専門家によるセキュリティ診断が開発者への開発ナレッジ蓄積に貢献

「経営リスクと戦う法務プロフェッショナルに、パートナーとなる“AI”を」という方針のもと、専門性が高くコストや手間のかかる契約書のリスクチェックを、法務に特化した人工知能をサポーターとして自動化するサービスを展開する（株）LegalForce。わずか1秒で不利な条文や欠落条項を指摘するこのリーガルテックサービスは、昨年から今年にかけてシリーズAラウンドで5億円を調達するなど、注目を浴びる存在です。

イエラエセキュリティでは、β版の段階から数回にわたってプロダクトのセキュリティ診断を担当させていただきました。今回は取締役CTOである時武様より、リーガルテック企業ならではのセキュリティ対策の必要性と、当社のセキュリティ診断とのマッチング、更に今後の方針についてもお話を伺いました。

リーガルテック企業に期待されるセキュリティ対策の強化

弊社のサービスはリーガル系ということで、扱う情報が非常にセンシティブな上、お客様に大企業が多いこともあり、サービスのセキュリティ対策に関しては厳しい目でチェックされる環境にあります。現在は約100社のお客様に利用していただいておりますが、リリース前にはセキュリティにきちんと力をいれていることを契約社様方に対して可視化しなければならないと感じていました。

また昨今は、セキュリティインシデントのニュースをよく目にするようになりました。どういう攻撃が、どういう経路で、どのような組み合わせで行われているのかは、ニュースを見ていればだいたい予測はつきます。しかし、それが分かっても、いざ自分の開発システムにおいて、どう対応すれば攻撃が防げるのか、どのようなコードを書くと脆弱性になるのかということまでは逐一確認するのは難しいことです。自分たちでできる限りの対策はしてきましたが、教科書的な知識だけでは限界があり、専門家に頼むべきだと考えていました。

わたしの前職では社内に診断チームがあり、リリース前や大規模改修時には必ずセキュリティ診断を依頼する文化があったこともありましたので、リリース前のセキュリティ診断そのものは「当然やるべきこと」の一つだと捉えていました。ただ、現在の社内チームではリソース不足でしたので、外部にお願いしようと考え、何社かにお見積もりをお願いしました。

その中で、最も丁寧にご対応頂けたのがイエラエセキュリティさんでした。レスポンスが良かったことはもちろんですが、すぐにオフィスに来ていただき、会社の紹介や、強みなどもご説明いただいたことで、安心してお願いすることができそうだなと思いました。特に初回リリース時は、ウェブアプリケーションの要とも言うべき認証まわりを「ちゃんとできている」という確認がしたかったのですが、診断内容についても気軽に相談させて頂くことができました。

エンジニア同士の密接なコミュ二ケーションによる、スピーディな対応

弊社のサービスは2017年の秋から開発をはじめ、2018年の春にクローズドβ版を、最終的にオープンβ版として8月に世の中へリリースしました。ただし、開発は一本道ではありませんでした。最初の構想を形にしてみて、「違うな」となったら方針から考え直し、毎回軌道修正しながらの開発で、開発期間もリリース目標に対してパツパツでした。（参考記事「LegalForceが未来を変える　AI時代に目指すべきリーガル・スペシャリスト像とは？」）。

そんな状況の中、イエラエさんにウェブアプリケーション診断をお願いしたのですが、外注であるにも関わらず、大掛かりな準備期間も必要というわけでもなく、大変スピーディに対応していただきました。診断期間的にも、前職で内部チームに頼んでいたのと遜色ない速度で、もっと時間がかかると思っていましたので、とても助かりました。

診断期間中は、Slackチャット上でイエラエさんの診断チームと開発エンジニアが直接コミュニケーションすることができたので、スムーズに状況を共有することができましたし、質問や対応依頼もしやすかったですね。開発スピードが落ちないレスポンスの早さは、全体を通して非常にありがたかった点の一つです。

初回に認証ロジックの診断結果を頂いたあと、修正や追加を行い再度診断をしていただきました。すぐにはクリティカルでないものの、なるべく直した方がいい点や、ただ開発しているだけでは見逃しがちな点など細かくご指摘をいただきました。教科書的なところはもちろんですが、応用編というようなところも多数ご指摘いただいたので、やはり専門家に見ていただいてよかったと実感しました。

またこのセキュリティ診断をしたことが、社内開発者にとってはナレッジの蓄積になり、非常に勉強になったことも、診断を受けて良かったことの一つです。今後も開発する時には、折に触れてご指摘を思い出すことが多いと思います。

システム開発には定期的なセキュリティ診断が必須

セキュリティ診断は、今後もエンドポイント追加した時や大規模な改修をしたときに、定期的な診断をお願いしたいと考えています。歯医者さんに数ヶ月に1回、定期検診に行くようなイメージです。自分も気づかないうちに虫歯が進行していたりすることってあると思うんですが、システム開発でも同じようなことが起きうると考えています。3ヶ月前は大丈夫だったコードが、つい最近リリースしたコードと組み合わさって脆弱性になるということは、十分ありえるシナリオです。

今までイエラエさんには、URLやエンドポイントを渡してブラックボックス診断をして頂いてきました。今はお客様も増えてきて更なるセキュリティ強化が求められているので、近いうちにネットワーク診断などもお願いしたいと考えています。Slackで気楽にセキュリティについて質問できる環境は開発者にとってとても有益でしたので、今後は、内部のロジックを共有して開発者とフリーディスカッションや、アドバイスをスポットで頂くようなことができるようになったら嬉しいです。

会社名	株式会社LegalForce
事業内容	現役弁護士2人により2017年に設立。法務業務をテクノロジーで支えるパートナーとして、契約書レビューの精度を高めつつ、業務負荷を軽減するための支援ソフトウェアを開発。AIによる契約書の自動リスク検出を軸として、社内に蓄積された過去のナレッジから修正の参考となる条文例を瞬時にリサーチする機能等を組み合わせるなど、核心部分のレビューに集中できる環境を実現すべく開発を行っている。
URL	https://legalforce-cloud.com/