェアテスト自動化プラットフォーム「Autify」の開発・販売を行う。コードを書かずに、簡単な操作でテストシナリオを作成し、AIを用いたメンテナンスすることができる、非エンジニアにも使いやすいUIを特徴としている。2019年10月にサービスを公式グローバルローンチ。2020年4月には国内外の導入企業が累計100社を突破した。
URL	https://autify.com/ja/