Gaudiy FanlinkのGraphQL診断 「診断員の質の高さ」と「コスパの良さ」が実施を後押し
※出典:Gaudiy FanlinkのGraphQL診断 「診断員の質の高さ」と「コスパの良さ」が実施を後押し | Flatt Security
この導入事例のポイント
- ビジネスのコアであるIPプロダクトのセキュリティレベルをより高めたい
- GraphQL診断の実績・良質な診断員・技術力・コスパを鑑みて診断依頼へ
- Slackによりコミュニケーションコストが抑えられ、レスポンスも的確かつ迅速
- 優先順位がわかりやすい形で情報が整理・再現手順はPoCコードで診断後の改修も容易
NstockのWebアプリケーション診断 「必要最小限の工数」で得られた”充実した報告内容”に驚き
※出典:NstockのWebアプリケーション診断 「必要最小限の工数」で得られた”充実した報告内容”に驚き | Flatt Security
この導入事例のポイント
- 「Nstock」正式リリース前にセキュリティ診断を実施しておきたい
- 自社エンジニアの少なさから費用感と対応工数の少なさを重視していた
- Slackでのテンポ良いやり取り・準備工数の少なさ・迅速な応対から診断依頼へ
- 「Nstock」の仕様を理解した上で診断を実施、開発サイドに寄り添った回答
- 報告書は課題と対策を具体的に記載、事象の再現手順・原因などの丁寧な解説
製品を導入することになった背景
Nstock株式会社は、株式報酬の発行・管理・行使を効率化するSaaS事業を展開しています。設立当初から、企業による株式報酬の管理はExcelや書面で行われ、煩雑な作業が問題となっていました。この課題を解決するため、Nstockはセキュリティ診断を重視し、製品の安全性を高めることを決定しました。セキュリティ診断の実施は、製品の信頼性を高め、ユーザーに安心して利用してもらうための重要なステップでした。導入前に企業が抱えていた課題
Nstock株式会社は、株式報酬の管理を効率化するSaaSを開発していましたが、セキュリティ面での課題が存在していました。株式報酬の管理には多くの機密情報が関わるため、セキュリティは非常に重要です。しかし、エンジニアが限られた人数であり、セキュリティ専門のチームを持たないため、製品のセキュリティ強化が必要でした。これらの課題を解決するために、外部の専門機関にセキュリティ診断を依頼することが求められていました。導入前の課題に対する解決策
Nstock株式会社は、セキュリティ診断の実施を決定しました。この診断は、製品のセキュリティ強化と信頼性向上のために重要でした。選定されたのはFlatt Securityで、彼らは迅速かつ効率的なコミュニケーションと、必要最小限の工数での診断実施を提供しました。Nstockは、Flatt Securityの提供するサービスの構成図とOpenAPIのドキュメントを提供し、診断を進めました。このアプローチにより、製品のセキュリティリスクを効率的に特定し、改善することができました。製品の導入により改善した業務
Nstock株式会社は、Flatt Securityのセキュリティ診断を通じて、製品のセキュリティを大幅に強化しました。診断結果は、具体的で納得感のある報告書として提供され、製品のセキュリティリスクを明確に理解し、対策を講じることができました。この結果、製品の信頼性が向上し、ユーザーに安心して利用してもらえるようになりました。また、診断の実施により、開発チームはセキュリティに関する知識を深め、今後の製品開発においてもセキュリティを重視する体制を確立することができました。smartroundのWebアプリケーション診断 「リスクフォーカス型プラン」のメリットを実感
※出典:smartroundのWebアプリケーション診断 「リスクフォーカス型プラン」のメリットを実感 | Flatt Security
この導入事例のポイント
- 機密性の高い情報を扱う製品のため、網羅的なチェックでセキュリティレベルを高めたい
- スタートアップへの理解・連絡の取りやすさ・セキュリティ診断実績から診断依頼へ
- プロが診断対象範囲を見極める「リスクフォーカス型プラン」で網羅的な分析
- 連絡はSlackで完結、社内エンジニアとのやり取りと変わらない感覚で迅速に調整
- 報告書はGitHubで使えるMarkdown形式でも提供、事象の再現手順も解説
製品を導入することになった背景
株式会社スマートラウンドは、スタートアップと投資家のためのデータ作成・管理プラットフォーム「smartround」を提供しています。このプラットフォームは、4,000社以上のスタートアップや60社以上の投資家・アドバイザーに利用されており、急速に成長している製品です。しかし、機密性の高い情報を取り扱うため、セキュリティの強化が急務でした。会社が一定の成長段階に達したことを機に、セキュリティ診断の実施を決定しました。これは、プロダクトの信頼性をさらに高めるための重要なステップであり、セキュリティリスクの網羅的なチェックを目指したものです。導入前に企業が抱えていた課題
株式会社スマートラウンドは、スタートアップと投資家のデータ共有や業務効率化を支援するSaaSプラットフォームを提供しています。このプラットフォームは、株主総会やストックオプション管理、投資先管理など、多岐にわたる業務をサポートしています。しかし、機密性の高い情報を扱うため、セキュリティの確保が大きな課題でした。特に、プロダクトのセキュリティリスクを網羅的にチェックし、信頼性を高める必要がありました。そのため、セキュリティ診断の実施が不可欠でしたが、これには金銭的・人的コストが伴うため、適切なタイミングと方法の選定が求められていました。導入前の課題に対する解決策
株式会社スマートラウンドは、セキュリティ診断の実施を決定しました。この診断は、プロダクトのセキュリティリスクを網羅的にチェックし、信頼性を高めることを目的としています。診断の実施にあたり、スタートアップを理解し、中長期的に信頼できるベンダーの選定が重要でした。最終的に、コミュニケーションのしやすさとスピード感を重視し、Flatt Securityに診断を依頼しました。彼らは、リスクフォーカス型プランを提案し、プロダクトの特性に基づいた網羅的な分析を提供しました。製品の導入により改善した業務
セキュリティ診断の実施により、株式会社スマートラウンドはプロダクトのセキュリティレベルを大幅に向上させることができました。特に、リスクフォーカス型プランによる診断は、予算と期間の範囲内で多角的な分析を提供し、セキュリティリスクの特定と対策に大きく貢献しました。この結果、プロダクトの信頼性が向上し、ユーザーに安心してサービスを提供できるようになりました。また、診断報告書は非常にわかりやすく、開発チームがシステム改修の優先順位付けや担当をスムーズに決定するのに役立ちました。これにより、セキュリティ面だけでなく、業務効率の向上にも寄与しました。kickflowのWebアプリケーション診断 リスクフォーカス型プランで「価格に見合う以上の成果」を獲得
※出典:kickflowのWebアプリケーション診断 リスクフォーカス型プランで「価格に見合う以上の成果」を獲得 | Flatt Security
この導入事例のポイント
- これまでの診断結果検証のため、異なる視点と技術力のあるベンダーを探していた
- Vue.jsやAuth0等に紐づく脆弱性の解説記事があることから診断依頼へ
- 手動×ツール診断のスタイルを取り、リスクフォーカス型プランも提供
- 診断は期待値以上の技術力+価格以上の成果、以前苦労したコミュニケーションも円滑に
- 事象の再現手順がコードで提供され、速やかな改修に移れた
製品を導入することになった背景
株式会社kickflowは、エンタープライズ企業向けクラウドワークフロー「kickflow」の開発・提供を行っており、そのミッションは「エンタープライズ企業の課題と向き合い、未来を切り拓く」です。この度、kickflowはビジネスリスクの高い脆弱性を予算と期間の範囲内で集中的に探索する「リスクフォーカス型プラン」を利用しました。この決定は、企業が毎年必ずセキュリティ診断を実施する方針に基づいており、特にM&Aや採用に関する意思決定を含む稟議のセキュリティを確保するために重要でした。そのため、高いセキュリティレベルを担保するために、技術力を重視してベンダーを選定し、Flatt Securityに診断を依頼することになりました。導入前に企業が抱えていた課題
株式会社kickflowは、エンタープライズ企業向けに特化した稟議・ワークフローSaaS「kickflow」を提供しています。しかし、企業が抱えていた主な課題は、セキュリティ面での不安でした。特に、M&Aや採用に関する重要な意思決定を含む稟議の内容は、限られた社内関係者のみが閲覧可能でなければならず、これらの情報のセキュリティを確保することが極めて重要でした。そのため、企業は毎年セキュリティ診断を実施する方針を取っており、診断の結果に基づいてセキュリティ対策を強化する必要がありました。導入前の課題に対する解決策
株式会社kickflowの抱えていたセキュリティの課題に対する解決策として、リスクフォーカス型プランを利用したセキュリティ診断の実施があります。この診断は、Flatt Securityに依頼され、その決定は技術力を重視したものでした。Flatt Securityは、Vue.jsやAuth0などの技術に関連する脆弱性についての深い知見を持っており、これまでの診断結果を新たな視点から検証するために選ばれました。手動診断とツール診断を組み合わせたスタイルとリスクフォーカス型プランにより、企業はセキュリティレベルの向上を図ることができました。製品の導入により改善した業務
株式会社kickflowがFlatt Securityに依頼したセキュリティ診断の結果、企業のセキュリティ面での業務が大幅に改善されました。診断は技術力に関して期待値以上の成果をもたらし、価格に見合う以上の効果が得られたと評価されています。また、報告書のわかりやすさと、事象の再現手順がコードで提供されたことにより、開発チームは迅速に改修作業を行うことができました。この結果、企業はセキュリティ診断におけるコミュニケーションの負担を軽減し、今後も安心してセキュリティ診断を依頼できると感じています。これにより、企業はセキュリティ面での信頼性を高め、顧客に対しても安全なサービスを提供できるようになりました。スマートフォンゲーム診断を実施したマイネット 改修を見据えたフォロー体制に高い満足感
※出典:スマートフォンゲーム診断を実施したマイネット 改修を見据えたフォロー体制に高い満足感 | Flatt Security
この導入事例のポイント
- 依頼先が固定化→柔軟的・効果的にセキュリティ診断が可能なベンダーを探していた
- セキュリティや仕様に対する理解の深さから「Flatt Security」に診断を依頼
- 診断範囲の優先度提案、診断の流れや準備事項のハンドブックで迅速で効果的な診断に
- 推奨する実装方針やコードレベルでのFBなど、診断後の改修まで見据えたフォロー体制
製品を導入することになった背景
株式会社マイネットは、多数のスマートフォンゲームタイトルを運営しており、その中で特に人気のあるゲームの一部機能に対して「スマートフォンゲーム診断」を実施しました。この診断は、他社から移管されたゲームタイトルに対して行われるもので、株式会社マイネットでは移管時に必ずセキュリティ診断を実施するという方針を取っています。2018年に不正アクセスによるインシデントを経験したことから、二度と同様の問題を起こさないために、体制面とシステム面での対策を強化する必要がありました。この経験が、製品導入の大きなきっかけとなりました。導入前に企業が抱えていた課題
株式会社マイネットは、ゲームタイトルごとに異なる開発スタイルや環境を持つため、セキュリティ対策に一貫性を持たせることが課題でした。また、過去に不正アクセスによる大規模なインシデントが発生し、複数のゲームタイトルが長期間のサービス停止に追い込まれたことがあります。このような背景から、セキュリティ対策の強化が急務となり、特に移管されたゲームタイトルに対するセキュリティ診断の必要性が高まっていました。導入前の課題に対する解決策
株式会社マイネットは、セキュリティ診断の実施を決定し、そのためのベンダー選定にあたりました。重視されたのは、診断対象が他社から移管されたゲームタイトルであることへの対応能力です。また、過去のインシデントを踏まえ、セキュリティ委員会やCSIRTの設立、脆弱性診断の実施など、全社的なセキュリティ体制の強化が進められました。最終的に、Flatt Securityが高い技術力と信頼感を持ち、診断後の改修までを見据えたフォロー体制を提供できると判断され、依頼されました。製品の導入により改善した業務
セキュリティ診断の結果、株式会社マイネットは効率的にセキュリティ対策を実施できるようになりました。診断範囲の優先度を適切に設定し、予算内で高い効果を得ることが可能となりました。また、診断報告書には推奨する実装方針が詳しく記載されており、コードレベルでの具体的なフィードバックを受け取ることができました。これにより、セキュリティ対策の質が向上し、以前のような大規模なインシデントを防ぐことに成功しました。さらに、診断後の改修までを見据えたフォロー体制により、セキュリティ対策の持続的な改善が可能となりました。Leaner見積・Leaner購買のWebアプリケーション+AWS診断 「高い技術力による手動診断」が依頼の決め手に
※出典:Leaner見積・Leaner購買のWebアプリケーション+AWS診断 「高い技術力による手動診断」が依頼の決め手に | Flatt Security
この導入事例のポイント
- 自動のセキュリティチェックだけでは検知できない脆弱性が多かった
- SPA対象の診断に強く高い技術力のある「Flatt Security」に依頼
- ロジック依存の脆弱性の有無、複雑な手順を必要とする攻撃の成立可能性が判明
- Slackや Boxでのやり取りが可能なため、コミュニケーションが円滑に
- 診断報告書は再現手順がcurlコマンドやブラウザ操作などで詳細に記載
製品を導入することになった背景
株式会社Leaner Technologiesは、調達プロセスのデジタル化と効率化を目指し、ソーシングDXクラウド「Leaner見積」と購買プラットフォーム「Leaner購買」の開発に取り組んでいます。しかし、これらのプロダクトのセキュリティ面に課題を感じ、特に自動化ツールでは検知できない脆弱性の存在が懸念されていました。顧客からのセキュリティ診断の実施有無に関する問い合わせも増加し、これらの課題に対処するため、高度な手動診断が可能なセキュリティ診断サービスの導入を決定しました。導入前に企業が抱えていた課題
株式会社Leaner Technologiesは、見積もり依頼や購買プロセスのデジタル化を推進していましたが、セキュリティ面での不安が常に付きまとっていました。自動化ツールによるセキュリティチェックでは、プロダクトの仕様に起因する脆弱性の発見が困難であり、未知の脆弱性への対応も難しい状況でした。また、顧客からのセキュリティ診断の実施有無に関する問い合わせが増え、これらの課題に対応する必要性が高まっていました。導入前の課題に対する解決策
株式会社Leaner Technologiesは、セキュリティ上の課題に対処するため、高度な手動診断が可能なセキュリティ診断サービスを導入することを決定しました。このサービス選定において重視されたのは、自動ツールではカバーできない脆弱性の検出能力と、診断実施までの調整コストの低さでした。また、Flatt Securityの技術力の高さと、SPA診断の提供能力が決め手となり、同社のサービスを選択しました。製品の導入により改善した業務
セキュリティ診断サービスの導入により、株式会社Leaner Technologiesは、ロジックに依存する脆弱性や複雑な攻撃手順を必要とする攻撃の成立可能性など、高度な技術力を必要とする検査を実施できるようになりました。これにより、プロダクトのセキュリティ面での安全性が大幅に向上し、顧客に対してより安心してプロダクトを利用してもらえる環境を整えることができました。また、日常の業務ツールを使用したコミュニケーションにより、診断プロセスの効率化も実現しました。Firebaseを用いた開発には専用のセキュリティ診断を。総合人材サービス企業の取り組み
※出典:Firebaseを用いた開発には専用のセキュリティ診断を。エン・ジャパン新規事業「ASHIATO」の取り組み | Flatt Security
この導入事例のポイント
- 「Firebase」独自のセキュリティルールを理解している診断会社を探していた
- Firebaseに知見があり、質の高い診断を期待できたため、同社のサービスを導入
- 課題だけなく解決方法まで提示されたため、すぐに対応方針を検討できるようになった
製品を導入することになった背景
株式会社エン・ジャパンは、2000年の設立以来、人材総合サービスを提供してきました。特に「エン転職」や「エン エージェント」など、30を超えるHRサービスを展開しており、多くのユーザーからの信頼を得ています。その中で、新規事業として「ASHIATO」というリファレンスレポートサービスを2020年10月に提供開始しました。このサービスは、採用候補者の過去の実績や評価を可視化することで、採用の際のリスクを軽減するものです。導入前に企業が抱えていた課題
「ASHIATO」はリリースから約3ヶ月で100社以上の企業に導入されるなど、新規事業としては非常に好調でした。しかし、その成功の裏には、サービスのセキュリティ面での不安がありました。特に、エン・ジャパン株式会社は数百万人もの個人情報を扱う人材会社であるため、セキュリティの重要性は常に高まっていました。導入前の課題に対する解決策
セキュリティの強化のため、エン・ジャパン株式会社は外部のセキュリティ診断会社に依頼することを決定しました。その中で、特にFirebaseのセキュリティ診断が必要であり、Firebaseの独自のセキュリティルールを理解している診断会社を探していました。Flatt Securityは、その要件を満たす数少ない企業の一つでした。Flatt SecurityのコーポレートサイトにはFirebase診断を明確に打ち出しており、さらに営業担当者もFirebase診断の知識が豊富であったため、エン・ジャパン株式会社はFlatt Securityを選択しました。製品の導入により改善した業務
Flatt Securityのセキュリティ診断を受けた結果、エン・ジャパン株式会社は「ASHIATO」のセキュリティを大幅に強化することができました。報告書には、見つかった課題だけでなく、その解決方法も詳細に記載されており、即時に対応することができました。また、診断作業中もFlatt Securityのエンジニアからのアドバイスや意見が得られ、サービスの品質向上に大きく貢献しました。これにより、エン・ジャパン株式会社は「ASHIATO」をより多くの企業やユーザーに安心して提供することができるようになりました。IoT向けAPIにホワイトボックス診断を実施。通常の診断だけでは拭えない不安を解消
※出典:ソラコムのIoT向けAPIにホワイトボックス診断を実施。通常の診断だけでは拭えない不安を解消 | Flatt Security
この導入事例のポイント
- ビジネスの拡大に伴い、セキュリティ強化が重要視され、強化方法を検討していた
- エンジニアのレベルが高く、技術的に信頼できると思い、同社のサービスを導入
- 想定されるリスクを正確に把握することができ、セキュリティ向上施策をたてられた
製品を導入することになった背景
株式会社ソラコムは、2015年にIoT通信プラットフォーム「SORACOM」を通じて、IoTの実現に必要な通信とクラウドサービスを提供してきました。2021年6月時点で、世界140の国・地域で約2万の顧客を有しています。2017年にはKDDI株式会社による子会社化が発表され、ソラコムの通信プラットフォームはKDDI IoT世界基盤にも組み込まれ、グローバルなIoTプラットフォームの構築を強化しています。このような背景の中、セキュリティの重要性が増してきました。導入前に企業が抱えていた課題
ソラコムは、IoTサービスの提供だけでなく、お客様のIoTプロジェクトをサポートするためのメニューも用意しており、多くのお客様から大規模に活用されています。また、19個のクラウドサービスを提供し、顧客数は2万を超えています。このような急成長の中で、セキュリティを強化する必要性が高まってきました。特に、これまでのセキュリティ診断では、脆弱性を組み合わせた攻撃やツールでカバーできない脆弱性に対する対策が求められていました。導入前の課題に対する解決策
ソラコムは、セキュリティ診断をより網羅的に行うための方法を検討していました。ペネトレーションテストでは診断の網羅性が低く、真のセキュリティ状態を確認することが難しいと感じていました。そこで、Flatt Securityにホワイトボックス診断を依頼することになりました。ホワイトボックス診断は、ソースコードやシステムの設計、仕様書などを提供し、それらの分析を通して診断を行う方法です。製品の導入により改善した業務
Flatt Securityのセキュリティ診断を受けた結果、ソラコムはリスクを正確に把握することができました。また、具体的な対策が提案され、セキュリティを高めるための方針が明確になりました。報告書は要点を絞った内容であり、他のエンジニアからも高い評価を受けています。さらに、ソラコムのソースコードだけでなく、使用しているライブラリの観点も含まれており、全体的なセキュリティの強化が実現しました。ERPのセキュリティ診断を実施。今後はSaaS開発に沿った継続的なコンサルも
※出典:Firebaseを用いたERPのセキュリティ診断を実施。今後はSaaS開発に沿った継続的なコンサルも | Flatt Security
この導入事例のポイント
- 新サービスをローンチするにあたり、Firebaseに脆弱性があり診断が必要だった
- Firebaseに特化して診断を提供している点を評価し、同社のサービスを導入
- 診断結果の報告書が分かりやすくまとまっており、スピーディーに改修対応ができた
製品を導入することになった背景
株式会社クラウディオは2019年に設立され、主軸事業としてITコンサルティング事業とSaaSの提供を行っています。2020年11月には、バックオフィス業務の効率化を支援する「Claudio ERP Plus」をリリースしました。この新サービスをローンチするにあたり、Firebaseの脆弱性が懸念されました。導入前に企業が抱えていた課題
「Claudio ERP Plus」はマルチテナント型のサービスであり、企業の人事情報や取引情報など、機密性の高い情報を保持しています。そのため、他のテナントの情報にアクセスできないようにすることや、テナント内でのロールと権限に基づいたアクセス制御が必要とされました。また、Firebaseを基盤に独自の認可モデルを構築しているため、Firebaseに特化したセキュリティ診断が必要と感じられました。導入前の課題に対する解決策
株式会社クラウディオは、Firebase診断ができる企業を探していました。その中でFlatt Securityの記事を発見し、Firebaseに特化した診断を提供していることを知りました。初回の打ち合わせでFlatt Securityのセキュリティエンジニアとの対話を通じて、Firebaseに対する深い知識を持っていることが確認でき、安心して診断を依頼することができました。製品の導入により改善した業務
Flatt SecurityによるFirebase診断の結果、株式会社クラウディオが構築した権限モデルやセキュリティ対策の根幹を揺るがすような脆弱性は検知されませんでした。しかし、それまで気づかなかった部分の指摘も受け取り、これにより更なるセキュリティの向上が図られました。また、診断レポートは非常に分かりやすく、エンジニアたちも指摘された部分を迅速に改修することができました。この導入事例のポイント
- サービスを買収するにあたり、セキュリティ診断が必要となり診断会社を探していた
- セキュリティエンジニアのテックブログから信頼できると思い、同社のサービスを導入
- 再現手順や修正方法がわかりやすくまとまっていたので、すぐに対応することができた
製品を導入することになった背景
freee株式会社は、スモールビジネスのバックオフィス業務を効率化するためのクラウドサービスを提供しています。特に、クラウド型会計ソフト「freee」やHRプラットフォームサービス「freee 人事労務」、そして「freee会社設立」などのサービスを展開しており、2019年12月には東京証券取引所マザーズに新規上場しました。2021年6月には、記帳アプリ「Taxnote(タックスノート)」を提供する合同会社ノンモを完全子会社化しました。導入前に企業が抱えていた課題
freee株式会社は、セキュリティの強化が必要であると感じていました。特に、2021年2月に顧客情報の漏洩というインシデントが発生したことから、セキュリティ対策の強化が急募となりました。また、新たに「Taxnote」を買収するにあたり、セキュリティ診断が必要となったのです。導入前の課題に対する解決策
freee株式会社は、セキュリティの強化を目指し、Flatt Securityにセキュリティ診断を依頼することになりました。特に、ホワイトボックス診断を依頼することで、高いレベルのセキュリティを実現しようと考えました。Flatt Securityの技術力や、信頼している上野宣さんが関与していることから、Flatt Securityに期待を寄せて依頼を行いました。製品の導入により改善した業務
Flatt Securityのセキュリティ診断を受けた結果、freee株式会社は期待以上の診断結果を得ることができました。特に、報告書の再現手順や修正方法がわかりやすく、迅速に対応することができました。また、freee株式会社の意思決定のスピード感とFlatt Securityの迅速な対応が合致し、双方の協力によりセキュリティの強化を実現することができました。新サービスのセキュリティ診断を実施。改修の優先順位決定に困らない開発者フレンドリーなサービスを評価
※出典:LayerX × 三井物産の新サービスがセキュリティ診断を実施。改修の優先順位決定に困らない開発者フレンドリーなサービスを評価 | Flatt Security
この導入事例のポイント
- 短いスケジュールで脆弱性診断を行わなくてはならず、対応できるベンダーを探していた
- 見積もり提案が早く、迅速に対応してくれる点を評価し同社のサービスを導入
- 報告書に優先度の指標が書かれていたため、「攻撃成立の可能性」を把握できた
製品を導入することになった背景
三井物産デジタル・アセットマネジメント株式会社(MDM)は、実物資産への投資・運用経験を持つ三井物産と、業務プロセスのデジタル化を推進するLayerXとの協力のもと、2020年に設立されました。日本には1000兆円を超える個人資産が預金として価値を生み出さずに眠っているという現状があり、MDMはこの「眠れる銭」を活性化することを経営理念としています。導入前に企業が抱えていた課題
MDMは、日本の巨大な眠れる資産を活性化するための方法を模索していました。特に、不動産やインフラなどの実物資産に関するアセットマネジメント事業を展開している中で、プロの投資家に対して、厳選された実物資産の私募ファンド案件を効率的に提供する方法を求めていました。導入前の課題に対する解決策
MDMは、不動産やインフラなどの実物資産への私募ファンド案件に特化したオンライン投資サービス「ALTERNA(オルタナ)」を開発し、正式にリリースしました。このサービスは、MDMが厳選した実物資産の私募ファンド案件に特化しており、案件の情報収集やQ&A、投資意向表明、運用中のパフォーマンス把握などが可能となっています。製品の導入により改善した業務
「ALTERNA」の導入により、MDMは資産運用の非効率を大幅に解消しました。プロの投資家は、ALTERNAを通じて、良質な実物資産の証券化商品への投資機会を得ることができるようになりました。また、Flatt Securityとの協力により、ALTERNAのWebアプリケーション診断を実施し、セキュリティ面でも高い評価を受けています。FIDO認証/CIBAを備えた金融機関向け先進プロダクトのセキュリティ診断事例。「ツールでは対応できない高度な領域を継続的にサポートしてほしい」
※出典:FIDO認証/CIBAを備えた金融機関向け先進プロダクトのセキュリティ診断事例。「ツールでは対応できない高度な領域を継続的にサポートしてほしい」 | Flatt Security
この導入事例のポイント
- 先端技術を用いた前例のないソフトウェアのため、診断可能なベンダーを探していた
- 非技術者でも理解度が高く、技術的に信頼できると思い、同社のサービスを導入
- 都度必要な情報を共有することができた為、手戻りが無くコストを抑えることができた
製品を導入することになった背景
2019年に設立されたSBIデジトラスト株式会社は、FATF(金融活動作業部会)が提唱するAML/CFTの高度化や本人確認、次世代認証等の金融機関向けソリューション事業を展開する目的で、SBIセキュリティ・ソリューションズとNECとの間で設立されました。この背景には、金融機関向けの認証認可基盤サービス「Trust Idiom」の開発と提供があります。導入前に企業が抱えていた課題
2020年に、ウォレットサービスを経由して、地方銀行を中心としたいくつかの銀行口座から不正に預金が引き出されるという事件が発生しました。この事件をきっかけに、IT業界・金融業界のセキュリティ意識が高まり、堅牢な認証・認可機能への需要が増加しました。このような状況下で、SBIデジトラスト株式会社は、FIDO認証/CIBAを用いた「Trust Idiom」を開発しました。導入前の課題に対する解決策
SBIデジトラスト株式会社は、前述の課題を解決するために「Trust Idiom」を開発しました。このサービスは、金融機関向けの本人確認済みIDを発行するIDaaSであり、従来のID連携方式を改善することを目的としています。具体的には、ペイメントサービスと金融機関がそれぞれ個別に身元確認を行う従来の方式から、生体情報でのFIDO認証や金融グレードのFAPI・CIBAにも対応した新しい認証・認可方式を採用しています。製品の導入により改善した業務
「Trust Idiom」の導入により、金融機関は従来よりもシームレスなペイメントサービスの利用を実現できるようになりました。また、最新のセキュアなID管理の運用環境を適切なコストで提供することが可能となりました。このサービスによって、消費者は安全性と利便性の向上を享受できるようになり、金融機関もセキュリティのリスクを大幅に低減することができました。EV充電サービスのセキュリティ診断を実施。「迅速に診断を実施でき、かつ『情報セキュリティサービス基準』に適合しているベンダーを探していた」
※出典:東京ガスのEV充電サービス「EVrest」のセキュリティ診断を実施。「迅速に診断を実施でき、かつ『情報セキュリティサービス基準』に適合しているベンダーを探していた」 | Flatt Security
この導入事例のポイント
- 「情報セキュリティサービス基準」に適合しているセキュリティベンダーを探していた
- 見積もりやスピードが自社が求めているレベルにあっていたため、同社のサービスを導入
- 診断項目が多い手動診断にも関わらず短期間でセキュリティ診断を実施することができた
製品を導入することになった背景
東京ガス株式会社は、1885年に設立され、東京都都市部とその隣接区域に各種エネルギーを供給する日本最大手の都市ガス事業者として、長い歴史を持っています。近年、脱炭素化やデジタル化の潮流が高まる中、東京ガス株式会社は再生可能エネルギーと天然ガスの組み合わせを活用し、新しい技術を導入して暮らしや都市、そして地球全体に対するソリューションを提供する取り組みを強化してきました。このような背景のもと、集合住宅の駐車場利用者に充電環境を提供するEV充電サービス「EVrest(イーブイレスト)」の提供を開始しました。導入前に企業が抱えていた課題
東京ガス株式会社が提供する「EVrest」は、集合住宅の駐車場利用者向けのサービスであり、その導入には多くの課題が存在していました。特に、充電設備の費用やスペースの制約、ユーザーが契約している駐車スペースへの専用充電設備の設置の難しさ、充電設備の順番待ちや移動時間の問題など、多くのユーザーが直面する課題が挙げられます。導入前の課題に対する解決策
これらの課題に対して、東京ガス株式会社は「EVrest」を導入することで解決策を提案しました。「EVrest」は、QRコードを汎用的な200Vコンセントに貼付し、スマートフォンのアプリで読み取ることで、課金管理を行う仕組みを採用しています。この方法により、充電設備の費用やスペースを抑えることができ、設置の制約も少なくなりました。また、機械式駐車場など、従来充電設備の設置が難しかった場所でも導入が容易となりました。製品の導入により改善した業務
「EVrest」の導入により、東京ガス株式会社は集合住宅の駐車場利用者に対して、充電設備の順番待ちや移動時間のない利便性の高い充電環境を提供することができるようになりました。特に、充電設備の費用とスペースを抑えられる点や、ユーザーが契約している駐車スペースに専用の充電設備を設置することが容易となった点は、大きな改善点として挙げられます。これにより、多くのユーザーが快適な充電環境を享受することができるようになりました。オープンソースの自動運転ソフトウェアを開発する認証基盤にセキュリティ診断を実施。「信頼感のある技術ブログを読んでいた」ことが依頼の決め手に
※出典:オープンソースの自動運転ソフトウェアを開発するTIER IVの認証基盤にセキュリティ診断を実施。「信頼感のある技術ブログを読んでいた」ことが依頼の決め手に | Flatt Security
この導入事例のポイント
- リニューアルした認証基盤サービスへのセキュリティ診断の実施が必要だった
- 以前から技術ブログを拝見し、技術力に対する信頼感があった同社のサービスを導入
- Markdownの報告書にも細かな配慮がしてあり、指摘事項の確認も容易だった
製品を導入することになった背景
株式会社TIER IV(ティアフォー)は、2015年に設立され、オープンソースの自動運転ソフトウェア「Autoware」の開発を主導してきました。2017年12月には、国内で初めて一般公道での遠隔制御型自動運転システムの実験を行い、自動運転レベルの中でレベル4に該当する無人運転を成功させました。さらに、2020年8月にはSOMPOホールディングスとの資本提携を締結し、累計で175億円の資金調達を達成しました。導入前に企業が抱えていた課題
株式会社TIER IVは、自動運転技術の進化とともに、その技術をサポートするプラットフォームの必要性を感じていました。特に、自動運転システムの利用、運用、開発を一元的にサポートするプラットフォームが求められていました。また、セキュリティ面での課題も存在し、認証基盤のリニューアルを検討していた時期でもありました。導入前の課題に対する解決策
この課題を解決するため、株式会社TIER IVは「Web.Auto」というWebプラットフォームを提供し始めました。このプラットフォームは、自動運転システムの利用、運用、開発の全てをサポートするもので、サービス事業者には「Autoware」と連動した運行管理システムを、開発者にはデータや開発環境を提供しています。さらに、セキュリティ面での強化として、Flatt Securityに「Web.Auto」の認証基盤サービスのセキュリティ診断を依頼しました。製品の導入により改善した業務
「Web.Auto」の導入により、株式会社TIER IVは自動運転システムの利用、運用、開発の業務を効率的に行うことができるようになりました。特に、セキュリティ診断を通じて認証基盤のセキュリティが強化され、全てのサービスへの影響を最小限に抑えることができました。また、セキュリティ診断の結果をもとに、システムの改善や強化を行うことで、更なるサービスの品質向上を実現しています。急成長中のサービスのセキュリティ診断。他社より高い解像度のプロジェクト進行と開発者に寄り添った報告書を評価
※出典:エンタープライズ顧客も増え急成長中の「commmune」のセキュリティ診断。他社より高い解像度のプロジェクト進行と開発者に寄り添った報告書を評価 | Flatt Security
この導入事例のポイント
- 顧客が増え、より高いセキュリティレベルを客観的に示すことが求められるようになった
- 技術的な話ができ、スピード感がある点を評価し、同社のサービス診断を導入
- 指摘事項が具体的で再現性も高くセ専門家ではないエンジニアでも理解することができた
製品を導入することになった背景
コミューン株式会社は、企業とユーザーが融け合う社会を実現するというビジョンを掲げ、2018年に設立されました。2021年には第三者割当増資を通じて19.3億円の資金調達を行い、その累計調達額は24.3億円に達しました。このような背景のもと、同社はコミュニティサクセスプラットフォーム「commmune(コミューン)」を提供し始めました。導入前に企業が抱えていた課題
「commmune」の顧客にエンタープライズの企業が増えてきたことから、より高いセキュリティレベルを客観的に示す必要が生じました。セキュアなアプリケーション開発は常に意識していたものの、現在のセキュリティレベルを網羅的に把握する手段を模索していたところ、社内での脆弱性洗い出しには多くの工数がかかるという課題が浮上しました。導入前の課題に対する解決策
上記の課題を解決するため、コミューン株式会社は第三者のベンダーにセキュリティ診断を依頼することを決定しました。Flatt Securityを選択した決め手として、初回のミーティングで技術的な話ができるスピード感や、プロジェクト進行の解像度の高さが挙げられます。また、Flatt Securityの報告書は開発者に寄り添った内容であり、具体的な指示レベルでの対策提案があったことも評価されました。製品の導入により改善した業務
「commmune」を対象としたWebアプリケーション診断を実施した結果、コミューン株式会社はセキュリティの課題を具体的に把握することができました。Flatt Securityの報告書は、指摘事項が具体的で再現性が高く、エンジニアのリソースを効率的に活用することが可能となりました。特に、脆弱性を発生させないための根本的な対策を具体的な指示レベルで提示してもらえたことは、他のベンダーとの大きな違いでした。NFT管理サービスのセキュリティ診断。他社では難しかった「認可フローを重点的に診断」「gRPC-Web対応」の2要件をクリア
※出典:double jump.tokyoのNFT管理サービスのセキュリティ診断。他社では難しかった「認可フローを重点的に診断」「gRPC-Web対応」の2要件をクリア | Flatt Security
この導入事例のポイント
- 企業のセキュリティ要件に対応するため、セキュリティ診断を受けたいと考えていた
- 段取りの良さとスピード感を評価し、同社のセキュリティ診断サービスを導入
- 可読性の高い報告書のフォーマットだったため、指摘内容が理解しやすかった
製品を導入することになった背景
double jump.tokyo株式会社は、NFT・ブロックチェーンゲーム専業開発会社として2018年4月3日に設立されました。彼らは「My Crypto Heroes」「BRAVE FRONTIER HEROES」などのブロックチェーンゲームの開発や、大手コンテンツホルダーを対象としたNFTの発行販売を行っています。また、ゲーム・メタバース提携を支援するNFT事業支援サービス「NFTPLUS」や、複数人で秘密鍵を管理できるビジネス向けNFT管理サービス「N Suite」の提供・開発も行っています。導入前に企業が抱えていた課題
「N Suite」は、複数人で秘密鍵を管理できるビジネス向けNFT管理サービスであり、NFT発行や暗号資産の送金、スマートコントラクトのデプロイなど、NFT/Web3領域の事業をスムーズかつ効果的に行うための製品を含んでいます。組織の秘密鍵管理の課題を解決することで、組織がWeb3の基盤となるブロックチェーンにアクセスするハードルを下げることが目的でした。導入前の課題に対する解決策
double jump.tokyo株式会社は「N Suite」のセキュリティを強化する必要性を感じていました。特に「N Suite」はユーザーのセキュリティに関する課題を解決するプロダクトであるため、そのセキュリティも強化する必要があったと語っています。このため、Flatt Securityにセキュリティ診断を依頼し、認可フローについての診断を重点的に行ってもらうことを決定しました。製品の導入により改善した業務
「N Suite」の導入により、double jump.tokyo株式会社は秘密鍵管理の課題を解決し、組織がWeb3の基盤となるブロックチェーンにアクセスするハードルを下げることができました。また、セキュリティ診断を通じて、プロダクトの認可フローについての理解を深め、セキュリティの強化を図ることができました。これにより、組織内でのNFT/Web3領域の事業の進行がスムーズになり、より安全なサービス提供が可能となりました。データ統合自動化サービスのホワイトボックス診断を実施。「顧客の機密データを扱うSaaSだからこそ高いレベルの検証を求めていた」
※出典:データ統合自動化サービス「trocco®」のホワイトボックス診断を実施。「顧客の機密データを扱うSaaSだからこそ高いレベルの検証を求めていた」 | Flatt Security
この導入事例のポイント
- 機微情報を扱うため、既存のセキュリティ対策に加えてより高度な検証を求めていた
- 顧客目線のプランの提案とブログから伝わる高い技術力を評価し、同社のサービスを導入
- セキュリティサービス診断をした結果、より高度なセキュリティ検証を行うことができた
製品を導入することになった背景
株式会社primeNumberは、2015年11月19日に設立され、データ統合自動化サービス「trocco®」の開発・運営を行っています。社名は「素数」を意味し、未知を恐れず新しい価値を生み出すという想いが込められています。データ統合自動化サービス「trocco®」は、ユーザーの持つ多種多様なデータを自動で統合し、データ活用を効率化するクラウド型サービスとして提供されています。導入前に企業が抱えていた課題
データ分析は多くの企業にとって必要不可欠ですが、データはそのままでは活用できず、前準備としてデータを「統合」する作業が必要でした。この「データ統合」の工程は手間がかかり、エンジニアの工数の約9割を占めていました。そのため、エンジニアは戦略的な業務に集中することが難しく、データ統合のリードタイムも長引いていました。導入前の課題に対する解決策
「trocco®」は「データ統合」を自動化することで、エンジニアの工数の約9割を削減するソリューションを提供します。このサービスの導入により、エンジニアはより戦略的な業務に集中することが可能となり、データ統合のリードタイムも大幅に削減されました。また、企業は営業やマーケティングの意思決定に、データを迅速に活用することができるようになりました。製品の導入により改善した業務
「trocco®」の導入により、データ統合の工数が大幅に削減され、エンジニアは戦略的な業務に専念することができるようになりました。データ統合のリードタイムも短縮され、企業はビジネスの意思決定を迅速に行うことができるようになりました。この結果、企業のビジネスの効率とスピードが大幅に向上し、より迅速な意思決定と戦略的な業務の実施が可能となりました。資産形成できるクレジットカードスマホアプリのホワイトボックス診断 Flatt Securityを選んだ理由
※出典:資産形成できるクレジットカード「Pool」スマホアプリのホワイトボックス診断 カンムがFlatt Securityを選んだ理由 | Flatt Security
この導入事例のポイント
- サービスがリリースされるタイミングで、洗いざらい全てをチェックしたいと考えていた
- セキュリティに対する技術力の高さを評価し、同社のセキュリティ診断サービスを導入
- 診断報告書に再現コードがあった為、テストコードに簡単に落としこむことができた
製品を導入することになった背景
株式会社カンムは「心理的unbankedをソフトウェアで解決する」というコーポレートポリシーのもと、各種FinTechサービスを展開しています。特に、2016年9月に提供を開始したVisaブランドのプリペイドカード「バンドルカード」のアプリは、累計600万ダウンロードを記録するなど、その成長の勢いは目覚ましいものがあります。そんな中、2022年6月に「手元の資産形成に活用できるクレジットカード」という新しいコンセプトのVisaクレジットカード「Pool」の提供を開始しました。この新製品のローンチに際して、セキュリティの確保は欠かせない要素であり、そのためのセキュリティ診断が必要となりました。導入前に企業が抱えていた課題
カンムでは、新製品「Pool」のローンチに向けて、セキュリティエンジニアとしての内部チェックを行っていましたが、その範囲は限定的でした。具体的には、「致命的な脆弱性が存在しないか」「他者のカード/資産/投資情報が見えないか」という基本的な観点でのチェックのみであり、より網羅的なセキュリティ診断が求められていました。また、社内での脆弱性診断の実施には、網羅的・体系的な診断項目の整備が課題として挙がっていました。導入前の課題に対する解決策
上記の課題を解決するため、カンムは外部ベンダーであるFlatt Securityにセキュリティ診断を依頼しました。Flatt Securityは、体系立った診断項目に沿ったセキュリティ診断を提供しており、これによりカンムのセキュリティエンジニアが抱えていた悩みを解消することができました。また、Flatt Securityを選んだ理由として、技術力の高さや前職での診断実績、信頼性が挙げられます。製品の導入により改善した業務
Flatt Securityによるセキュリティ診断の結果、カンムは診断結果が非常にわかりやすく、開発者からも好評を得ることができました。特に、再現手順の詳細さや診断結果の充実度は、他のベンダーと比較してもFlatt Securityが優れていると感じられました。このような詳細な診断結果により、カンムの開発エンジニアはセキュリティの問題点を迅速に把握し、適切な対応を行うことができました。次世代経営管理クラウドのWebアプリケーション診断 開発エンジニア目線で感じた診断実施のメリットとは?
※出典:次世代経営管理クラウド「Loglass」のWebアプリケーション診断 開発エンジニア目線で感じた診断実施のメリットとは? | Flatt Security
この導入事例のポイント
- 経営管理SaaSサービスを提供しているため、セキュリティ対策を重視していた
- 自社のセキュリティアドバイザーから紹介してもらい、同社の診断サービスを導入
- 診断の結果、納得できるアドバイスをいただけ、今後につなげることができた
製品を導入することになった背景
株式会社ログラスが提供する次世代経営管理クラウド「Loglass」は、2022年7月に正式リリースから2周年を迎え、そのミッション「テクノロジーで、経営をアップデートする。」のもと、多様な導入業界に合わせてサービスを拡充してきました。直近1年間での新機能のリリース実績は88件に上り、その技術的な進化とともに、セキュリティの確保が求められるようになりました。導入前に企業が抱えていた課題
Loglassは経営管理SaaSとして、お客様の重要なデータを扱うため、セキュリティ対策は極めて重要でした。過去にもセキュリティ診断は行われていましたが、ツールを使用した診断では、実施後の脆弱性の優先順位付けや課題の判断が難しく、効果的な対策が求められていました。導入前の課題に対する解決策
セキュリティの専門家として株式会社ログラスのセキュリティアドバイザーがいたことから、そのアドバイザーの経験を基にFlatt Securityを選択しました。Flatt Securityは、技術的な質問に迅速に対応できるだけでなく、Slackを通じたコミュニケーションの円滑さや、技術面での信頼感が決め手となりました。製品の導入により改善した業務
Flatt Securityのセキュリティ診断を受けた結果、Loglassのセキュリティリスクの調査・検証が効果的に行われました。特に、エンジニアとのコミュニケーションがスムーズに行われ、診断中の質問や課題に迅速に対応することができました。また、診断後の報告により、具体的なセキュリティ対策の方向性や優先順位が明確になり、今後の業務改善に繋がる有益な情報を得ることができました。クラウド型建設プロジェクト管理サービスのWebアプリケーション診断「技術的な不安を感じずに依頼できた」理由とは
※出典:クラウド型建設プロジェクト管理サービス「ANDPAD」新機能のWebアプリケーション診断 「技術的な不安を感じずに依頼できた」理由とは | Flatt Security
この導入事例のポイント
- 網羅性と客観性を担保するため、外部ベンダーによるセキュリティ診断を受けていた
- 技術面での親和性、優位性があると思い、同社のセキュリティ診断サービスを導入
- 開発者に寄り添っているレポートをもらえたため、改善策の検討につなげることができた
製品を導入することになった背景
株式会社アンドパッドが提供する「ANDPAD」は、施工管理サービスとしてスタートしました。ユーザー企業の成長やニーズに合わせて機能を拡充し続け、現在では建設現場の効率化から経営改善までを一元管理できるサービスとして、建設業界のDXを推進しています。このような背景の中、新機能の提供を予定しており、その前にセキュリティリスクの調査・検証を行う必要が生じました。導入前に企業が抱えていた課題
ANDPADはお客様の業務をサポートする機能を増やしてきましたが、それは同時に「機能が停止するとお客様の業務に影響が出る」というリスクも増大していました。特に新機能に関しては、そのリスクを最小限に抑えるためのセキュリティ対策が不可欠でした。導入前の課題に対する解決策
株式会社アンドパッドは、セキュリティ診断を外部ベンダーに依頼する方針を採用していました。今回、新機能のセキュリティ診断を行う際に、Flatt Securityという会社を選択しました。Flatt Securityは、技術的な優位性や、SaaS企業の診断実績が豊富であることから、アンドパッドとの親和性が高いと判断されました。製品の導入により改善した業務
セキュリティ診断をFlatt Securityに依頼することで、ANDPADの新機能に関するセキュリティリスクの調査・検証がスムーズに行われました。特に、Flatt Securityの報告書は開発者にとって非常に読みやすく、再現手順も明確であったため、開発チームが迅速に対応することができました。これにより、お客様の業務に影響を及ぼすリスクを大幅に低減することができました。“Web3×FinTech”複数サービスのWebアプリケーション診断を実施 Flatt Securityを選んだ決め手は?
※出典:BOOSTRYが提供する"Web3×FinTech"複数サービスのWebアプリケーション診断を実施 Flatt Securityを選んだ決め手は? | Flatt Security
この導入事例のポイント
- 金融機関に提供しているサービスのため、セキュリティ品質を高く保つ必要があった
- モダンな技術スタックとスピード感がある点を評価し、同社のサービス診断を導入
- 診断を受けた結果、優先順位をつけて対応事項を整理する際の判断基準ができた
製品を導入することになった背景
2019年、野村ホールディングスと野村総合研究所のジョイントベンチャーとして設立された株式会社BOOSTRYは、新時代の資金調達モデルを築くことを目指し、ブロックチェーン技術を活用したFinTechサービスを展開しています。その中で、BOOSTRYはFlatt Securityの「Webアプリケーション診断」を利用し、自社のサービス「E-Prime」と「E-Wallet」のセキュリティリスクを調査・検証することとなりました。導入前に企業が抱えていた課題
BOOSTRYが提供するサービスは金融機関向けであり、セキュリティの品質を非常に高く保つ必要がありました。特に、ブロックチェーンに接続している「E-Wallet」と「E-Prime」は、ブロックチェーンの特性上、一度の書き込み後の巻き戻しは不可能であるため、セキュリティの確保が不可欠でした。導入前の課題に対する解決策
セキュリティの品質向上のため、社内の取り組みだけでなく、外部の専門家からの監査も必要と判断しました。BOOSTRYは、Flatt Securityというセキュリティ専門の会社を知り、その技術力とスピード感に魅力を感じ、セキュリティ診断を依頼することとなりました。Flatt Securityのモダンな技術スタックと高い技術レベルのエンジニアが、BOOSTRYのサービスのセキュリティ診断を行う上での大きな決め手となりました。製品の導入により改善した業務
Flatt Securityによるセキュリティ診断を受けた結果、BOOSTRYのサービスのセキュリティリスクが明確になりました。診断報告書はMarkdown形式で提供され、開発ツールとの連携がスムーズに行えるようになりました。また、診断結果に基づき、優先順位をつけて対応事項を整理する際の判断基準として「攻撃成立の可能性」という指標が非常に役立ちました。これにより、BOOSTRYはセキュリティの向上を実現し、金融機関向けのサービスの品質を一層高めることができました。部門横断でセキュリティに取り組むWeb企業がWebアプリケーション診断を実施した背景とは?
※出典:部門横断でセキュリティに取り組むプレイド「KARTE」のWebアプリケーション診断は「期待の数段上」 | Flatt Security
この導入事例のポイント
- 顧客の個人情報や機微情報を扱っているため、セキュリティ診断を定期的に実施していた
- 発信されているセキュリティの情報の質と、実績の多さを評価し、同社のサービスを導入
- 再現手順や、事象の背景や解決方法等、今後の改善に活かせる報告をもらうことができた
製品を導入することになった背景
株式会社プレイドは、CXプラットフォーム「KARTE」を中心に、データを活用して人の価値を最大化するというミッションを掲げています。この度、プレイドはFlatt Securityの「Webアプリケーション診断」を利用し、「KARTE」の一部機能におけるセキュリティリスクの調査・検証を行うこととなりました。この背景には、KARTEが取り扱うクライアント企業の1st Party Customer Dataに、顧客の個人情報や機微情報が多く含まれるため、その取り扱いをより厳密に行う必要があったからです。導入前に企業が抱えていた課題
KARTEは、顧客の1st Party Customer Dataを活用して、一人ひとりに寄り添った心地よい体験を生み出すことを目的としています。そのため、取り扱うデータには顧客の個人情報や機微情報が多く含まれています。このようなデータの取り扱いには、高いセキュリティが求められるため、定期的なセキュリティ診断が必要でした。また、社内でのセキュリティ診断だけではなく、外部ベンダーによる診断も求められていました。導入前の課題に対する解決策
株式会社プレイドは、セキュリティ診断のベンダー選定において、Flatt Securityを選択しました。Flatt Securityの技術ブログや診断事例などの情報発信の質と実績が、プレイドの選定の決め手となりました。特に、BtoB SaaSの診断実績が多いことから、プレイドのプロダクトやシステムに対しても、質の高いセキュリティ診断が期待できると判断しました。また、Flatt Securityのコミュニケーションの柔軟さも、プレイドにとって魅力的でした。製品の導入により改善した業務
Flatt Securityの「Webアプリケーション診断」を導入した結果、株式会社プレイドは「KARTE」のセキュリティリスクの調査・検証を効果的に行うことができました。診断報告書の質が高く、診断の精度も非常に高いと感じられました。具体的には、再現手順がコードベースで記載されており、事象の背景や解決方法もわかりやすく解説されていました。これにより、プレイドはセキュリティの課題を的確に把握し、迅速に対応することができました。シフトレフトを実践する薬局DXスタートアップがWebアプリケーション診断を実施した背景とは?
※出典:シフトレフトを実践する薬局DXスタートアップ・カケハシ 4サービスのGraphQL・Webアプリケーション診断実施の背景とは? | Flatt Security
この導入事例のポイント
- 事業拡大に伴い、協業が増えていきプロダクトの信頼性を担保していきたいと思っていた
- スピード感、防御手法のトレーニングができる点を評価し、同社のサービスを導入
- コミュニケーションコストを低く抑えられた結果、効率的に診断を実施することができた
製品を導入することになった背景
株式会社カケハシは、日本の医療体験を向上させるためのミッションを掲げ、薬局・薬剤師と患者の間の薬局体験を向上させるためのプロダクト「Musubi」を中心に、さまざまな製品を開発してきました。特に、Musubiの市場シェアが10%を超え、全国7,000店舗以上の薬局での採用が進む中、2023年1月には約76億円の資金調達を実施。このような急速な事業拡大の中、大手企業との協業の機会も増えてきました。導入前に企業が抱えていた課題
カケハシの製品は、個人情報や機微情報を扱うため、開発時からセキュリティを強く意識していました。特に、内部統制に関しては、開発者がどのデータを閲覧できるか、どのデータを操作できるかなど、専門家の助言を受けながら確認していました。しかし、市場シェアの拡大や大手企業との協業を進める中で、これまで以上に製品の信頼性を担保する必要が出てきました。導入前の課題に対する解決策
カケハシは、製品の信頼性をさらに担保するため、外部ベンダーにセキュリティ診断を依頼することを決定しました。Flatt Securityが提供するセキュアコーディングプラットフォーム「KENRO」を以前から利用しており、その経験をもとにFlatt Securityをセキュリティ診断のベンダーとして選定しました。Flatt Securityは、経済産業省の情報セキュリティサービス基準適合サービスリストに掲載されており、同じフェーズのスタートアップの診断実績も多いため、信頼して依頼を決定しました。製品の導入により改善した業務
Flatt Securityによるセキュリティ診断の結果、カケハシの製品はOWASP TOP10をはじめとした多くの観点での診断を受け、業務ロジックに関するアドバイスも受け取りました。診断報告書は非常にわかりやすく、開発エンジニアからの疑問も少なかったため、迅速に対応することができました。この診断により、製品のセキュリティ面での信頼性がさらに向上し、大手企業との協業を進める際の信頼性も担保することができました。セールスイネーブルメントクラウドのWebアプリ+GCP+Firebase診断 診断報告に開発者から「多数の喜びの声」
※出典:「ナレッジワーク」のWebアプリ+GCP+Firebase診断 診断報告に開発者から「多数の喜びの声」 | Flatt Security
この導入事例のポイント
- ベンダーに依頼していたが、業者選定を見直しセキュリティ診断を実施することになった
- 複合的な提案内容に興味を持ち、同社の脆弱性診断ツールを導入することを決定
- 開発エンジニアが対応すべきことが明確になり、改修工数の見積りも非常に楽になった
製品を導入することになった背景
株式会社ナレッジワークが提供するセールスイネーブルメントクラウド「ナレッジワーク」は、営業ノウハウの共有や商談管理、営業職向けの学習プログラムの提供など、セールスイネーブルメントの多岐にわたる要素を体系的に提供するプラットフォームとして知られています。この製品は、大手企業から成長企業まで、多様な業界での導入と活用が進められています。今回、ナレッジワークはFlatt Securityのセキュリティ診断メニューを利用し、その一部機能に対するセキュリティリスクの調査と検証を実施することとなりました。導入前に企業が抱えていた課題
ナレッジワークは、営業資料や社内ノウハウの共有、顧客や商談の管理など、営業職の方々を対象としたBtoB SaaSとして提供されています。そのため、ユーザー企業の営業情報や顧客情報など、売上の源泉となる重要な情報を保持しています。このような重要な情報を持つサービスとして、セキュリティの確保は極めて重要であり、その担保が求められていました。導入前の課題に対する解決策
ナレッジワークは、セキュリティの担保を重視しており、創業当初から定期的にセキュリティ診断を実施してきました。しかし、技術力の高い会社にセキュリティ診断を依頼するという新たなニーズが生まれました。Flatt Securityは、その技術力と信頼性から選ばれ、今回のセキュリティ診断の依頼先となりました。特に、Flatt SecurityがGCPに対応している点や、技術的な信頼性が高いという評価が選定の決め手となりました。製品の導入により改善した業務
Flatt Securityのセキュリティ診断を受けた結果、ナレッジワークは多くの喜びの声を受け取りました。診断報告書には再現手順が詳しく記載されており、開発エンジニアが対応すべき内容が明確になったため、迅速な改修対応が可能となりました。このように、診断を通じて得られた具体的なフィードバックにより、業務の改善とセキュリティの向上が実現されました。上場を機にセキュリティ診断を実施。品質の高さに満足し短期間で計4回の診断を実施しリスクを洗い出した
※出典:上場を機にセキュリティ診断を実施。品質の高さに満足し短期間で計4回の診断を実施しリスクを洗い出した | Flatt Security
この導入事例のポイント
- 上場タイミングで第三者視点によるセキュリティ診断が必要になりベンダーを探していた
- 対応がスピーディーで準備工数も少なかった点を評価し、同社のサービスを導入
- 報告書が分かりやすく、セキュリティ知識の少ないエンジニアでも理解できた
製品を導入することになった背景
2015年に創業された株式会社ワンキャリアは、データをテクノロジーによって可視化し、透明性のある社会を創るというビジョンのもと、採用DX支援サービス事業を展開してきました。特に、新卒採用支援メディア「ONE CAREER」や中途採用支援メディア「ONE CAREER PLUS」、そして人事向けサービス「ONE CAREER CLOUD」など、採用市場を変革するサービスを開発・運用しています。そして、2021年9月2日に東京証券取引所に上場承認を受け、2021年10月7日にIPOを果たしました。この上場を機に、サービスが大きく注目されることを予見し、セキュリティ診断の必要性を感じました。導入前に企業が抱えていた課題
株式会社ワンキャリアは、サービスが大きく注目されることを予見し、悪意あるユーザーからの攻撃の対象になる可能性を懸念していました。また、執行役員/CTOによれば、入社初期には人手が足りず、目先の開発が最優先となり、セキュリティ対応が後回しになっていたとのこと。Ruby on Railsで使用しているgemに関する脆弱性チェックは行っていたものの、包括的なセキュリティ診断は実施できていませんでした。導入前の課題に対する解決策
上記の課題を解決するため、株式会社ワンキャリアは第三者視点でのセキュリティ診断を実施することを決定しました。Flatt Securityを含め、複数の診断会社を検討した結果、Flatt Securityが最もスピーディーで、事前の準備工数も少なかったため、この会社を選択しました。また、Flatt Securityのセキュリティエンジニアが打ち合わせの初期段階から参加し、診断対象の選定やリスクフォーカス型プランの提案など、株式会社ワンキャリアのニーズに応じたサービスを提供してくれました。製品の導入により改善した業務
Flatt Securityによるセキュリティ診断の結果、株式会社ワンキャリアは脆弱性の対策を迅速に進めることができました。報告書は非常に分かりやすく、1年半前に未経験で入社したエンジニアやインターン生エンジニアでも内容を理解し、対策を進めることができました。この結果、セキュリティ診断から対策完了までのプロセスが非常にスムーズに進行し、株式会社ワンキャリアのセキュリティ対策が大きく前進しました。この導入事例のポイント
- ビジネス展開にあたり、セキュリティテストを実施できる日本ベンダーを探していた
- 著名なセキュリティエンジニアが在籍している点を評価し、同社のサービスを導入
- OT向けセキュリティデバイスにペネトレーションテストを実施することができた
製品を導入することになった背景
BlackBear Industrial Networking Security Ltd.(以下、BlackBear社)は、台湾発のスタートアップ企業として、セキュリティプロダクトを通じてネットワークとインフラストラクチャーを強化することを目指しています。長年の事業展開を通じて蓄積されたネットワークの専門知識を活かし、軍事レベルの産業用セキュリティデバイスを提供しており、その中でも「BlackBear’s Intelligent Gateway」という製品があります。この製品は、データの単一方向伝達を可能にするセキュリティデバイスとして、産業のIT化が進む中でのセキュリティの脅威に対応するためのものです。導入前に企業が抱えていた課題
BlackBear社は、産業のIT化が進む中で、機器がオンライン接続することでセキュリティが脅かされるリスクが増加していると認識しています。このような背景の中で、企業が安全で信頼性の高い製品を提供するためには、製品のセキュリティ性能を証明する必要がありました。特に日本市場でのビジネス展開を考える中で、製品のセキュリティ性能を第三者機関によって評価・証明することが求められていました。導入前の課題に対する解決策
BlackBear社は、製品のセキュリティ性能を証明するための方法として、国際規格の取得や第三者のセキュリティベンダーによる製品の診断を検討していました。その中で、Flatt Securityを選択した理由として、スピード感のあるコミュニケーションや、CTFや脆弱性リサーチでの実績を持つセキュリティエンジニアの存在が挙げられます。また、Flatt Securityは、他の日本のベンダーと比較してもリーズナブルな価格で診断を提供してくれる点も魅力的でした。製品の導入により改善した業務
Flatt Securityによるペネトレーションテストの結果、BlackBear社の「BIG9000」という製品のセキュリティ性能が証明されました。この診断を通じて、BlackBear社は製品のセキュリティ性能を顧客に対して明確に示すことができ、日本市場での信頼性を高めることができました。また、Flatt Securityとのスムーズなコミュニケーションや技術的な指摘を受け取ることで、製品のさらなる改善やアップデートの方針を考える上での参考となりました。SaaSのアジャイル開発にも定期的なセキュリティ診断の実施が必須。報告書など診断の品質が決め手に
※出典:SaaSのアジャイル開発にも定期的なセキュリティ診断の実施が必須。報告書など診断の品質が決め手に | Flatt Security
この導入事例のポイント
- セキュリティ機能を強化するため、診断会社を毎回変えてセキュリティ診断を行っていた
- ビジネスカンファレンスで一緒になり、技術力の高さを評価し、同社のサービスを導入
- 報告書のクオリティが高く、セキュリティの重要事項をより把握しやすくなった
製品を導入することになった背景
株式会社クロスワープは、コンテンツビジネスの現場力をコンピューティングでアップグレードすることをミッションとして、コンテンツビジネス業界向けのクラウドコンピューティングサービスの開発と運営を行っています。特に「MODD」というエンターテインメント業界向けのSaaS型EC・ファンクラブ運営プラットフォームを提供しており、このサービスは大規模なECサービスの展開に必要な各種機能を網羅しています。導入前に企業が抱えていた課題
「MODD」は、決済機能や個人情報に関連する機能など、アップデートによって重大なセキュリティホールが生じる可能性がある部分を持っています。そのため、セキュリティ診断は非常に重要であり、これまでの取り組みとしては、診断会社を固定せず、都度異なる会社にセキュリティ診断を依頼していました。しかし、診断結果のクオリティは会社によって異なり、どの会社が最も適切かの判断は難しかったです。導入前の課題に対する解決策
Flatt Securityとの出会いは、代表の山崎がビジネスカンファレンスでFlatt Securityのブースを訪れたことから始まりました。その後、セキュリティ診断が必要になった際に、Flatt Securityに依頼することとなりました。特に、Flatt Securityのセキュリティ診断の報告書のクオリティが高く、修正方法や注意事項が非常に分かりやすかったことが、継続的な依頼の決め手となりました。製品の導入により改善した業務
Flatt Securityのセキュリティ診断を受けることで、株式会社クロスワープは自社のサービス「MODD」のセキュリティ面での課題を明確に把握することができました。また、Flatt Securityとの連携により、アジャイル開発のリリースに合わせて定期的にセキュリティ診断を実施する体制を築くことができました。これにより、開発のスピードを維持しつつ、セキュリティ面でのリスクを最小限に抑えることができるようになりました。AWSのセキュリティ診断事例「Cognitoも診断可能」「信頼できる技術ブログ」の2つが依頼の決め手に
※出典:AWSのセキュリティ診断事例 「Cognitoも診断可能」「信頼できる技術ブログ」の2つが依頼の決め手に | Flatt Security
この導入事例のポイント
- 自社で利用していた「Cognito」のセキュリティに詳しい診断会社を探していた
- 「Cognito」に関する記事を見て、信頼できると思い、同社のサービスを導入
- 報告書が分かりやすく、エンジニアだけでなく企画側の人たちの理解も得やすかった
製品を導入することになった背景
株式会社教育測定研究所(JIEM)は、東証一部上場のEduLab(エデュラボ)のグループ会社として、教育測定技術の研究開発を行っています。その成果として、多くの教育系事業を展開しており、教育機関に対しても様々なサービスを提供しています。2021年6月には、総合学習支援の窓口プラットフォーム「スタギア」をリリースしました。このプラットフォームは、学習者に適した学習サービスや入試関連情報をAIを活用してリコメンドするもので、多くの学習者に質の高い学習機会を提供することを目指しています。導入前に企業が抱えていた課題
「スタギア」のリリースにあたり、セキュリティ面での課題が浮上していました。特に、Amazon Cognitoを用いた認証周りのセキュリティが懸念されていました。社内にはCognitoの詳しいナレッジが十分になく、適切なセキュリティ対策が求められていました。また、過去に他の診断会社での診断経験はあったものの、Cognitoまでの診断を行ってくれる会社は少なく、適切な診断を受けるための方法を模索していました。導入前の課題に対する解決策
この課題を解決するために、Flatt Securityにセキュリティ診断を依頼することとなりました。Flatt Securityの技術ブログで、Cognito利用時のセキュリティに関する詳しい情報が掲載されていたことが、依頼の決め手となりました。Flatt Securityは、Cognitoの不適切な利用に対する攻撃手法やその対策について詳しく知っていると感じられたため、信頼して依頼を行うことができました。また、診断プランの提案も柔軟に行っていただき、Cognitoを含めた診断を受けることができました。製品の導入により改善した業務
Flatt Securityによるセキュリティ診断の結果、大きな脆弱性は見つからず、社内のセキュリティ対策が適切であったことが確認されました。また、報告書の内容が非常にわかりやすく、エンジニアだけでなく、企画側にも共有しやすい内容となっていました。これにより、社内全体でのセキュリティ意識の向上や、今後の開発方針の確立に役立ちました。セキュリティ診断を受けることで、製品の安全性を確保し、ユーザーに安心してサービスを利用してもらうことができるようになりました。CVEの実績を信頼し、グローバルに展開されるPOSサービスアプリケーションのセキュリティ診断を依頼
※出典:CVEの実績を信頼し、グローバルに展開されるPOSサービスアプリケーションのセキュリティ診断を依頼 | Flatt Security
この導入事例のポイント
- 海外向け製品のため、定期的・継続的にセキュリティ診断の実施が必要だった
- 公開されているCVE実績と、技術力の高さを評価し、同社のサービスを導入
- 診断報告書の内容も明瞭で理解しやすく、社内エンジニアが対応策を立てやすかった
製品を導入することになった背景
1918年創業のグローリー株式会社は、国産初の硬貨計数機を開発した企業として知られています。現在では、レジでの代金のつり銭を自動的に払い出す「つり銭機」や、売場の売上金をバックヤードで一括して入金し、集計・収納を行う「売上金入金機」など、金融、流通・交通業界を中心に幅広い市場で事業を展開しています。さらに、米国や欧州、中国の金融市場や流通市場にも進出しており、海外の主力製品としては、金融機関の窓口での紙幣入出金を自動化する「窓口用紙幣入出金機」や、高性能の読み取りセンサーを活用して複数の金種が混ざった紙幣を正確に分類・計数する「紙幣整理機」を提供しています。導入前に企業が抱えていた課題
グローリー株式会社は、世界100か国以上で製品を販売するグローバル企業として、海外市場でのセキュリティ要件の厳格化に直面していました。特に、アメリカやオーストラリアなどの国々では、製品を導入する企業からセキュリティ診断やペネトレーションテストの要求が増えてきており、これに対応するためのセキュリティ強化が急募となっていました。導入前の課題に対する解決策
このような背景を受け、グローリー株式会社はFlatt Securityにセキュリティ診断を依頼することとなりました。Flatt Securityは、その「脆弱性リサーチプロジェクト」でのCVE実績をもとに、技術力の高さを確認できると判断されました。また、Flatt Securityの提供するセキュアコーディング学習のeラーニング「KENRO」も評価され、その内容から技術力を実感することができました。このような経緯を経て、セキュリティ診断の依頼が決定されました。製品の導入により改善した業務
Flatt Securityのセキュリティ診断を受けた結果、グローリー株式会社は想定以上の内容で満足することができました。報告書の内容は明瞭で理解しやすく、報告内容の再現も簡単に行うことができました。この診断を通じて、セキュリティの知識がないメンバーでもドキュメントを理解することができるようになり、チーム全体のセキュリティ意識の向上に寄与しました。プロダクトの仕様に沿った提案はFlatt Securityだけだった。結果にも満足し、セキュリティ診断に対するマイナスイメージも払拭
※出典:プロダクトの仕様に沿った提案はFlatt Securityだけだった。結果にも満足し、セキュリティ診断に対するマイナスイメージも払拭 | Flatt Security
この導入事例のポイント
- 顧客から第三者診断を求められることが増えてきたため、対応を検討していた
- 複数社との比較の結果、提案内容のレベルがもっとも高かった同社のサービスを導入
- 専門のセキュリティエンジニアの方に、細かいところまでしっかり診断してもらえた
製品を導入することになった背景
株式会社overflowは、2017年に創業しました。そのミッションは「世の中の非効率を解決し、ひとの時間をふやす仕組みをつくる」として、ハイクラスエンジニア・デザイナーに特化した複業・転職マッチングプラットフォーム「Offers(オファーズ)」の開発・運営を行っています。2021年12月には、シリーズAラウンドで3億円の資金調達を成功させました。このような背景のもと、セキュリティ診断の必要性が高まり、Flatt Securityを選択することとなりました。導入前に企業が抱えていた課題
株式会社overflowは、定期的に社内で脆弱性診断ツール「OWASP ZAP」を使用していましたが、大手クライアントからのセキュリティ要件や株主からの第三者診断の推奨など、外部からの要求が増えてきました。また、サービスのセキュリティを更に強化する必要性を感じており、手動での診断が可能な診断会社を探していました。導入前の課題に対する解決策
複数の診断会社から見積もりを取得した中で、Flatt Securityが最も提案内容のレベルが高かったため、選択されました。他の診断会社は複数のプランを提案していましたが、具体的な診断対象の選定は株式会社overflow側で行う必要がありました。しかし、Flatt Securityはアプリケーションの構成や仕様を理解し、特に検査を重点的に行いたかった画面に焦点を当てた診断範囲を提案してくれました。製品の導入により改善した業務
Flatt Securityのセキュリティ診断を受けた結果、専門家の知見により、細かい部分まできちんと診断されたことが確認できました。これにより、社内のメンバーもセキュリティの専門家の知見の価値を実感しました。また、過去のセキュリティ診断経験と比較して、エンジニアフレンドリーな報告書が提供され、再現性の高い脆弱性情報が提供されたことで、業務の効率化が図られました。GCPへの大規模移行に伴いセキュリティ診断を実施。クラウドとアプリケーションはセットで診断すべきと考えていたのでFlatt Securityを選んだ
※出典:GCPへの大規模移行に伴いセキュリティ診断を実施。クラウドとアプリケーションはセットで診断すべきと考えていたのでFlatt Securityを選んだ | Flatt Security
この導入事例のポイント
- AWSからGCPへ移行するにあたり、セキュリティ診断を実施する必要があった
- 自社の懸念点を汲み取り、最適な診断プランを提示してくれた為、同社のサービスを導入
- 報告書の内容が丁寧でとても読みやすく、次のアクションを策定しやすかった
製品を導入することになった背景
株式会社SmartHRは、2013年1月に設立され、2015年11月にクラウド人事労務ソフト「SmartHR」の提供を開始しました。その後、関西支社、九州支社、東海支社と拠点を拡大。2021年にはシリーズDラウンドで海外投資家から約156億円を調達し、累計調達額は約238億円となりました。これにより、創業から8年で企業価値が10億ドル(約1100億円)以上のユニコーン企業としての地位を築き上げました。導入前に企業が抱えていた課題
株式会社SmartHRは、サービスの成長とともに導入企業数が増加しました。大手企業との取引も増え、セキュリティやその他の要件に対する要求が高まってきました。インフラとしては、AWSとHerokuを主に使用していましたが、2021年からGCPへの移行を決定。しかし、GCPへの知見が会社全体で不足しており、セキュリティ面での課題を感じていました。導入前の課題に対する解決策
GCPへの移行を決定した背景には、サービスの成長と導入企業数の増加がありました。AWSとGCPのどちらが優れているかは一概には言えませんが、株式会社SmartHRの要件にはGCPが多く合致していました。セキュリティ診断の必要性を感じ、Flatt Securityを選定。Flatt Securityは、アプリケーションの仕様を踏まえた上で、Webアプリケーション診断とGCPの設定をチェックする「クラウドアプリケーション診断」を提案しました。製品の導入により改善した業務
セキュリティ診断を受けた結果、大きな脆弱性がないことが確認され、安心感を得ることができました。また、報告書は非常に読みやすく、セキュリティが専門ではない開発チームのメンバーも内容をスムーズに理解することができました。このように、Flatt Securityの提供するセキュリティ診断は、株式会社SmartHRの業務効率化やセキュリティ向上に大きく貢献しました。「短期間で認証・認可のロジックを重点的に診断する」という要求にFlatt Securityがベストな診断スタイルを提案してくれた
※出典:「短期間で認証・認可のロジックを重点的に診断する」という要求にFlatt Securityがベストな診断スタイルを提案してくれた | Flatt Security
この導入事例のポイント
- 医療情報を扱うにあたり、「安全管理に関するガイドライン」に沿う必要があった
- 自社の診断要求から、最適なプランを提示してくれた点を評価し、同社のサービスを導入
- Markdown形式の報告書であった為、GitHubへのタスクの起票が楽になった
製品を導入することになった背景
Ubie(ユビー)株式会社は、2017年5月に医師とエンジニアが創業したヘルステックスタートアップとして、テクノロジーを活用して人々を適切な医療へと案内するミッションを掲げています。AIを核とした技術で、生活者向けの症状検索エンジン「ユビー」や医療機関向けの診療支援サービス「ユビーメディカルナビ」を開発・提供しており、2020年には20億円の資金調達を成功させ、その調達額ランキングで18位に位置しています。導入前に企業が抱えていた課題
Ubie(ユビー)株式会社は、サービスの開発や価値検証に注力してきました。そのため、社内のセキュリティエンジニアはGCPの権限周りの設定の確認は行っていたものの、第三者による詳細な診断までの対策は実施されていませんでした。サービスの利用者が増加し、機能開発も一段落したことから、第三者機関にセキュリティ診断を依頼する必要が生じました。導入前の課題に対する解決策
セキュリティ診断の必要性を感じたUbie(ユビー)株式会社は、複数の診断会社を検討しました。多くの診断会社から網羅的な診断を提案される中、Flatt SecurityはUbieの現状を理解し、リスクフォーカス型プランを提案。このプランは、短期間で深刻な脆弱性を見つけることを目的としており、Ubieの要求に合致していました。特に、Ubieが最も懸念していた認証・認可の部分を重点的に診断することが求められました。製品の導入により改善した業務
Flatt Securityのセキュリティ診断を受けた結果、Ubie(ユビー)株式会社は、特に気になっていた部分で期待していた結果を得ることができました。また、報告書は内容が分かりやすく、修正方法の手順も詳細に記載されていたため、エンジニアが迅速に対応することができました。特に、Markdown形式の報告書を提供されたことで、GitHubのIssueにスムーズに情報を転載し、タスクの起票が容易になりました。NFTサービスのセキュリティ診断を実施。「ロールバックできないブロックチェーンだからこそ入り口を固める必要がある」
※出典:NFTサービスのセキュリティ診断を実施。「ロールバックできないブロックチェーンだからこそ入り口を固める必要がある」 | Flatt Security
この導入事例のポイント
- 自社サービスのセキュリティ診断が必要になり、対応できる企業を探していた
- 問合せからの対応がスピーディーで、安心して任せられると思い、同社のサービスを導入
- 診断報告書の指摘事項が分かりやすかったため、対応策の検討がしやすかった
製品を導入することになった背景
2019年に設立されたAnique(アニーク)株式会社は、アニメ「進撃の巨人」のアートワーク26点のデジタル所有権を抽選販売することをきっかけに、NFT技術を活用した事業をスタートしました。アニメやマンガ、ゲームなどのアートワークをNFTに紐付け、ブロックチェーン上での管理や取引が可能なプラットフォーム「Anique」を展開し、デジタルの利点を活かした新たなエンターテインメントを世界に向けて発信しています。導入前に企業が抱えていた課題
Anique株式会社は、ブロックチェーン技術を活用することで、データの改ざんができない特性を持つため、不正なデータが書き込まれた際にロールバックができないという課題がありました。そのため、Webアプリケーションの入り口である部分のセキュリティを強固にする必要がありました。導入前の課題に対する解決策
Anique株式会社は、セキュリティ診断を外部に依頼することを決定しました。Flatt Securityにセキュリティ診断を依頼することで、技術的な脆弱性を早期に発見し、対策を講じることができました。特に、Flatt Securityが提供するGCP診断とGraphQL APIのホワイトボックス診断を利用することで、高度なセキュリティ対策を実施することができました。製品の導入により改善した業務
Flatt Securityのセキュリティ診断を通じて、Anique株式会社は大きな脆弱性が発見されることなく、安心してサービスを提供することができるようになりました。また、診断報告書には具体的な再現方法や対策方法が分かりやすく記載されており、セキュリティの向上に大きく寄与しました。これにより、ブロックチェーン技術を活用したサービスの安全性と信頼性を高めることができました。「Fintechとして技術力重視」「モダンなアプリケーションへの最適化」という要望を両立し、ホワイトボックス形式で診断を実施
※出典:「Fintechとして技術力重視」「モダンなアプリケーションへの最適化」という要望を両立し、ホワイトボックス形式で診断を実施 | Flatt Security
この導入事例のポイント
- 前回の診断ではカバーできなかったアングルがあった為、ベンダーを探していた
- エンジニアによる手動診断を提案してくれたことを評価し、同社サービスを導入
- 報告書の内容が分かりやすく、専門でない社内エンジニアでも理解することができた
製品を導入することになった背景
株式会社sustenキャピタル・マネジメントは、ゴールドマン・サックス・アセット・マネジメント出身者らを中心に設立され、個人向け資産運用サービス「SUSTEN(サステン)」の提供を開始することを目指していました。同社は「誰もが安心して暮らせるsustainableな社会の実現」をビジョンとして掲げており、そのためのサービス開発を進めていました。その中で、サービスのセキュリティを確保するための対策が必要となり、Flatt Securityにセキュリティ診断を依頼することとなりました。導入前に企業が抱えていた課題
株式会社sustenキャピタル・マネジメントは、資産運用サービス「SUSTEN」を提供しており、そのサービスは最新の投資理論に基づいて自動で運用するものでした。しかし、前回のセキュリティ診断ではカバーできなかった領域が存在し、特に「トークンベースの認証」などの領域が対象外となっていました。このような背景から、より堅牢なセキュリティを確保するための対策が求められていました。導入前の課題に対する解決策
株式会社sustenキャピタル・マネジメントは、前回のブラックボックス診断ではカバーできなかった領域をカバーするため、ソースコードレベルからのホワイトボックス診断を検討していました。その中で、Flatt Securityが提供するホワイトボックス診断が適していると判断しました。Flatt Securityは、セキュリティエンジニアによる手動診断を提案しており、これが株式会社sustenキャピタル・マネジメントの要望に合致していました。製品の導入により改善した業務
Flatt Securityによるセキュリティ診断の結果、株式会社sustenキャピタル・マネジメントは「SUSTEN」のセキュリティを強化することができました。報告書の内容は非常に分かりやすく、社内のエンジニアも問題なく理解することができました。また、診断結果をもとに、今後の開発において参考となる情報やアドバイスを多数受け取ることができ、サービスの品質向上に繋がりました。普段から高いレベルでセキュリティを実践するPCI DSS取得企業としても、満足できる体験の診断だった
※出典:普段から高いレベルでセキュリティを実践するPCI DSS取得企業としても、満足できる体験の診断だった | Flatt Security
この導入事例のポイント
- 顧客から高いセキュリティ基準が要求されたため、個別で診断を実施する必要があった
- 診断項目表をみせてくれたことに加え、金額面での折り合いがつき同社のサービスを導入
- 自社の工数負荷も少なく、スケジュールないに診断を完了させることができた
製品を導入することになった背景
2019年に設立された株式会社スマートバンクは、家計簿アプリ「B/43(ビーヨンサン)」の開発・提供を行うFinTech企業として知られています。スマートバンクの代表は、楽天株式会社に買収されたフリマアプリ「フリル」を開発した企業の設立者としても有名です。2021年7月には、前年に10億円の資金調達を実施したことが公表されました。導入前に企業が抱えていた課題
スマートバンクが提供する「B/43」は、他社との連携が必要なサービスであり、特に金融機関との取引が多いため、厳格なセキュリティ基準が求められます。そのため、新しい機能を導入する前に、セキュリティの確認と診断が不可欠でした。導入前の課題に対する解決策
セキュリティの確認と診断のため、スマートバンクはFlatt Securityにセキュリティ診断を依頼しました。Flatt Securityは「B/43」のAPI診断、スマートフォンアプリ診断、プラットフォーム診断を担当し、診断の結果をスマートバンクに提供しました。この診断は、金融機関などの取引先に提出するため、技術者だけでなく、非技術者にも理解しやすい内容であることが求められました。製品の導入により改善した業務
セキュリティ診断の結果、スマートバンクは「B/43」のセキュリティを強化し、取引先やユーザーに安全なサービスを提供することができるようになりました。また、Flatt Securityの診断は、スマートバンクの事前の準備負担を最小限に抑えることができ、スケジュールも厳守されたため、スマートバンクは診断結果に満足しています。セキュリティベンダー出身のエンジニア目線でも信頼できる技術力。円滑なコミュニケーションと柔軟な診断プランの対応も決め手に
※出典:セキュリティベンダー出身のエンジニア目線でも信頼できる技術力。円滑なコミュニケーションと柔軟な診断プランの対応も決め手に | Flatt Security
この導入事例のポイント
- 機密性の高い情報を扱うサービスのため、実績あるベンダーによる診断を受けたかった
- ブログから伝わる高い技術力と診断プランの柔軟性を評価し、同社のサービスを導入
- 機能豊富なサービスにもかかわらず質疑が少なかったため、対応工数を削減できた