スタートアップの挑戦! 『セキュリティSaaSプロダクト』を通じて実現したい未来とは
こんにちは!スリーシェイク広報担当の徳山です!
スリーシェイクは技術支援サービスを主な事業として展開してきましたが、2022年に新たに自動脆弱性診断ツール「Securify(セキュリファイ)」の提供を開始します。
この記事では、セキュリティサービス立ち上げの背景、そのプロセスにおいてチームメンバーが直面した課題、そして「Securify」が実現したいセキュリティの未来について、掘り下げていきます。
スリーシェイク代表の吉田、事業部長の手塚、セキュリティサービス立ち上げのきっかけとなったセキュリティエンジニアのなめかわ(仮名)、さらに、
プロダクトマネージャーの鈴木にインタビューを行いました。
実際に必要とされる価値あるセキュリティプロダクトとは何か、そしてそれを世に送り出すための新たな挑戦についても明らかにしていきます!
---------------------------------------------
話を聞いている人
・広報担当 徳山
話を聞かれている人
・代表取締役社長 吉田
・事業部長 手塚
・プロダクトマネージャー 鈴木
・セキュリティエンジニア なめかわ(仮名)
---------------------------------------------
お客様の声が生んだセキュリティサービス
徳山:まず、セキュリティサービス立ち上げに至ったきっかけはありますか?
吉田:スリーシェイクの主要事業であるSRE特化型技術支援サービスを提供しているお客様から、セキュリティの診断もお願いしたいという要望があったのがきっかけですね。
「セキュリティを別の企業に依頼しているけれど、セキュリティベンダーのクラウドに関する知識が足りない。どうすればいいのだろう?」という相談を受けたんです。
そこで、偶然ご縁のあったセキュリティエンジニアと、本格的なセキュリティ診断を提供していったのが始まりです。
徳山:お客様は、なぜスリーシェイクに依頼されたのでしょうか?
吉田:SRE技術支援は、サービスのコードを書いてるぐらいそのサービスを理解していて、サービスの背後にある仕組みを熟知しているので、その延長でセキュリティのチェックをすることで、より詳細で深いレベルの、セキュリティチェックができるんですよ。
徳山:そのセキュリティ診断からセキュリティプロダクト立ち上げに至ったんですよね?
吉田:はい、そうなんです。
セキュリティエンジニアが極めて少ない現状の中で、人的な手法に依存しているセキュリティ診断をスケールアウトして、より多くの人に利益をもたらすかたちでプロダクト化したいという考えがあったんです。
その頃、セキュリティエンジニアのなめかわさんも入社されて、半年間ほど、どういうプロダクトにしていくか徐々に具体化していき、最終的にプロダクトを立ち上げました。
セキュリティエンジニアの加入、そして「Securify」立ち上げへ
徳山:なめかわさんは、どのような経緯で入社されたのですか?
なめかわ:もともとは前職の同僚の紹介で、スリーシェイクで業務委託としてセキュリティ診断の仕事を受けていました。
その半年から1年後ぐらいに、吉田さんから正社員にならないかというお話をいただきました。
徳山:セキュリティエンジニアとして多くの選択肢がある中で、なぜ、当時20〜30名規模のスタートアップであるスリーシェイクを選んだのですか?
なめかわ:在籍した3社では自社サービスの診断を行ってきたので、新しい挑戦をしたいと思っていました。
それ以外にも、いくつかの要素があるんですが、決断した一番のきっかけとしては、何より吉田さんの話が面白かったというのが大きかったですね。
吉田さんと話していなかったら、入社はしていなかったです。
吉田:あはははは!スリーシェイクが実現したい未来について熱く話しましたね!笑
セキュリティ領域のプロフェッショナルって、 世の中にほとんどいないんですね。
せっかくご縁があるなら、スケーラビリティの高い仕組みを作っていきたいという思いもあったので、そういうお話もしつつ、お誘いさせていただきました。
徳山:ちなみに、セキュリティの面白みってどういう部分なのでしょうか?
なめかわ:多くのセキュリティエンジニアが言っていることなのですが、セキュリティにはパズルとかゲームのような面白さがあるんですね。
攻撃者の思考を追いかけて、複雑な攻撃手法を解いていくことに知的好奇心が刺激されるんだと思います。
徳山:攻撃手法を解明するプロセスには、独特な魅力があるんですね...!
続いて、自動脆弱性診断ツール「Securify」立ち上げの背景についても聞いていきたいと思います。
まず、、DAST(*アプリケーションのセキュリティ テストを動的に行う)製品でいこうと決めたきっかけはありますか?
吉田:まず、僕らが価値を提供している脆弱性診断をそのままプロダクトにできないかというのが原点で、脆弱性のあるアプリケーションを僕らの手でなくしていこうというのがテーマでした。
あとは、技術支援をしていく中で、オープンソースやセキュリティチェックツール、クラウドのツールに精通していたので、市場の動向やニーズ、ギャップが識別できたんですよね。
その中でDASTの領域は、人的な手法に依存していて、十分な既存ツールがなくて、まだまだブルーオーシャンという点で、方針を決定しました。
ベータ版リリースまでの試練
徳山:2021年12月にSecurifyのベータ版をリリースしますが、リリースまでの苦労はありましたか?
手塚:本来は8月に「Securify」ベータ版のリリース予定でしたが、リリース判定をしたところ出せるレベルではなかったので、NGを出しました。
吉田:当時みんなの意識としては「世の中に出す!」というのが最優先事項だったんですよね。
ここでちゃんとストップがかかったことで、ここから、犠牲にしていた機能開発も含めてユーザー体験を上げる開発に注力しましょうとなっていきましたね。
手塚:鈴木さんと話をして、改めて原点に立ち返って、要件の整理とそこにフィットしたテストケースを起こすこと(V字モデルの開発)をしたんですよ。
見直した結果、テストケースがかなり不足していて、 そもそも要件も曖昧なものが多かったので、それを整理していってもらいました。
徳山:整理されていく過程での苦労はありましたか?
鈴木:もう大変なことしかなかったです(苦笑)
当時は、経緯やドキュメントがほとんどなく、開発された機能の背景や仕様が完全にブラックボックスだったので、エンジニアに一つ一つ細かくヒアリングを重ねて、テストケースを作成していきました。
その中で想定されるユースケースをベースにシナリオを実施して、ユーザが使える品質まで持っていく計画をしました
それを元にテストを実施して、見つかったバグをスプレッドシート上のバグ管理表にチケットとして登録していき、一つずつ確認して完了していきました。
徳山:想像していたより、はるかに地道な作業ですね...。
鈴木:そうですね。
泥臭い作業ですが、一つ一つ地道にやっていきました。
徳山:ベータ版リリースのタイミングはどのように決定されましたか?
鈴木:見つかった多数のバグに一つ一つ優先度を割り振っていたんですね。
例えば、クリティカルな問題は即座に対処する必要があるので優先度は「高」、一方で、表記の揺れなどユーザー体験に大きな影響を与えない問題に関してはリリース後の対応でも問題ないため、優先度「低」と設定しました。
優先度が「高」と「中」のバグをすべて解決した時点で、バグの品質が落ち着いたと見なして、改めてリリースチェックの実施を依頼しました。
徳山:当初の8月リリース予定から4カ月間の期間を経て、2021年12月...ついにベータ版がリリースされるんですね!
手塚:そうですね。
やっとのベータ版リリースでしたね(笑)
その後、2022年7月には導入企業数が100社を突破して、新機能として追加した「アクティビティのコメント機能」の実装を機に正式版として提供を開始しました。
▼正式リリース時のプレスリリース
私たちの目指すセキュリティとは
徳山:最後に、自動脆弱性診断ツール「Securify」に関する理想の未来像や今後の方向性について、お聞かせください。
なめかわ:現在、市場のツールでは、現実のWebアプリケーションに潜んでいる脆弱性を見つけるために必要な特殊な攻撃コードやデータの使い方を十分にカバーしていないことが多いです。現実のWebアプリケーションに存在する複雑で高度な脆弱性までカバーできるツールは、私が調べた限りでは市場には存在しなかったので、「Securify」ではそこを目指したいと考えています。
鈴木:僕は、Securifyを使うことでユーザーがより積極的に自身のセキュリティを管理して、改善策を講じることができるようになることを理想としています。
今後、さまざまなシリーズを追加して、Securifyを一つの包括的なセキュリティソリューションとして提供していきたいですね。
Securifyを導入しておけば、そのセキュリティ領域に関しては網羅的にできるような状態を目指したいです。
手塚:少し未来の話になりますが、企業の中で起きる可能性のあるセキュリティリスクの、優先順位を洗い出し、常に的確な対処ができるような製品を提供したいと思います。
セキュリティ対策全般に言えますが、その企業にとっての一番のリスクが何なのかが分かりにくいというところが課題だと感じています。
当然、企業内で抱えている資産は様々なレイヤーがあります。
その中で率直に「自社の中でセキュリティリスクが今1番高いものって何?」と問われた時に、明確な回答を返せるセキュリティ担当者は非常に少ないと思います。
こういった状況自体がセキュリティ対策における大きな課題ではないかなと感じています。
私自身、定期的に発生するCVE(共通脆弱性識別子)への対応やCIS Benchmark(情報システムを安全に構築・維持管理するためのベストプラクティスをまとめたガイドライン)に準拠するためのOSの設定など、低レイヤーから何となくウイルス対策ソフトを入れるみたいなところまでインフラエンジニアとして様々なセキュリティ対策を行ってきました。
1人のエンジニアとしては目の前で起きたことに対応してきましたが、どういう目的を持ってどのレイヤーのどういうセキュリティリスクを抑えられて、それによってどういった効果を得ることができたのか?という視点ではほとんど意識していませんでした。
これまで様々な現場を見てきましたが、目の前に出てきたものに対処するだけ、緊急度が高いものが出てきたから対応するだけのようなケースが多いように感じます。
こういった状況だと、企業の経営者や管理職から見た時に、セキュリティ対策における費用対効果も明確ではないですし、戦略的なセキュリティ投資も難しくなります。
企業の中で起きる可能性のあるセキュリティリスクは何なのか。そのリスクに対しての優先順位と価値を明確にして、最も重要なリスクから適切に対処できるような、そういった活動ができるような本質的なサービスを提供したいと考えています。
吉田:なめかわさん、鈴木さん、手塚さんからもあったように、実際の脆弱性と市場のツールには大きなギャップがあります。
本質的に今の時代にそぐわないセキュリティプロダクトがあふれていると感じていて、また、それらを導入してセキュリティ対策を完了されているケースが多くあるんですね。
スリーシェイクでは、実際に必要とされる価値のあるセキュリティプロダクトを提供し続けることを目標にしています。
クラウドが発達して日々変わっていく中で、今のクラウドネイティブ時代にマッチしたフルラインアップのセキュリティプロダクトを作っていきたいですね。
セキュリティ体験を改善して、企業の規模に関わらず手が届くソリューションを提供することで、全ての人、企業がセキュリティ対策を講じられるような環境を作り出すことが、僕らの社会的意義とモチベーションであると考えています。
おわりに
この度のインタビューでは、スリーシェイクのセキュリティ領域での新たな一歩、「Securify」の提供開始に至るまでのストーリーをお届けしました。
始まりはお客様の一声からでしたが、その一声が私たちの大きな挑戦へと変わりました。
セキュリティの世界は日々進化しており、それに伴う新たな課題も現れますが、今後もスリーシェイクは「Securify」を通じて、技術の力で立ち向かいセキュリティ業界の発展に寄与できるよう挑戦していきます!
自動脆弱性診断ツール「Securify(セキュリファイ)」の今後の動向にご期待ください!
最後まで読んでいただきありがとうございました。
スリーシェイクでは一緒に働く仲間も募集しておりますので、ご興味があればぜひご応募ください。