導入事例グルー株式会社様

福岡で動画配信技術を中心とした自社サービスの開発と受託開発業務を行っている、グルー株式会社　代表取締役 迫田氏にVAddy導入の経緯とその効果を伺いました。

グルー株式会社とは

フリーランスエンジニアとして受託開発を中心に約8年間活動した後、自社サービスの提供を目的に、2011年に法人化しました。現在は自社サービスと受託開発業務を並行して行っています。動画配信系のサービス（Gemediar、1meeting）の開発／運用で培った知見が受託開発にも活かされています。自社サービスは社内のエンジニア2人で開発していますが、受託開発業務は外部のパートナー様に協力いただきながら行っています。

自分たちだけではセキュリティテストは難しかった。

社内のエンジニアだけで開発を行っていた当初はセキュリティも含めた品質は担保できていましたが、業務の拡大とともに外部の開発パートナーさんに協力いただくようになってから、パートナーさんと自分たちとのセキュリティ意識がずれる可能性がでてきました。

受託開発業務の方でお付き合いさせていただいている大手企業様の方では、年に一回まとまった規模の脆弱性診断を実施されています。その際は弊社もお手伝いしているのですが、準備や報告も含めてかなり重い作業だなという印象を持っていたので、それを私たちだけで行うのはノウハウや予算の点で現実的ではありませんでした。

その点、VAddyは特別なセキュリティ知識が無くても使えるので、外部のパートナーさんも含めた弊社の開発チーム全体のセキュリティ品質を担保するには最適なツールでした。そもそもVAddyを知る前はコードレビューによる脆弱性検査以外の方法が無いか悩んでいて、ソースコードの確認やミドルウェアやフレームワークを最新に保つ等の一般的な対策しかできていませんでしたので。

オープンソースのセキュリティテストツールも試してみましたが、お客様への訴求度という意味では少し弱かったです。やはり、セキュリティ専門の業者が提供している有償のツールを使って継続的に脆弱性検査をしていますとお伝えしたほうが安心して頂けました。

VAddyを使っていることが受託開発での強みになる

近年、クライアント企業の中でセキュリティ意識が高まっていることを感じています。クライアント企業（発注元）としては発注先が「きちんと作っているか」が当然気になりますが、中でも「セキュリティ品質」を意識されるお客様が増えてきました。

営業活動において品質を客観的にアピールすることは難しいのですが、セキュリティに関しては「VAddyを使っています」とはっきり言えるようになったことは大きいですね。自社でWeb Application Firewall（編注：Scutum）を開発・運用していて、実際の攻撃に対する知見を持っている会社が作ったツールなので間違いないですよと、私たちも言いやすい。新しいお客様との打ち合わせの際では、社内でVAddyを使ったセキュリティテストを回していることをお伝えしていて、お客様もそのことに価値を感じて頂けています。

コスト的にも月1万円程度ですむので、自社の開発コストとして十分カバーできる範囲です。今後は弊社が提供する価値の一つとして積極的にアピールして行きたいですね。

VAddyの導入で変わったメンバーの意識

VAddyを使うようになってから、外部の開発パートナーの意識も変わってきたように感じます。

ご協力いただいている開発パートナーさんも弊社でセキュリティテストを実行していることをご存知なので、実装方法について事前に質問されることが増えました。それまでが適当だったという意味ではありませんが、VAddyの導入をきっかけに、セキュリティに限らず広い意味での品質に対する意識が以前より高まりました。

また、お客様にも継続的なセキュリティテストの実施をご理解いただいたので、「この脆弱性は大丈夫ですか？」といった類の質問はほとんど無くなりました。

今後は自社サービスにも導入していきます

現在はまだVAddyは受託開発にしか導入できていないのですが、準備が整い次第自社サービスにも順次導入していきます。先日リリースした「”社内限定”動画学習サイト ノービル」では取り扱う顧客情報も多くなるので、早急導入しています。

※今回のインタビューは、グルー株式会社が提供するビデオ会議サービス「1meeting」を利用して福岡と新宿を繋いで行われました。ユーザー登録不要でブラウザのみで利用できるので、手軽にビデオミーティングが始められます。通話品質も良く、快適なインタビューになりました。