「攻め」の開発と「守り」のセキュリティ。
両輪で顧客の期待に応えていく

導入企業紹介

株式会社Azoopは、物流・運送業界向けのプラットフォーム「トラッカーズ」を運営するスタートアップ企業です。「物流・運送経営を、スマートに。」を標榜し、商用車の売買・運送業務の効率化・ドライバーの採用支援など、様々な側面から物流・運送事業者が抱える経営課題の解決を支援しています。

事業の成長と取引先の拡大に伴い、求められるセキュリティレベルが高まる中、自動脆弱性診断ツール「Securify」を導入。毎日の脆弱性診断によりセキュリティを確保し、プロダクト開発に集中できる環境が整いました。

Securifyを導入した感想や今後の取り組みなどについて、株式会社Azoop 開発責任者／CTOの庄司 賢太（しょうじ けんた）さんにお話を伺いました。

課題と効果

課　題

• 事業が成長し取引先の数・規模が拡大する中、求められるセキュリティレベルが高まっていた。手動の診断はコスト負担が大きく、自動の診断は存在自体を知らなかったため、「脆弱性診断の必要性は認識しているが実施できない」状況が続いていた。

効　果

• 脆弱性診断が毎日・自動で行われるため、安心してプロダクト開発に集中できるようになった。
• 定期的に診断していることを対外的に示せるようになり、自社プロダクトの信頼性が向上した。

――はじめに、御社の事業内容を教えてください。

当社は2017年に設立されたスタートアップ企業です。創業当初は中古トラックを売買する事業からスタートしましたが、現在は売買だけではなく、物流・運送事業者の経営課題解決やDXを支援するインフラづくりに取り組んでいます。

主に２つの事業を展開しています。まず、商用車のオンライン売買プラットフォーム「トラッカーズオークション」。そして、運送業務支援サービス「トラッカーズマネージャー」。両事業を合わせて利用社数は1600を超え、経営者、配車担当者、事務員など物流・運送会社で働く皆様に幅広くご利用いただいています。

――庄司さんご自身はどのような業務を担当していますか？

CTOとして開発組織のマネジメントを担当しています。AIなど先端技術の活用方法を考え、そのプロトタイプを作るといったことも行っています。

――セキュリティ対策について、御社ではどのように取り組んでいますか？

セキュアコーディングに取り組んでいます。コードレビューを行い、フレームワークに則って記述しているか、脆弱性が生じていないかをチェックしています。

また、当社ではGitHubを使っており、セキュリティの機能であるGitHub Dependabotを活用しています。ライブラリの脆弱性が自動で検知されるので、緊急度の高いものがあればすぐに対応することにしています。

外部からの攻撃に対しては、WAF（Web Application Firewall）を導入して検知・防御できるよう対策を講じています。

――このたび「トラッカーズマネージャー」に自動脆弱性診断ツール「Securify」を導入いただきました。導入前に、どのようなセキュリティ上の課題がありましたか？

トラッカーズマネージャーは、運送業務に必要な各種情報を集約してクラウド上で一元管理できるSaaS型のサービスです。扱う情報の中にはドライバーさんの個人情報も含まれます。

最近では、数千台規模のトラックを保有するいわゆるエンタープライズ企業との商談や契約が増え、求められるセキュリティのレベルが高まっています。

以前から脆弱性診断の必要性は認識していましたが、プロダクトの開発を優先していました。単純に自分自身の知識不足もありましたね。Securifyのような自動で脆弱性診断をしてくれるサービスの存在を知らなくて。

人の手による手動の脆弱性診断は知っていましたが、費用的にも時間的にも難しい状況でした。「診断を実施しなければいけないけど、いつやろう」と悩んでいました。

――Securifyを導入した経緯・理由を教えてください。

社内の別の者がスリーシェイク主催のオンラインセミナーに参加し、そこでSecurifyを知りました。自動でもある程度の診断ができること、手動診断より低コストなことに魅力を感じ、ちょっと触ってみようかなと。しばらく無料トライアルで試した後、正式な契約に移行しました。

海外製品も比較・検討しましたが、英語でのやり取りや問題が生じた時のサポート内容に懸念がありました。

これに対し、Securifyは国内で提供されているサービスのため、まず言語の心配がありません。加えて、運営会社のスリーシェイクはSRE支援に強い技術力がある会社です。

我々はセキュリティの知識が豊富なわけではないので、「何かあった時に相談しやすいサービスを利用したい」と考え、Securifyを選びました。

――実際に導入してみて、Securifyの使い勝手はいかがですか？

スムーズに導入できました。初期設定としてログインに必要なJavaScriptファイルを作る必要がありますが、大部分をサポートの担当者が対応してくれたので、こちらの負担はほとんどなかったですね。

現在はドキュメントがしっかり用意されていますが、当社がトライアルした当時はあまりなくて……。「これ、ちょっと分からないです」と気軽に質問したら、そのまま対応してくれました。いつもレスポンスが早く、サポート体制が充実していると感じます。

診断結果のレポートは、一覧性という意味でとても分かりやすいです。スコアも表示されるので重要度が一目で分かります。

一方で、脆弱性が本当に出ているのかを再現するためのヒントがやや少ないなと思います。たまに困ることがあるのが正直なところですね。再現で困った時はスリーシェイクに問い合わせれば速やかに教えてもらえますが、より分かりやすく改善してもらえたらありがたいです。

――貴重なご意見をありがとうございます。より使いやすいサービスを目指して改善を続けていきます。

――御社では誰が・どのようにSecurifyを利用していますか？

基本的には私が一人で診断の設定や操作をしています。

毎日定期的に診断を行い、自動で上がってくる情報をSlackでチェックしています。アラートが出たらその内容を見て、必要があれば対応する形で運用しています。

――Securifyによる自動診断の結果、脆弱性は見つかりましたか？

これまでに一度だけ検出されましたが、担当エンジニアを決めて速やかに対応しました。原因はJavaScriptライブラリのjQueryをアップデートしていなかったことです。アップデートの必要性は分かっていましたが、後回しになっていました。

もともと利用しているGitHubのDependabotでも大小を含めた脆弱性のようなものが検出されますが、Securifyはただ検出されるだけではなく、重要度が段階付けで表示される点が良いなと思います。「重要度が高いものだからやろう」という動機づけになりました。

――Securifyの導入により、どのような効果を得られましたか？

主に２つの効果を感じています。

一つ目は、開発に集中しやすくなったこと。機械的とはいえ、社内のシステムを常に誰かが見てくれるので、すごく安心感があります。脆弱性の検知はSecurifyに任せて、我々はプロダクト開発に集中して取り組めるようになりました。

二つ目は、脆弱性診断の実施を対外的に説明できること。取引先が拡大する中で、セキュリティ対策について問われる機会が増えてきました。Securifyは経済産業省の情報セキュリティサービス基準に適合しているサービスなので、自信を持って回答できます。「信頼できるサービスを使って脆弱性診断を実施している」と対外的に示せるようになったことは、導入した大きなメリットだと感じています。

――セキュリティに関する今後の取り組みについてお聞かせください。

当社は将来的に上場を視野に入れており、今後はサービスの信頼性を上げることがより重要になります。プロダクト開発や顧客獲得といった「攻め」の部分はもちろんですが、「守り」の部分も両輪で動かせるように、これから会社として変化する必要があります。監査や内部統制などの体制づくりや必要な人材の確保について、今まさに検討しているところです。プライバシーマークやISMS認証もタイミングを見て取得したいと考えています。

脆弱性診断については、Securifyの自動診断に加えて、手動の脆弱性診断も受けたいと思っています。やはり自動診断だけでは網羅できない脆弱性もあると思うので。

スリーシェイクは手動の脆弱性診断サービスも提供していますよね。既にSecurifyを通して当社の状況を理解しているので、手動の診断もスリーシェイクにお任せできたら一番良いのですが。他社とは一線を画す、深い脆弱性診断をやってもらえたらありがたいですね。

――ぜひ、手動の脆弱性診断も当社にお任せいただけたら幸いです。まずはお気軽にご相談ください！

――最後に、スリーシェイクやSecurifyに今後期待することがあればお聞かせください。

基本的に、サービスの体験はとても良いと思います。ときどき当社のシステムとは関係のない事項が誤検知されていたのですが、既に対応いただいて、現在は問題なく診断できています。現状でも投資に対する効果は十分に得られていますが、自動診断の精度が更に向上することを期待しています。

written by 三谷 恵里佳

自動脆弱性診断サービス「Securify」に関するお問い合わせ

サービス詳細や料金についてのご質問・ご相談などお気軽にお問い合わせください