Securify はサポートが抜群に手厚い。 レスポンスの早さが脆弱性の早期解消につながる

導入企業紹介

note株式会社は、メディアプラットフォーム「note」を運営するIT企業です。「だれもが創作をはじめ、続けられるようにする」をミッションに掲げ、表現と創作の仕組みづくりをしています。

以前から定期的に第三者機関による診断を受けていましたが、社内で診断を自動化できる手段を検討した結果、自動脆弱性診断ツール「Securify」を導入。Webブラウザからの診断を必要な都度行えるようになり、サービスの安全性が向上しました。「note」のシステムに最適な診断を目指し、条件・設定の検証を続けています。

Securifyを導入した感想や今後の取り組みなどについて、note株式会社 基盤開発グループ　プロダクトマネージャーの棚澤 鮎美（たなざわ あゆみ）さんにお話を伺いました。

課題と効果

課　題

• 以前から定期的に手動の脆弱性診断を受けていたが、セキュリティ担保のために、社内で診断を自動化できる手段を検討していた。

効　果

• 定期的な「手動診断」に加えて必要な都度「自動診断」を行うことで、Webアプリケーションをより網羅的に診断できるようになった。
• 将来的には、開発プロセスに自動診断を組み込み、機能リリース時に脆弱性を確認できるようにしていく予定（目標）。

――はじめに、御社の事業内容を教えてください。

当社は2011年に設立されました。現在の社名でもある「note」は、文章、画像、音声、動画を投稿して、誰でも自由にコンテンツの作成・発表ができるサービスです。クリエイター（注：noteでのすべての利用者の総称）は、自分で投稿した内容を有料で販売することもできます。

昨年（2022年）には、新たに「メンバーシップ」という機能をリリースしました。この機能を使うと、誰でも月額制サブスクリプション方式でファンや仲間から支援を受けられるようになります。クリエイターが収入を得るチャンスを広げ、創作活動が続けやすくなることを目指しています。

――棚澤さんご自身はどのような業務を担当していますか？

基盤開発グループに所属し、プロダクトマネージャーを務めています。基盤開発グループでは、「note」の提供に必要なツールの導入やセキュリティ強化など、サービスの根幹を支える業務を行っています。

――セキュリティ対策について、御社ではどのように取り組んでいますか？

コードレビューはもちろん、シングルサインオンを使った権限管理やVPN（仮想プライベートネットワーク）の活用など、一般的な情報セキュリティ対策は大体行っています。

また、当社はプライバシーマークを取得しており、これに準拠した研修や社員教育を実施しています。

脆弱性診断については、今回導入したSecurifyとは別に、外部の診断会社による手動診断を定期的に受けています。

セキュリティ対策はコストをかけようと思えばいくらでもかけられますが、コストと実効性のバランスを見ながら、日々の情報収集と実践に取り組んでいます。

――このたび「note」のWebアプリケーションに自動脆弱性診断ツール「Securify」を導入いただきました。導入前に、どのようなセキュリティ上の課題がありましたか？

「note」のサービスでは、個人向けのメディアプラットフォームに加え、法人向けの高機能プラン「note pro」を提供しています。「note pro」を利用する法人のお客様から、当社のセキュリティ対策や脆弱性診断の実施状況を尋ねられる機会が多くあります。

これまでも定期的に手動の脆弱性診断を受けてきましたが、よりこまめに確認を行う必要性を感じていました。

社内で診断を自動化するために、以下の条件を満たす脆弱性診断ツールを探していました。

【note株式会社における脆弱性診断ツール選定の条件】

１．開発環境での使用を推奨されている

２．費用が比較的安価

３．診断対象がWebアプリケーションである（フロントからの診断を中心に行える）

――脆弱性診断ツールは他にもある中で、Securifyを導入した経緯・理由を教えてください。

先ほど挙げた条件を満たすツールをインターネットで検索し、Securifyを含めていくつか候補に挙がりました。それぞれ問い合わせをして同時にトライアルを行い、比較しながら検討しました。

Securifyを選んだ一番の理由は、サポートの手厚さです。「note」のシステムをしっかり診断できることが大前提ですが、レスポンスもかなり重要視していました。早ければ早いほど脆弱性の早期解消につながるので。

こちらの質問に対するスリーシェイクからの回答が非常に早く、安心感がありました。営業やCS（カスタマーサクセス）の担当者だけではなく、開発のメンバーも交えて迅速に対応してくれたことが好印象でしたね。今後のサポートも見込めると思い、Securifyの導入を決めました。

また、使用感がフィットしたことも決め手の一つです。クローリングで行なう脆弱性診断は、他のツールにはあまりなくて。導入のリソースをかけず速やかに診断できることに魅力を感じました。

――実際に導入してみて、Securifyの使い勝手はいかがですか？

最初に必要な設定はすぐに完了しました。Securify はURLを指定して診断するシステムなので、シナリオを作る手間がありません。検証環境の準備も手厚くサポートしてもらえて、準備を始めてから１週間ほどで診断を開始できました。

診断を行う上では、時間設定ができるなど利便性の高さを感じています。画面はシンプルで見やすく、診断結果のレポートも必要な対応が一目で分かります。

現在は、随時診断を行いながら、より当社に適した診断となるよう条件・設定を検証しているところです。

Securifyと「note」のシステムの相性もあり、現時点では検証の挙動が想定と異なる箇所もあります。Webブラウザを使った診断ならではの課題を感じていますが、スリーシェイクに相談しながら検証を進めていきます。

――Webアプリケーションの脆弱性診断は、システムの構成によっては運用の工夫が必要になります。引き続き相談しながら検証・改善を行い、御社にとって最適な診断を目指しましょう！

――御社では誰が・どのようにSecurifyを利用していますか？

主に私が診断の設定・操作をしています。脆弱性が検出された場合、必要に応じて開発チームに相談して対応することにしています。

現時点ではまだ検証段階なので、診断は必要な都度行っています。将来的には日ごとに１回は診断したいと考えています。「note」では新機能や機能改善のリリースを毎日複数回行っているので、そのタイミングに合わせて診断することが目標です。

――Securifyによる自動診断の結果、脆弱性は見つかりましたか？

軽微な脆弱性がいくつか検出され、既に対応済みです。手動の脆弱性診断を別途受けていることもあり、大きな脆弱性は検出されていません。

――Securify の導入により、どのような効果を得られましたか？

脆弱性診断をアクティブに回すことが、「note」をより安心・安全なサービスとして提供するための一助になると考えています。Securify は経済産業省が策定した「情報セキュリティサービス基準」に適合しており、信頼の置けるツールを利用することが安全性を高める上で重要と捉えています。

これまでの手動診断に加えて自動診断を行い、複数レイヤーを重ねることで安心感が高まっていくと考えています。

――セキュリティに関する今後の取り組みについてお聞かせください。

noteは、ミッションでも掲げているとおり「だれもが」使うサービスを目指しています。そのために、あらゆる用途を視野に、みなさんが安心して創作できる環境づくりを続けていきます。

セキュリティ対策には終わりがありません。Securify で検出された内容に対応しつつ、今後も継続的に点検していきます。

今回導入したSecurify で行っているのは、Webブラウザ側、フロントからの診断です。より深層部の診断はSecurify だけでは足りないため、引き続き手動診断も実施していきます。

――手動診断と自動診断の両方をハイブリッドで利用していく方針なのですね。

はい。自動診断の最大のメリットは、Webブラウザからの脆弱性を簡単に検出できることだと思います。

一方で、コードを読む、インフラの設定を見るといったことは、手動診断でしかできません。きちんと使い分けていきたいと考えています。

――最後に、スリーシェイクやSecurify に今後期待することがあればお聞かせください。

クローリングの安定性と速度の改善を期待しています。クローリングでエラーが発生したときに、問題の切り分けが難しい場面があります。短時間で原因が特定できるUIに改善されるとより使い勝手が良くなるのではないかと思います。

また、急ぎで診断を回したいときもあるので、並列度や処理速度をオンデマンドで変更できるようなオプションがあると活用できる場面が増えるのではないでしょうか。

営業やCS担当の方には、トライアル時から現在まで変わらず手厚くサポートしてもらい、大変感謝しています。スリーシェイクはレスポンスや機能改善のスピードが他社に比べて圧倒的に早いので、非常に期待しています。

――貴重なご意見をありがとうございます。引き続きサービス向上に励んでまいります。棚澤さん、本日はありがとうございました！

written by 三谷 恵里佳

導入０円、ワンストップで実現するセキュリティ対策「Securify」