組織規模が急拡大するスタートアップ、直面したセキュリティ課題
勝丸氏が所属するログラスは、予実管理の改善を主とする経営企画向けのクラウドシステムを提供している。2023年度の予実管理SaaS市場ではNo.1シェア(富士通キメラ総研調べ)を獲得し、システムの累積導入者数は2年間で6倍以上、従業員数も5倍になるなど、事業も組織も現在進行形で成長中の企業だ。
しかし勝丸氏は、同社のシステム開発において「ログラスのプロダクトは、速いスピードで開発が進んでいます。特に、急激な顧客の増加やマルチプロダクト化への対応により、仕様の見直しや新機能の開発がさらに増え、現在の仕組みをアップデートしなければいけない時期に来たと考えました」と明かす。加えて、その課題を解決すべくセキュリティ人材を増やすにしても、採用活動からチームの立ち上げには年単位の時間が必要だ。同氏は「事業の成長にともない、セキュリティの組織体制も一層の強化が求められる段階にきています」と語った。
従来、現場で生じたセキュリティ課題については、特定のツールを用いてクラウド設定を監視するという形で対応していたが、実際には不要なアラートも多く、現場の負担になっていたという。ライブラリのアップデートに関しても、GitHubの「Dependabot」で脆弱性やアップデートの有無を検知し、可能な限り最新バージョンへの更新を目指してはいたが、どのライブラリを優先すべきか適切な順位付けができていなかった。コンテナのセキュリティに関しては、主に「AWS Fargate」を活用しているが、システムコールレベルでの挙動が理解できていない現状にあったと勝丸氏は語る。
経営視点で見れば、スタートアップの希少なリソースを、いかなるタイミングでセキュリティ領域に投資すべきかは非常に難しい判断だろう。
「とはいえ、何らかの問題が発生してからでは手遅れです。経営陣の多くが、いかに適切にセキュリティに対応すべきか模索していました」(勝丸氏)
こうした様々な課題の解決に向けて、同社では外部のセキュリティソリューション導入を決定。同時に、セキュリティにおけるゴールを以下のように定義した。
- 検知できる範囲の拡大、加えて検知が行き届いていなかった箇所も検知対象に含める。また検知した事実に基づき、優先度を決定しつつ対応を進める
- ロードマップを提示し、経営陣も現場も現在の状況が明確にわかるような環境にする
- 顧客に対して、セキュリティチェックシートの回答根拠をより強固なものにする
