適切な進捗管理で数千リクエストの大規模診断を実施

適切な進捗管理で数千リクエストの大規模診断を実施
freee株式会社
freee株式会社
PSIRT 藤岡 祐 様
PSIRT 越智 郁 様

「スモールビジネスを、世界の主役に。」というミッションを掲げ、統合型経営プラットフォームサービスを提供しているfreee株式会社。今回はM&Aで新たに加わったプロダクト群に対する大規模な脆弱性診断についてご依頼をいただきました。選定のポイントや実施時に気を付けたポイントなどについてお話を伺いました。

M&Aで新たに加わるプロダクト群に
対するセキュリティ対応

スモールビジネスの労働生産性を変えるプラットフォームを構築する手段として、M&Aにより当社にない新たなプロダクトを拡充することは、有力な経営アクションの一つです。

M&Aを行う各プロダクトは、それぞれ事業フェーズが異なり、セキュリティに対する考え方や文化が異なります。セキュリティチームとしては、既存のプロダクトとスムーズな事業連携が行えるよう、状況に合わせてセキュリティ要件を構築し、優先度を関連部署と話し合いながら対応を進めています。

ビジネス上、短期間での事業連携が求められることも多々ありますが、中でも最低限外せないポイントとして、第三者によるセキュリティ診断を定めています。

数千リクエスト単位のAPIを診断

今回、M&Aで加わったプロダクトに対し包括的に脆弱性診断を行い、発見された脆弱性に対する修正対応を行うことをM&Aのセキュリティ要件としました。ビジネス上の要件を考えると、タイトなスケジュールで大規模な診断を完了させる必要がありました。一方、プロダクトごとに診断可能な時期が異なり、事前の詳細な診断可能時期の提示も難しい状況でした。

こうした状況でも遅延なく診断を行い、かつ、品質も担保できるセキュリティベンダーを見つけられるかが最初の懸念点でした。また、指摘される脆弱性の数も膨大なものになった場合、我々 PSIRT が全てトリアージをすることは物量的に難しいということを懸念していました。

大規模な診断を1社で完結
レポートの品質からイエラエを選定

したがって、1社ですべての診断を受けてほしいと考えていました。加えて、スケジュール面だけではなく、問い合わせ時にいただいた報告書例にて、内容が分かりやすく、項目が充実していたことも選定理由の一つです。

freeeでは開発チームが自走してセキュリティを担保していくチームづくりをすすめています。

セキュリティベンダーの報告書の中には、内容がセキュリティ担当向けであり、開発者に伝わりづらい報告書もあります。イエラエ社の報告書は、再現手順や脆弱性の影響、対策方法について、開発者が読んでも納得できるわかりやすい記述となっています。皆でセキュリティを担保していくという理想のチーム作りを行う上でも、イエラエ社のセキュリティ診断が適していると感じました。

進捗管理と柔軟な対応で
期日通りに大規模案件を完了

大規模な案件を進めるにあたり、定期的なミーティングで進捗状況や課題を共有していただき、大変助かりました。また、freee側の都合で環境準備やコードフィックスに時間をいただくことも少なくありませんでしたが、柔軟に対処していただき感謝しております。

再診断も実施していただきましたが、修正によって派生した別の脆弱性などをしっかりと検出していただき、実施期間中のコミュニケーション、そして脆弱性診断の品質共に、非常に満足しています。

またプロジェクトの終盤に、当初の見積もりより診断対象APIが少ないことが判明した際に、余ったチケットの有効活用として、さまざまなサービスをご提案いただけたこともありがたかったです。

当初はスコープ外だったペネトレーションテストを実施することで、さらに踏み込んだ検証をしていただき、当初期待していた以上の結果を得ることができました。

開発者たちとともに
より良いセキュリティ文化を育てていきたい

M&Aにおいてはさまざまな背景を持ったプロダクトがあり、その中でfreeeが学ぶことも多くあります。

良いところは積極的に取り入れ、さまざまな背景を持つ開発者たちとともにfreeeのセキュリティ文化をより良い形に育てていきたいと考えています。

今後もお力を貸していただけますと幸いです。

会社名freee株式会社
事業内容freeeは「スモールビジネスを、世界の主役に。」をミッションに掲げ、統合型経営プラットフォームを開発・提供し、だれもが自由に自然体で経営できる環境をつくっていきます。
URLhttps://corp.freee.co.jp/
自社に最適なサービスが分かる!
セキュリティ診断/対策
サービスご紹介資料
当社のサービスや製品に関するご紹介資料を
ダウンロードいただけます。
経験豊富なエンジニアが
セキュリティの不安を解消します

Webサービスやアプリにおけるセキュリティ上の問題点を解消し、
収益の最大化を実現する相談役としてぜひお気軽にご連絡ください。

疑問点やお見積もり依頼はこちらから

お見積もり・お問い合わせ

セキュリティ診断サービスについてのご紹介

資料ダウンロード