ライフイズテック株式会社様
SREの視点から見た高速開発に組み込むべきセキュリティ対策とは
導入企業紹介
ライフイズテック株式会社は、2011年にスタートした中学生・高校生が参加する国内最大級のIT・プログラミング教育サービス「Life is Tech !(ライフイズテック)」を運営しています。
中学生・高校生向けのプログラミング教育を軸に、中・高・大・社会人に向けた次世代デジタル人材育成を支援し、これまで100万人以上にデジタルを活用したイノベーション教育を届けてきました。現在は、2025年までにイノベーション人材を120万人育てるというビジョンを掲げています。
教育を通じて子どもたちの未来と社会課題へ取り組む企業として、ステークホルダーとともに次世代のための教育変革を推進してまいります。
今回、ライフイズテックレッスンに脆弱性診断ツールSecurify(セキュリファイ)を導入いただいた経緯をSREの柳田 順也(やなぎだ じゅんや)さんに伺いました。
課題と効果
課 題
- アジャイル開発における高頻度なリリースの度に脆弱性診断を行いたい
- リソースをさかずなるべく自動化したい
効 果
- 手厚いサポートでスムーズな導入
- 何度診断を行っても定額なのでストレスフリー
- 検出された脆弱性に対し明確なアクションが分かるレポートにより診断から改修まで余計な工程要らず
――はじめに、御社の事業内容を教えてください。
2010年に創業した弊社は、「中高生ひとり一人の可能性を一人でも多く、最大限伸ばす」をミッションに掲げ、中高生向けのITおよびプログラミング教育サービスを提供しています。代表の水野が高校で物理の講師をしていた経験から、ITやプログラミングに興味を持つ生徒たちに、能力を伸ばせる環境を提供したいという想いで会社を立ち上げました。
もともとは大学のスペースを借りて夏休みや冬休みにキャンプ形式で中高生を集め、プログラミング、フォトショップ、動画制作などのスキルを学んでもらい、最終的に作品を完成させるという取り組みを行っていました。
現在は、中高生向けの IT・プログラミングキャンプ&スクール「Life is Tech ! 」、中学校・高校向けクラウド教材「ライフイズテック レッスン」、学習塾向けの「情報AIドリル」、そして社会人向けのDX研修の5つの事業を展開しています。
その中でも、我々のチームは中学校や高校に向けた情報系のクラウド教材として、Web上でプログラミングやブログサイト制作などの学習を提供しています。自治体や教育委員会を通じて学校に導入され、教育現場で利用されています。また、2025年の大学入学共通テストから「情報」が新たに加わるため、そのニーズにも応える形で学習塾向けのサービスにも携わっています。
――柳田さんご自身はどのような業務を担当していますか?
私の担当領域は、中高生向けの「ライフイズテック レッスン」と塾向けの「情報AIドリル」などのプロダクトで、サービス開発部のインフラ/SREグループに所属しています。
これらのプロダクトのインフラ基盤の運用、特にSRE(Site Reliability Engineer)として、サービスの安定性を確保するための動きや、セキュリティの向上と問題解決などの運用を担当しています。
――セキュリティ対策について、御社ではどのように取り組んでいますか?
以前は、インフラ基盤やWebアプリケーションのセキュリティについて、開発メンバーが一定の配慮をしながら作業していました。しかし、これらのセキュリティに関する具体的なチェックや運用において、十分な整備が行われていた訳ではありません。この課題に対処するため、現在はセキュリティツールとしてSecurifyを導入し、適切に運用していく取り組みを行っています。
――今回、Securifyで診断したWebアプリケーションの概要を教えてください。
「ライフイズテック レッスン」というサービスです。
中学校や高校の先生が生徒用のアカウントを作成し、生徒がWeb上からログインして様々なレッスンを受けることができます。
プログラミングやブログサイト制作、AIレジなど、複数の項目が用意されており、生徒はそれぞれの項目を進んでいくことで学習を深めます。具体的には、カリキュラム内でキャラクターが登場し、生徒へガイドや解説を行いつつ、それに沿って実際にHTMLを入力しWEBページとして完成させていくなど分かりやすい形で学習をサポートしています。
ライフイズテック レッスン最大の特徴は、実際にプログラミングやブログサイト制作、AIレジなどを作りながらプログラミングを学ぶ教材設計であることです。これは、ある意味不正な動きをしても実行できてしまうという面を含んでいることから、セキュリティ担保の必要性を感じていました。
――数ある脆弱性診断ツールの中から、Securifyを導入いただいた経緯を教えてください。
AWSの基盤を使用していたため、Webアプリケーション以外の部分ではAWSが提供するセキュリティ対策のサービスを活用し、インフラやミドルウェアのパッケージには適切なツールやサービスを導入していました。
しかし、WebアプリケーションにはAWS側において適したサービスがなく、自前でオープンソースの脆弱性診断ツールを導入することを考えたこともありました。ただ、その際にシナリオの作成や脆弱性対策における知識や経験が必要だったため、よりカジュアルで簡単に試せる方法を模索していました。
――脆弱性診断を探す際に重要視していたのはどのような点ですか?
- アジャイル開発でのリリース毎に診断する度コストが増幅しないもの
- シナリオを都度作成する手間を省略できるより簡単なもの
弊社はリリースのタイミングが非常に多く、その頻度に対応できることが条件でした。
また、複雑な操作や機能でないと検出できない場合、リソース的な制約や運用上の課題が生じやすく、最終的にはシステムが破綻しかねないという懸念がありました。
そのため、簡単で効果的な検出方法を求めていました。
――その中で、導入を決断いただいた理由は何ですか?
上記の条件を満たしていたことに加え、操作感の簡単さとレポートの部分も大変分かりやすく、感動しました。
同時に比較検討していた他社製品は、検出された項目は提示されるものの、それが具体的にどの脆弱性に関連しているのかや、一般的な対応方法が不足しており、結局自分でもう一度調べる手間が発生しそうだなと不安視していたんです。
その点、Securifyは非常に分かりやすく、検出された脆弱性の詳細や、それらに対する具体的な対応方法がレポートとして明確に認識できるのが良いなと思いました。この部分がないと、正直、セキュリティツールの実行担当者にずっと質問が来て、対処方法を解説するという未来が想像できました。診断から改修までのサイクルも余計なコミュニケーションはなるべく省き、自動的に行っていきたいという希望がありましたね。
――導入までの流れは如何でしたか?
実は一昨年に一度お声がけさせていただき、トライアルを行ったんです。しかし、我々の使っているシステムの都合上、認証周りでつまづいてしまい見送らせていただきました。
その際、遂行はできなかったのですが、スリーシェイクさんのエンジニアの方も親身にサポートいただき導入に向けて動いてくれたのが印象的でした。
結果的に導入を決めた理由の一つとしてもサポートの手厚さがあげられると思います。
セキュリティに対し知識不足な点を補っていただいた部分がたくさんあったので、当初は認証がうまくいかず余計に残念だなと思っていたんです。
ところが、去年の夏頃に熱心な営業さんから「アップデートしたのでぜひもう一度使ってみてほしい」と連絡をいただきまして(笑)。まだ他ツールを検討している状態だったため再度トライアルを行ったところ、以前問題になった部分は解消されており診断を行えるようになりました。
Securifyもリリース頻度が高く機能追加などが目まぐるしいとは聞いていましたが、こんなに早く対応していただけるとは思っていなかったので、ありがたかったです。
――実際に導入してみて、Securifyの使い勝手はいかがですか?感想を教えてください。
実際に診断を行い、検出された結果をチームで精査しました。
想定より悪い結果ではなかったのですが、検出されているものについては攻撃リスクとサービスへの影響を踏まえて対策を検討しています。
その後としてはリリースの度にスケジュールを組んで診断を回し、脆弱性が検知された場合はレポートを改修担当者へ接続しそのまま修正まで完了するというイメージで使用していきたいです。
また、API連携の機能も最近追加されたと伺ったので、開発環境内のCI/CDでデプロイ後に自動でAPIにより診断を行えれば、いちいち実行する手間もなくなりますし自動化できる部分は行っていきたいと思っています。
――ありがとうございます。お使いいただき、また感想を教えてください。Securifyの導入により、どのような効果を得られましたか?
診断後のレポートの精査を行い、今回の導入により検出された脆弱性に大きな問題がなかったことは、一つの安心材料になりました。
今後の開発や機能追加に伴い問題が発生する可能性はありますが、運用方法を決めながら対応できる体制を整えていきます。見つかった問題に対しては適切に対処でき、人間の目で見逃された場合でも検知できる点が良かったと考えています。今後も引き続き、ツールを有効に活用していきたいと思います。
――ぜひ、お願いいたします。柳田さん、本日はありがとうございました!
導入0円、ワンストップで実現するセキュリティ対策「Securify」
ライフイズテック株式会社は、2011年にスタートした中学生・高校生が参加する国内最大級のIT教育プログラム「Life is Tech !(ライフイズテック)」を運営しています。 中学生・高校生向けのプログラミング教育を軸に、中・高・大・社会人に向けた次世代デジタル人材育成を支援し、これまで100万人以上にデジタルを活用したイノベーション教育を届けてきました。現在は、イノベーション人材を120万人育てるというビジョンを掲げています。