国内有数の“技術者集団”だから選ぶ、「セキュリティは専門家に任せる」という選択肢

鍛冶屋ではなく、クライアントの「武器」を作る、技術者集団

プリズマティクスはECサイト基盤を軸に、CRM、認証サービスの提供のほか、OMOやオムニチャネル、コンサルティングを通じて顧客企業のDX、エンドユーザーの顧客体験の最適化を支援している。

「prismatix」は、元はクラスメソッド株式会社の新規事業として立ち上がったプロダクトだった。その後、クラスメソッドのグループ企業として分社独立する形で、2016年に設立された。クラスメソッドは「技術をもっと経営の中心に」をスローガンに掲げる技術者集団。特にAWSの分野では2022年に「SI Partner of the Year – GLOBAL」を受賞。また同社のオウンドメディア『DevelopersIO』は、所属エンジニアによるブログエントリーが毎日十数本投稿されるほど更新頻度も高く、「やってみた系技術メディア」としてエンジニアの中にはご存じの方も多いだろう。

プリズマティクスの強みは、技術の高い『鍛冶屋』ではなく『武器屋』であることだと濱野氏は語る。

「ヘッドレスコマース(1)や、コンポーザブルコマース(2)といった技術的なトレンドを踏まえて、EC・CRMの構築を技術的にサポートするだけでなく、ソリューションとして「prismatix」というPaaSを提供しています。エンジニアリングという『鍛冶屋』でなく、顧客のビジネスの武器となる製品を提供する『武器屋』というスタンスです」

スターバックスの「Mobile Order ＆ Pay」、無印良品の「MUJI passport」、サンリオの「Sanrio＋」など、国内大手企業の店舗のデジタル化や会員・ポイントサービスも同社の技術によって支えられている。

1：ECサイトのフロントとバックエンドを分離し、それぞれ独立させたシステムアーキテクチャ。UIの自由度が高まり、多様なデバイスへの対応も容易になる 2：複数の技術から取捨選択し、最適な技術の組み合わせによりECプラットフォームを構築するアプローチ

創業前から続く、CEO 濱野氏とSSTとのつながり

同社とSSTとの接点は、プリズマティクス設立以前にさかのぼる。その当時（2011年頃）、濱野氏が直面していた課題は「スキャナによる脆弱性診断」「API診断」「それらを第三者視点で検査してもらえること」の3点。脆弱性診断サービスを提供する企業はあるものの費用が高く、手の届く予算で3つの要件を満たす企業を探していた際に紹介されたのがSSTだった。対応に当たったSST 会長の乗口、SST 取締役CISOの新井と濱野氏とは、そのとき以来のつながりだという。

 

代表取締役CEO 濱野幸介氏

 

「それからずっと、SSTは知っていたので、クラスメソッドで仕事をするようになってからも、何かと仕事を依頼していたのが元々の経緯です。プリズマティクスとしてはここ数年のつきあいですが、個人としては実はすごく前からお互いに知っていました。対応できる診断企業を探していたときの要件をクリアしていたのはもちろん、特に第三者として診断してもらえるのが大きくて、ずっと頼りにしていました。それが定期的にお願いするようになった最初のきっかけです」（濱野氏）

セキュリティ分野は「餅は餅屋」

同社では、2018年から毎年、定期的にSSTの脆弱性診断サービスを利用している。診断対象はクライアントのWebサイト・サービスのほか、自社サービスにも及ぶ。クライアントワークでの診断は、クライアント側のセキュリティポリシーに対応するのが主な目的だ。特にリリース前や大規模改修時には、セキュリティホールへの不安はつきもの。そこで、SSTによる第三者視点での診断を受けることで、セキュリティ専門家からの「お墨付き」を得られるという。

自社提供サービスにおける脆弱性診断は、1年に1回程度の頻度で行われている。継続的なサービス提供を行う中で、気づかぬ間にセキュリティホールが発生してしまう状況を未然に防ぐのが大きな目的だ。

「サービスを提供し続けるPaaSであるがために、最終的な形が定まっておらず、CI/CDを回して常に機能の追加や改修を行っています。SSTにはAPIの脆弱性を診断してくれる企業自体がほとんどなかった時代から、定期的に診断を依頼していました。修正が入らない限りは安全性を担保できますが、追加機能などがあれば診断を受ける必要も生じるので、ユーザーに安心してご利用いただくために行っています」（濱野氏）

また濱野氏は、Webサービス開発の高度化・難化も指摘する。開発範囲のフロントエンドとAPIサーバサイドとでは、脆弱性の発見方法や対処法も異なる。プリズマティクス社内でも、開発手法にCI/CDを採り入れ、セキュリティテストも定期的に行っているが、「常にセキュリティスキャナをかけ続けているわけでも、独自のスキャナや脆弱性についてのデータベースを蓄積しているわけでもありません」という。

脆弱性の検出度合いが不十分だったときの、リスクもある。そのため脆弱性の内容や危険度を適切なレベルで評価するSSTによる脆弱性診断を求めているのだ。濱野氏はひと言で、語ってくれた。

「セキュリティ分野については『餅は餅屋にお願いすべき』という考えです」

診断前の“事前調査”により、診断の意図が分かり安心感につながる

2023年に実施された、自社サービス開発サイトの脆弱性診断で同社の窓口として担当した川原氏にも話を伺った。 SSTによる診断結果に対し「いただいた指摘はまったくその通りで申し分なく、こちらが求める検出レベルをきっちりと満たしてくれました」と語る。特に印象深かったのが、診断前に行った事前調査でのSSTの対応だったという。

「自分自身の経験上、脆弱性診断に限らず、セキュリティの診断をそれまであまり受けたことがなかったので、依頼後すぐに診断の工程へと進むのかと思っていました。診断前に、『事前調査』という網羅的な画面の調査が実施され、実際の通信を確認いただいた上で、重複している箇所や診断対象に追加した方がいい箇所に関するフィードバックがありました。『どのような目的で、どの箇所を調査するのか』という診断の意図がしっかりと伝わってきて、安心感を覚えました」（川原氏）

 

開発リーダー 川原邦男氏

「脆弱性診断に伴うコミュニケーションコストがほとんどなかった」

川原氏は、SSTの脆弱性診断に対する満足点を2点挙げてくれた。一番の満足点は、診断対象となったシステムの問題点をSSTが指摘し、セキュアなシステム作りに貢献した点。もう一つは、「コミュニケーションコストが皆無だったこと」だという。

「SSTからのヒアリングシートの内容に目を通したとき、診断用の環境やテストデータに関する項目を埋める必要があり、診断実施までのやりとりが手間取るのではないかと思ったのですが。実際は、ヒアリングシートの提出と、事前調査診断時の対象範囲確認の連絡への返事、この2回のみの連絡で済みました。ヒアリングシートとメールベースでは説明が厳しいと思っていたのですが、的確にこちらの返事を理解してもらえたので、とてもスムーズでした」（川原氏）

濱野氏からは、「費用の透明性の高さ」が予算取りに関わる社内コミュニケーションコストを低くしているとの指摘もあった。

「これまでの経験や信頼の積み重ねでもありますが、診断に掛かる費用のカウント方法が明確になっている点です。そのため、診断対象となる画面数やパラメーター数が分かれば予算が見えるので、社内での説明もしやすく、予算確保が容易になります。予算に関する川原とのやりとりも1〜2回で済みました」（濱野氏）

今回の脆弱性診断コーディネーターを担当したSST大田も「やりとりの齟齬や手戻りがなく、プリズマティクスの脆弱性診断は非常にスムーズで助かりました」と語る。その背景には、同社の技術力およびCI/CDによるサービスの品質の高さがある。事前調査時に、エラーが発生して目的の画面へ遷移できないといったケースで、問い合わせの必要が生じることはよくあると大田は語る。「プリズマティクス様の脆弱性診断ではそういったエラーが一つもなく、すべての画面が正常に確認できる状態でした。その点がコミュニケーションの手間がなかった大きな要因だと感じました」（SST大田）

その話を聞いた濱野氏は、「ファーストリリースではなかったこと、CI/CDを定常的に行っていたこと、そして川原がこの1年くらいの間にエラーを徹底的につぶしていたことが大きいと思います」と笑いながら語ってくれた。

新たな脆弱性トレンドや技術の進歩に追随した、脆弱性診断に期待

今回の取材を通じてSST大田が気になったのは、スムーズな対応を実現できた技術力はどのように培われたのかという点だ。セキュリティに特化した研修や制度があるのではないだろうか？　との疑問に対して、濱野氏は次のように解説してくれた。

「クラスメソッドと共同での社内トレーニングはありますが、脆弱性診断に関した特段のカリキュラムを設けているわけではありません。しかし、脆弱性が見つかったときは迅速に対応していますし、『DevelopersIO』でその対応リポートを公開してくれるメンバーもいますので、セキュリティに対する感度は高いほうだと思います。今回お願いした脆弱性診断のような分野は、経験がものをいう部分がどうしても多いと思っているので、セキュリティに対する啓蒙にプラスして、関わるメンバーを増やすという地道なやり方で意識の底上げをしています」（濱野氏）

さいごに濱野氏と川原氏のお二人に、SSTの脆弱性診断への要望をうかがった。そこからはセキュリティの専門家に対する信頼に基づく、高い期待が感じられた。

「セキュリティのトレンド情報はチェックしていますが、専門家でないとトレンドを追うだけでも大変。最新のアタック方法に追従した診断をしてもらえるとありがたいです」（川原氏）

「外部接続する構成でサービスを構築するケースが多くなってくると、認証周りでも新たな脆弱性への対応が必要になるでしょう。今回の診断対象はページ単位でしたが、SPA化が進み、JWTなども含めたトークンの制御なども入ってくると、APIコールされてから外部に接続するところのセキュリティも確認する必要が出てきます。そのようなアーキテクチャの進化に対応した診断を、今後も行ってほしいと思っています」（濱野氏）

 

プリズマティクス 濱野氏とSSTメンバーの取材後の談笑のひととき

 

---

プリズマティクス株式会社について

https://prismatix.jp/

プリズマティクス株式会社は、戦略的OMOを実現するプラットフォームを提供し、小売業における顧客エンゲージメント向上の支援を行っています。また、業務設計や会員制度設計のコンサルティングも⾏っており、ビジネス・業務設計からシステム構築までトータルでの⽀援が可能です。APIプラットフォーム「prismatix」の活用により、ブランドイメージに合ったデザイン、事業特性に合ったUI/UXのECサイトの構築が可能となります。さらにはリアル店舗を含めた価格・在庫に対応しており、単なるECサイトにとどまらず、OMO（Online Merges with Offline）やオムニチャネルへも対応することができます。