株式会社Flatt Security: プロダクトを良くするためのセキュリティとそれを支える Google Cloud の開発体験
Google Cloud Japan Team
編集者注: Google Cloud を利用する企業のリーダーの皆様にお話を伺い、想いを語っていただく Google Cloud Leader’s Story。連載 12 回目となる本記事では、株式会社 Flatt Security (以下、Flatt Security) の 取締役 CTO である、米内貴志氏にお話を伺いました。
“セキュリティの力で信頼をつなげ、クリエイティブな社会を実現する” というミッションを掲げ、セキュリティ診断サービスや、クラウド型学習プラットフォームの KENRO (ケンロー)、クラウド運用のためのセキュリティ SaaS である Shisho Cloud (シショウ クラウド) などを提供する Flatt Security。今回は、CTO の米内氏に、セキュリティへの思いや、Google Cloud への期待についてお話を伺いました。
利用しているサービス:Google Kubernetes Engine, Cloud Run, Cloud SQL, Compute Engine など
プロダクトを良くするためのセキュリティサービスを目指す
中学生の頃から、サイバーセキュリティに興味を持ち始めたという米内氏。インタビューの中で「プロダクトを良くするためのセキュリティ」という言葉を使い、自社サービスの魅力について語りました。
「セキュリティサービスを提供するにあたり、ただ診断結果などを送るだけでなく、プロダクトの改善に本当に役立つ情報を提供することが大切だと考えています。弊社では、セキュリティ診断において、外からスキャンを行うだけではなく、実際にソースコードを提示してもらい、それを読み解きながら細かいリスク分析を行っています。これにより、アウトプットがより具体的になり、プロダクトを良くするために何をすればよいかが明確になります。」
Flatt Security 社内には、ユーザー企業でセキュリティ経験を積んだメンバーも多数在籍しています。それにより、現場の困りごとや要求をユーザー目線で考えられることも自社の強みに繋がっていると話します。
米内氏はユーザ目線での課題の一つとして、プロダクト開発者向けのセキュリティ SaaS が市場に少ないことを指摘します。より開発者に寄り添ったサービスやプロダクトを提供することで、今後、開発者が自社のプロダクト開発により集中し、安心して良いものづくりを行なっていける環境を提供していきたいと語ります。
広い視野を持ち本質的なセキュリティ対策を目指す文化
セキュリティサービスを提供するにあたり、特定の技術領域やサービスに縛られないバランス感覚を持つことが重要だと米内氏は語ります。「クラウド領域、アプリケーション、ユーザの端末など、セキュリティで考慮するべきポイントは沢山あります。カバー範囲が広いからこそ、色々なところにアンテナを張り、お客さんが安全にサービスを提供しつづけるために、本当に重要なものが何かを見極めることが大事です。」
実際に、Flatt Security 社内のエンジニアの中では勉強会が活発に行われており、新しい技術スタックが出てきた際も、その技術のセキュリティに関する議論が活発に行われると言います。
「勉強会の中では、どのようなセキュリティインシデントが多いのか、などの議論が活発に行われています。例えば、昨今話題の生成 AI などにも関連し、プロンプトインジェクションの話なども上がります。しかし、ただ新しいから、話題だからとそこに飛びつくのではなく、実態を知った上で、本当にお客さんの事業にとってリスクが高いのは何なのかを広く深く考えることが重要だと思います。知らないことを知らないままにしておくのはリスクなので、まずはアンテナを高くして学んでいくことが必要です。」
未知の技術も学ぼうという姿勢をもったメンバーが多いこともあり、新しい技術も含め、バランスよく見極められる人が多いと話します。
インテグレーターから見ても開発体験の良い Google Cloud
KENRO は Google Kubernetes Engine ベースで構築されており、Shisho Cloud は 他社の Kubernetes のマネージドサービスで動いています。Kubernetes などの OSS ベースのプロダクトを選んでいる理由は、サービスの特性上、エンドユーザの環境内でサービスを動かすケースもあるため、どの環境でも動くよう、ポータビリティを保つための技術選定だと話します。
また、現状他社クラウドで稼働する Shisho Cloud も Google Cloud との連携が必要になります。サービス上でユーザが自身の Google Cloud や Google Workspace 環境の設定状況も見える化できるようになっており、そのために Google Cloud / Google Workspace の API にアクセスする必要があります。この際の実装のしやすさについて、米内氏は以下のように話します。「Shisho Cloud では、他社クラウドから Google Cloud や Google Workspace の API を呼び出す必要がありますが、Workload Identity 連携 は本当に便利です。これにより、サービスアカウントキーを利用することなく認証が行えるので、セキュリティ上の懸念を一つ減らすことができています。また、Google Cloud の API 設計は非常にわかりやすく、説明も詳細になされています。ユーザとしてだけでなく、このようなインテグレーターとしての目線で見ても、Google Cloud はとても使いやすいと感じています。」
最後に、Shisho Cloud の今後の展望について、次のように話しました。「現在 Shisho Cloud は他社クラウドで動いているのですが、今後、Google Cloud に一部移行し、お客様が稼働環境を選べるようにしていきたいと考えています。また、Google Cloud の Marketplace 上での販売も視野に入れており、そうすることによって、ユーザ側の選択肢が増え、 Google Cloud に課金や契約を一本化できるメリットもエンドユーザーに提供できるようになります。更には、Google Cloud の Security Command Center などと併用することで、よりシナジーを生むこともできるようになると期待しています。」
2017年設立。Webプロダクト開発組織に向けた各種セキュリティ事業を展開するサイバーセキュリティ企業。セキュリティ診断サービス、クラウド型学習プラットフォームの KENRO (ケンロー)、クラウド運用のためのセキュリティ SaaS である Shisho Cloud (シショウ クラウド) の提供を行なっている。
インタビュイー
株式会社 Flatt Security
取締役 CTO 米内貴志
