更新頻度の高いSaaSの脆弱性診断を最小限のコストで実施

脆弱性診断の必要性を感じたきっかけをお教えください

今回、弊社が開発している gusuku というサービスの脆弱性診断をして頂きました。2018年3月にプレビューリリースしたこのサービスは gusuku Customine / gusuku Deploit という2つの異なるサービスの基盤をなす、弊社にとって非常に重要なプラットフォームとなっています。
幸いなことに多くのお客様に受け入れられ、ほぼ毎週のサービスアップデートを実施するなど大きく育っているのですが、「このあたりで一度足元を固める意味で、すべてを見直し現状を確認してみる必要があるのでは？」という意見が社内から出てきました。
日々続くアップデートや、それと並行して進む別の大きなメジャーアップデートを控える中、一旦落ち着いて外部の目で確認してもらおう、というわけです。これが2019年末のことでした。

脆弱性診断について懸念点はありましたか︖

脆弱性診断を受けたのが会社として初めてだったので、「何をどこまで、どのように用意すればいいか？」という部分については、初めは勝手が分からずに心配していました。診断を受けるために特別な工数を割くことは、小さい開発チームにとっては工数上の問題でなかなか難しいことなのです。結果は、このサービスが提供しているAPI一覧をお渡しして、あとはイエラエセキュリティさんに全ておまかせで診断していただくという、弊社側のコストは非常に少ない対応で済みました。これは脆弱性診断を受ける側にとっては、とてもありがたいことでした。新しいアカウントを作成するためのサインアップや、オプションプランの申込みなどもほぼ全て画面上で出来るようにしてありましたので、診断のための特別な対応はせずに済みました。
また、少し心配していたのは、このサービスはアップデートの頻度がとても多いので、「どのバージョンに対して診断してもらうか？」という点をどう考えたらよいか？ということでした。バージョンを固定した診断用の環境を別途作っても良かったのですが、今回はそこまで対応する時間がなかったので、本番環境より少し進んだバージョンのステージング環境をそのまま診断に利用しました。結果的には、診断期間中は基盤サービス側のアップデートは若干しか入りませんでしたので、「これはいつの話をしているんだ？」と言うような混乱は起こらずに済みました。

弊社をご選定いただけた理由をお教えください

イエラエセキュリティの従業員の方と、JAWS-UGというAWSのユーザーコミュニティで、いつもライトニングトークなどで知見や技術力を共有してもらっていましたので、「診断してもらうのであれば、彼の会社が良いだろう」ということで社内の意見はすんなり統一されました。
また、連絡はメールよりもSlack、パスワード付きZIP添付ファイルのやり取りよりもURLで共有、といった文化的な側面も弊社と相性が良く、とても仕事がしやすかったです。

当サービスをご利⽤になられて”効果”はいかがでしたか

一番効果があったのは、APIの整理でした。このサービスには100近くのAPIが定義されているのですが、その中にごく僅かに予約済みのAPIといえるような、型とパラメーターだけ定義してあって未実装、もしくは未使用のようなAPIがありました。指摘によりこれらを見つけ、廃止に出来たのはとてもありがたかったです。また、本来の意味の定義と少しずれたパラメーター設定になっているようなものにも気づきました。APIの設計レビューはもちろん実施しているのですが、どうしても呼び出し側の目線で欲しいAPIと、厳格にAPI定義として見た時の整合性・分かりやすさがずれるケースがある、ということを学習することが出来ました。
また、サービスに対する攻撃とみなせるアクセスがある度に、社内にはアラートが上がるのですが、時々珍しいアラートが上がるとチーム内では「なるほど・・・！」と唸ることがありました。これらの経験を共有して、今後のサービス開発の「最低限気をつけるべき点」というストックが増えたのはとても良かったです。

弊社への今後のご期待･ご要望等がございましたら、お聞かせください

既にイエラエセキュリティさんは一般的なWebアプリだけではなく、色々な分野の脆弱性診断を手がけられていらっしゃるので、とても心強く思っています。「脆弱性診断を受ける」というとやはり若干敷居が高い話になりがちですが、これからもWebアプリ開発会社や、単にWebだけではない開発をしている企業の方々も気軽に脆弱性診断をしていただいて、更に安全にシステムが利用できる社会を作っていただければと願っております。その一端を弊社も担えれば幸いです。