株式会社マネーフォワード様 導入事例
実現性の高い、脆弱性診断を
内製化する仕組みをご支援
いただきました

Summary
「お金を前へ。人生をもっと前へ。」というミッションにもとづき、個人や法人、すべての人のお金の課題を解決するサービスを提供されている株式会社マネーフォワード様。SHIFTのグループ会社であるSHIFT SECURITYが脆弱性診断・脆弱性診断の内製化のご支援をしています。
この仕組みであれば、様々なボトルネックを改善できると思い、内製化をスタートしました
脆弱性診断の内製化の経緯やプロセス(情報収集や体制作り)に関してお聞かせください。

「脆弱性診断の内製化をしたい」というのは、私が入社した当初からの思いでした。内製化には、診断を行うタイミングの融通がきき、細かいところまでシステムの脆弱性を診断できるなどのメリットがあります。しかし、弊社にはセキュリティのエンジニアが少ないため、すぐには内製化の体制を構築することができませんでした。どうにか社内で脆弱性診断をできる方法がないかと検討しはじめたのが2018年の年末。たとえ脆弱性診断を外注する場合でも、その前にOWASP ZAPのようなスキャナーを使用し、ある程度の脆弱性を内部でも調べられる仕組みをつくりたいと考えていたのです。
SHIFT SECURITYに依頼した理由をお聞かせください。
開発者のリリースサイクルにフィットする診断は「内製化」でないと追いつかないが、開発担当者に新たに脆弱性診断を行う工数が増えることがボトルネックでした。そのうえ、良い内製化ツールが見つかっても、その指摘項目が、どういった事を求めて、何を対策すればいいかは、それなりの知識が必要となります。そのような様々な課題も踏まえてSHIFTSECURITYさんに、内製化の相談をしたところ、VAndsサービスをご提案していただきました。VAndsサービスの仕組としては、VAddyで対象をスキャン後に結果としてでる指摘事項を、SHIFTSECURITYさんに確認いただき、指摘事項を精査する仕組みを取り入れるというものでした。この仕組みであれば、様々なボトルネックを改善できると思い、内製化をスタートしました。
ツールと手動診断の組み合わせにより細かい所まで網羅的に脆弱性を検出する仕組みができています
Vandsを導入し、脆弱性診断の内製化をされたご感想をお聞かせください。
「マネーフォワード クラウド会計」サービスでVAndsを先行導入し、2019年の9月から運用をはじめました。主に使用しているのが、「マネーフォワード クラウド会計」を担当している専属QAグループです。QAグループにテスターがいますので、そのテスターがテストを行う傍らで、Vaddyも起動し、テストが終わるとVaddyのクロールも完了するような運用をしています。何か問題があれば、SHIFTSECURITYさんにエスカレーションをするかたちです。自動で判明するような単純な脆弱性はVaddyで検出して、手動の脆弱性診断で細かい所まで網羅的に脆弱性を検出する仕組みが今、できている所です。網羅的な脆弱性診断まで終わったサービスに対しては、バグバウンティングなどで重箱の隅を突くような所まで行けると、かなり強固なセキュリティになると考えています。
他の内製化ツール(有償・無償)と比較して、VAddyのメリットをお聞かせください。
内製化ツールを検討したとき、脆弱性のスキャン自体は現場の開発サイクルの中で実施してもらいたいと考えていました。そのため、ツールを使うのに更にスキルが必要となると、“開発者に進んで回してもらえない”懸念がありました。OWASP ZAPなどは“診断士が使うためのツール”のため、脆弱性診断にある程度の基礎知識が無いと使いこなせない、どの開発者でもスムーズに使うのが難しい。けれど、VAddyだと“知識が無くても通常の機能テストをブラウザーで操作する事で診断項目が記録されて、スキャンボタンを押すだけで診断範囲のスキャンが行われる“という、知識がなくても脆弱性のスキャンを回せる特徴がありました。そういったツールの使い勝手が良く、開発者に広く使ってもらうには適したツールだと思い使用しています。
今後、私が大事にしたいのは、"属人化せず、継続して脆弱性診断を運用できる仕組みづくり"です
今後のセキュリティ開発への取り組みに関してお聞かせください。
私が入社する前は、脆弱性診断をさまざまな業者に発注するような試行錯誤がつづいていたんです。バグバウンティをハッカーワンに依頼していた時期もありましたが、人が入れ替わってしまったこともあり、継続するまでには至りませんでした。その経験もあり、今後、私が大事にしたいのは『属人化せず、継続して脆弱性診断を運用できる仕組みづくり』です。万が一、私がいなくなっても、マネーフォワードのセキュリティ開発が保たれる状態にするため、継続した内製化のご支援をSHIFTSECURITYさんに期待しています。そして、引き続き新しいセキュリティの取り組みを続けていきたいと思います。
※掲載内容は2019年11月取材時のものです。

※掲載内容は2019年11月取材時のものです。

株式会社マネーフォワード様