note株式会社様
【note株式会社】脆弱性診断により得られた知見を、次なる開発に活かしていく
メディアプラットフォーム「note」とコンテンツ配信サイト「cakes」を運営している、note株式会社。“だれもが創作をはじめ、続けられるようにする”をミッションに掲げ、表現と創作の仕組みづくりをしています。
この度、Sreake Securityの脆弱性診断サービス(ベーシック診断)をご利用いただきました。診断を受けた感想や今後の展望などについて、note株式会社 CTOの今 雄一様にお話を伺いました。
――はじめに、御社の事業内容を教えてください。
当社は2011年に設立されました。現在の社名でもある「note」は、文章、画像、音声、動画を投稿して、誰でも自由にコンテンツの作成・発表ができるサービスです。クリエイター(注:noteでのすべての利用者の総称)は、自分が投稿した内容を有料で販売することもできます。
――今さんご自身は、どのような役割を担っていますか?
2013年に入社して「note」の立上げに携わり、2016年にCTO(最高技術責任者)に就任しました。現在は、エンジニアのマネジメントをはじめ、開発系全般に幅広く携わっています。
――このたび、「note」のWebサイトについて、Sreake Securityをご利用いただきました。外部の脆弱性診断を受けることにした理由をお聞かせください。
もともと、コードの確認や簡易な検知ツールの使用など、セキュリティに関する点検は常々行っていました。しかし、自社だけでの対策には限界があります。ユーザー数が増え、新しい機能も追加していく中で、一度しっかりと全体をチェックする必要があると考え、外部の脆弱性診断を受けることにしました。
――Sreake Securityを利用することにした経緯を教えてください。
きっかけは、スリーシェイクの吉田社長からSNSでメッセージをもらったことです。「新しく脆弱性診断サービスを始めたので、試してみませんか?」という感じで、提案があって。ちょうど診断の必要性を感じていたところだったので、良いタイミングでしたね。
――Sreake Securityを利用する決め手になったのは、何ですか?
決め手は、吉田さんへの信頼です。彼とは、私が新卒で就職した会社で同期だったんですよ。技術・人柄ともに信頼している吉田さんが、「スリーシェイクには優秀なセキュリティエンジニアがいる」と言うので、技術力は間違いないだろうと思いました。
あとは、スピード感ですね。すぐにでも診断を始められると聞いて、それなら利用してみようと。診断までに時間がかかるようなら、少し躊躇したかもしれません。
――スリーシェイクを信頼して診断をお任せいただき、ありがとうございます!実際に脆弱性診断を受けてみて、いかがでしたか?
スリーシェイクのエンジニアとのやり取りは、私自身が直接、チャットツール(Slack)上で行いました。事前の準備は特に問題なく、スムーズに進みましたね。「note」の特徴をよく理解した上で対応してくれたので、こちらから細かく説明することはありませんでした。
診断中には、スリーシェイクの知見の深さに感心しました。私が知らなかったナレッジもあり、色々と勉強になりました。
――診断の結果、脆弱性は見つかりましたか?
はい、いくつか。「言われてみれば確かに」と思うものもあれば、診断のプロだからこそ見つけられるものもあり、診断力の高さを感じました。見つかった脆弱性への対応は、無事にすべて完了しました。
――診断結果の報告書はいかがでしたか?
わかりやすい内容だったと思います。説明の文章も、短すぎず、長すぎず。検査項目の中には、複数の対応方針が提示されたものもありました。それぞれの内容や効果・結果が明記されていたので、どの対応を選ぶか判断しやすかったです。
脆弱性の修正は、数人のエンジニアで手分けして行いました。スリーシェイクに質問することも何回かありましたが、基本的には報告書の記載どおりに対応できました。
――今回の診断を機に、何か変化はありましたか?
まず、「note」のクリエイターに向けて、より安全にサービスを提供していけること。
加えて、社内においても良い効果があったと感じています。Sreake Securityの脆弱性診断を通して、セキュリティに対する意識が高まり、新たな知見も得られました。今回の学びを活かしながら、今後の開発や実装に取り組んで行きます。
――ぜひ、今回の診断を今後の開発にお役立ていただけたら幸いです。セキュリティ面を含む、御社の今後の展望についてお聞かせください。
noteは、ミッションでも掲げているとおり「だれもが」使うサービスを目指しています。そのために、あらゆる用途を視野に、みなさんが安心して創作できる環境づくりを続けていきます。
今回の診断で見つかった脆弱性は既に対応済みですが、セキュリティ対策には終わりがありません。指摘された内容を中心に、今後も継続した点検をしていきます。
――最後に、Sreake Securityに今後期待することがあればお聞かせください。
より利便性の高い診断サービスを展開していただけたら良いなと、期待しています。低コストで、一定のクオリティがあって、週1回・月1回といった高い頻度で診断できる、サブスクリプションのようなサービス。そういう脆弱性診断サービスがあれば、継続的に利用しやすく、ありがたいです。開発の途中で随時診断できると、なお良いと思います。
――貴重なご意見をありがとうございます。今後の参考にさせていただきます。今さん、本日はありがとうございました!
written by 三谷 恵里佳(東京メリーデザイン)
Sreake Security(現Securify脆弱性診断サービス)の事例となります
「だれもが創作をはじめ、続けられるようにする」をミッションに、表現と創作の仕組みづくりをしています。メディアプラットフォーム・noteは、クリエイターのあらゆる創作活動を支援しています。クリエイターが思い思いのコンテンツを発表したり、メンバーシップでファンや仲間からの支援をうけたり、ストアでお店やブランドオーナーが商品を紹介したり、note proを活用して企業や団体が情報発信をしたりしています。