株式会社Flatt Securityは、2019年のサイバーセキュリティ事業開始後、4期連続成長を続けているサイバーセキュリティスタートアップです。「開発者に寄り添ったセキュリティ」を掲げ、セキュリティの専門家によるセキュリティリスク調査・分析サービス「セキュリティ診断」やセキュアコーディング学習サービス「KENRO」などの提供を行ってきました。

そして、2023年8月、自社開発のセキュリティSaaS「Shisho Cloud」を正式に提供開始しました。「日本の”次世代のものづくり”をセキュリティ面から支える」というコンセプトのもと生まれたというShisho Cloud。プロダクト開発の背景や、プロダクトに込めた思いについて、開発者であるFlatt Security 取締役CTOの米内貴志に聞きました。

継続的・自動的なセキュリティリスク管理で“次世代のものづくり”をサポート

ーーShisho Cloudとはどのようなプロダクトなのでしょうか？

AWSやGoogle Cloudなどの複数のパブリッククラウドのセキュリティリスクをまとめてチェック・管理することができるセキュリティSaaSです。

Shisho Cloudでは、企業が利用している複数のパブリッククラウドに対して、継続的なセキュリティリスクのチェックと管理をまとめて行うことができるのが大きな特徴となっています。セキュリティリスクが発見された場合の優先順位づけや対処法のヒントとなるよう、セキュリティの専門家によるリスク評価や推奨する対応策等を解説したレポートも提供しています。

※セキュリティチェックの結果をわかりやすく伝えるShisho Cloudのダッシュボード

ーーShisho Cloudはどのようなコンセプトのプロダクトですか？

Shisho Cloudは、ソフトウェア開発やSaaS開発などの”次世代のものづくり”をセキュリティ面から支えることをコンセプトとしたプロダクトです。

私たちFlatt Securityは、ソフトウェアの占める重要性が増す”次世代のものづくり”を推進していくというミッションの下、これまでも開発組織に寄り添ったセキュリティ診断などのサービスを展開してきました。

”次世代のものづくり”の現場では、インフラとして複数のSaaSやパブリッククラウドを利用していることが少なくありません。そのような複数のインフラを活用することで、Webサービスの開発スピードや開発効率がこれまで以上に加速した一方、セキュリティ対策の対象が分散・多様化し、開発組織が取るべきセキュリティ対策が複雑化することで、結果的にセキュリティ対策のコストが大きくなってしまうという課題がありました。

そのような課題を解決するために生まれたのがShisho Cloudです。複数のクラウドを利用している場合でも、セキュリティリスクに関する情報を集約し、管理できるようにすることで、”次世代のものづくり”に携わる方たちの負担軽減や、継続的なセキュリティ対策を実行する体制の構築をサポートしたいという思いから2021年に開発を始めました。

先程お話したように、「開発組織のクリエイティビティを促進する」という会社としてのミッションがあるので、開発当初から今に至るまで、社内のメンバーからは応援をもらい続けてきました。とてもありがたいことですね。

初期の失敗と約100社へのユーザーインタビューから学んだ「プロダクトのあるべき姿」

ーー開発当初はどのようなコンセプトを想定していましたか？

開発当初は、パブリッククラウドなどのインフラをプログラムのソースコードのように管理できるInfrastructure as Code（IaC）に着目して、セキュアなIaC運用の実現をサポートするツールとなることを目指していました。「対策が後手に回るほど面倒な領域のセキュリティリスクを、とにかく早期に、簡単に解決できるツール」というのが当時のコンセプトでした。

しかし、実際の”次世代のものづくり”の現場にはこのコンセプトは響きませんでした。この理由を掘り下げた結果見えたのが、そもそもセキュリティに対する大局観を持てている組織は少ないという、潜在的な課題でした。

組織のセキュリティレベルは「良くできていない箇所」のレベルに引きずられます。特定箇所のリスクを効率よく発見・解決できたとしても、より重要なリスクを見逃してしまっては意味がないんですね。そのため、どの組織も「まずは組織全体を俯瞰して、重要なところからお金と時間を使いたい」というモチベーションを共通して持っています。

一方、この大局観の獲得というのが、多くの組織が苦しむ点でした。お客様へのヒアリングを通じて、新しいクラウドサービスの台頭や増えていくパブリッククラウドの機能に、多くの組織が追従できていないという現実を知りました。このような状態では、あくまでセキュリティの一分野をカバーするだけの製品にに時間とお金を投資しようとは意思決定ができません。

加えて、SaaS 黎明期から続いていた「小さく、より具体的なペインを徹底的に解決せよ」というトレンドを経て、セキュリティ業界全体でも、特定のニッチな領域のみを対象とする製品が群雄割拠していました。セキュリティに対する大局観を持っている組織は、自社の方針に沿ってそのような製品を組み合わせて活用することができますが、そうでない組織では「まず何から始めればよいのか」というところでつまずいてしまいます。大局観を持たない組織を支える製品やサービスは少なく、それゆえの課題があることを知りました。

これらの気付きを経て、セキュリティリスクを集約し、一括管理できるプロダクトを目指すことを決めました。この初期のプロジェクトの失敗を経て、分散して存在するセキュリティリスクをまとめて管理し、把握できることにこそ価値があるという気づきに到達できました。

そこで、コンセプトを180度変えて、サービスの設計〜運用までの全てのフェーズ（ソフトウェアサプライチェーン）の一連のプロセスをセキュアにするプロダクトとして再出発することにしました。コンセプトとしては今も間違ってはいないと思うのですが、実のところソフトウェアサプライチェーン領域の技術的な議論はまだ発展途上にあります。企業様との情報交換の中でも、その実情を確信するに至りました。

「広範囲」というキーコンセプトは捨てずに、「これからセキュリティに取り組み始めるプロダクト組織は、どこから手を付け始めると良いか」という観点で検討を重ね、スタート地点として選んだのがパブリッククラウド領域でした。

ーー現在のプロダクトの形に至るまで、どのようにしてユーザーのニーズを把握していましたか？

弊社の顧客層はプロダクトを自社開発している”次世代のものづくり企業”がほとんどなのですが、様々な顧客企業様とコミュニケーションを取っていく中で、パブリッククラウドなどのインフラにおいて共通の悩みがあることがわかってきました。この悩みの原因や解決策をより深く探っていくために、開発当初から今に至るまで、約100社ほどの企業様にユーザーインタビューをさせていただきました。

インタビューの結果、過半数以上の企業様から「パブリッククラウドのセキュリティ対策に課題を感じている」という声を頂きました。その原因を突き止めていくと、複数のパブリッククラウドを活用しているケースが多いことがわかりました。複数のクラウドを活用している場合、それぞれのサービスの特性を理解した上で、それぞれに対する対策を定期的に実施しなければならないため、しっかりやろうとするとどうしても大きなコストがかかってくるためです。

また、「ある程度セキュリティ対策を実施できている」と回答いただいた企業様においても、継続的なセキュリティチェック体制の運用について課題感を覚えている場合が少なくありませんでした。

「複数サービスのセキュリティリスクの一括管理」「継続的なセキュリティ体制の構築と運用」という2つの大きなニーズを満たすプロダクトにすべく、試行錯誤しながら開発を進めていきました。

国境を超えた”次世代のものづくり” の促進を目指して

ーー正式版の提供を開始して、反響はいかがでしたか？

Shisho Cloudを提供することで、お客様により寄り添えるようになったと感じています。セキュリティ診断などのサービスは、定期的に実施する場合でもどうしてもスポットでやり取りするような形になることも多かったのですが、Shisho Cloudはサブスク型のSaaSなので、途切れることなく伴走型でのサポートが可能となりました。点から線になった印象です。

正式版の提供を開始した週の週末、ある技術イベントに登壇し、Shisho Cloudのコンセプトについてお話する機会があったのですが、その場にいたエンジニアの方たちから非常に熱量の高い共感、関心を寄せていただきました。「これこそ自分たちが求めていたものだ」というお声もいただき、目指す方向は間違っていなかったのだと改めて確信しました。

ーー今後、Shisho Cloudの目指すビジョンについて教えてください。

直近では、より多くの組織に使っていただくことが目標になります。さらなる機能拡充やUI/UXの向上、対応サービスの拡充等を通じて、「Shisho Cloudさえ見ていれば、自分たちが管理するインフラやプロダクトのセキュリティリスクを理解し、対応できる」という状態を目指していきたいです。「プロダクト開発組織におけるセキュリティリスクの評価・管理をオールインワンで完結できるプロダクト」が理想の姿ですね。

加えて、Shisho Cloudは将来的なグローバル展開を見据えているプロダクトです。法的な規制や商習慣の違いなどから、一般的に国産SaaSのグローバル展開はハードルが高いとされていますが、セキュリティ領域においてはそういった参入障壁が他領域に比べて少ない傾向にあります。

グローバル展開は常に意識しているので、開発チームの公用語も英語ですし、「どこの国のマーケットに出たとしても、常にお客様に寄り添ったプロダクトを作ろう」という思いは、メンバー間で共有しています。グローバル展開を実現し、そしてそれを通じて、より多くの”次世代のものづくり”を担う人たちのクリエイティビティを促進できればと願っています。

関連リンク

・米内によるShisho Cloudのコンセプトについての技術的解説：セキュリティ SaaS を「プログラマブル」に再設計した話 ― Shisho Cloud の正式リリースによせて

・Shisho Cloud：https://shisho.dev/ja

プロフィール

株式会社Flatt Security 取締役CTO　米内貴志

2019 年に株式会社Flatt Securityに入社し、2021年6月よりCTOに就任。(一社)セキュリティ・キャンプ協議会の一員として、情報セキュリティ技術の教育活動や、CTFの開催、運営にも参画している。著書に『Webブラウザセキュリティ ― Webアプリケーションの安全性を支える仕組みを整理する』（2021年、ラムダノート社）等。