株式会社マネーフォワード様 導入事例

開発者のリリースサイクルにフィットする診断は「内製化」でないと追いつかないが、開発担当者に新たに脆弱性診断を行う工数が増えることがボトルネックでした。そのうえ、良い内製化ツールが見つかっても、その指摘項目が、どういった事を求めて、何を対策すればいいかは、それなりの知識が必要となります。そのような様々な課題も踏まえてSHIFTSECURITYさんに、内製化の相談をしたところ、VAndsサービスをご提案していただきました。VAndsサービスの仕組としては、VAddyで対象をスキャン後に結果としてでる指摘事項を、SHIFTSECURITYさんに確認いただき、指摘事項を精査する仕組みを取り入れるというものでした。この仕組みであれば、様々なボトルネックを改善できると思い、内製化をスタートしました。

「マネーフォワード クラウド会計」サービスでVAndsを先行導入し、2019年の9月から運用をはじめました。主に使用しているのが、「マネーフォワード クラウド会計」を担当している専属QAグループです。QAグループにテスターがいますので、そのテスターがテストを行う傍らで、Vaddyも起動し、テストが終わるとVaddyのクロールも完了するような運用をしています。何か問題があれば、SHIFTSECURITYさんにエスカレーションをするかたちです。自動で判明するような単純な脆弱性はVaddyで検出して、手動の脆弱性診断で細かい所まで網羅的に脆弱性を検出する仕組みが今、できている所です。網羅的な脆弱性診断まで終わったサービスに対しては、バグバウンティングなどで重箱の隅を突くような所まで行けると、かなり強固なセキュリティになると考えています。

内製化ツールを検討したとき、脆弱性のスキャン自体は現場の開発サイクルの中で実施してもらいたいと考えていました。そのため、ツールを使うのに更にスキルが必要となると、“開発者に進んで回してもらえない”懸念がありました。OWASP ZAPなどは“診断士が使うためのツール”のため、脆弱性診断にある程度の基礎知識が無いと使いこなせない、どの開発者でもスムーズに使うのが難しい。けれど、VAddyだと“知識が無くても通常の機能テストをブラウザーで操作する事で診断項目が記録されて、スキャンボタンを押すだけで診断範囲のスキャンが行われる“という、知識がなくても脆弱性のスキャンを回せる特徴がありました。そういったツールの使い勝手が良く、開発者に広く使ってもらうには適したツールだと思い使用しています。

私が入社する前は、脆弱性診断をさまざまな業者に発注するような試行錯誤がつづいていたんです。バグバウンティをハッカーワンに依頼していた時期もありましたが、人が入れ替わってしまったこともあり、継続するまでには至りませんでした。その経験もあり、今後、私が大事にしたいのは『属人化せず、継続して脆弱性診断を運用できる仕組みづくり』です。万が一、私がいなくなっても、マネーフォワードのセキュリティ開発が保たれる状態にするため、継続した内製化のご支援をSHIFTSECURITYさんに期待しています。そして、引き続き新しいセキュリティの取り組みを続けていきたいと思います。

※掲載内容は2019年11月取材時のものです。