導入事例株式会社Oneteam様

ユーザー企業から求められるセキュリティチェックシートにも自信を持って回答できる

属人的な対策からの移行
株式会社Oneteam 左:リードエンジニア長瀬氏 右:プロダクトマネージャー近藤氏
主な業務
ビジネスの生産性を向上させるコラボレーションツールの開発
サービスの規模
100社を超える企業・団体
脆弱性検査での課題
規模的にセキュリティ専任のエンジニアを確保することが難しい

「ビジネスの生産性を向上させるコラボレーションツール」を提供しているスタートアップ、株式会社Oneteam(ワンチーム)のリードエンジニア長瀬氏にVAddy導入の経緯とその効果をうかがいました。

株式会社Oneteamとは

弊社は「働くを面白く」をコンセプトに、企業の業務生産性を向上するためのコラボレーションツールの提供やアドバイスを行っています。創業は2015年2月で、現在は「Oneteam」と「Profilebook」の2つの製品を提供しています。

社名にもなっている「Oneteam」はいろいろな機能があるので、本当の意味での競合はあまり見当たりませんが、チャットツールの SaaS も部分的には競合になりますし、ナレッジ共有の機能という意味で、その機能を提供するサービスも競合の一つと言えるかもしれません。 私たちはオープンソースの文化をエンジニア以外の世界にも持っていきたいと考えているので、エンジニアの割合が高いスタートアップ系の企業よりは、企画や営業など様々な職種が混在している企業に多くご利用頂いています。

「Profilebook」についても、社員同士の「見える化」がコンセプトなので、比較的規模が大きくて社員のお互いの顔が見えづらいような企業様に使っていただいていますね。

ユーザーに協力いただいた脆弱性診断

Oneteamのオープンβをリリースする前、試験導入いただいたお客様からフィードバックをもらいながら製品を改善していた時期がありました。
その際、お客様のセキュリティ部門にOneteamのセキュリティ診断もあわせて実施していただいたのですが、セキュリティフィードバックとして送られてきたレポートに沿った形で製品を改善したので、Oneteamの製品版リリースの時点ではセキュアな製品にすることができました。当時は今より少人数のチームで開発を行なっており、セキュリティ検査に多くの時間を確保することができず、セキュリティテストの実施に関するお客様のご要望にお答えできた点で非常に助かりました。

CIと連携できるのがVAddy導入の決め手

株式会社Oneteam リードエンジニア長瀬氏VAddy自体は私が前職の時に直接話しをうかがったことがあったので存じ上げていました。ですので、プロダクトマネージャーの近藤からVAddyの話を聞いた時はすぐに導入の検討を始めることができました。

VAddy導入の際には他にもいくつかのセキュリティテストツールは検討しました。CIと連携できるというのがVAddy導入の決め手ではあったのですが、提供しているのが日本の会社で顔がわかるところの方が良いというのも判断基準の一つになったと思います。
月額$100という価格も問題なくペイできるという判断です。海外のSaaS型のサービスはよく使っているので、クレジットカードの米ドル決済も抵抗はありませんでした。

VAddyの利用方法

開発は全て社内で行っていて、約15人のエンジニアがAPI、Web、モバイル(Android/iOS)などのチームに分かれています。ProfileBookはRubyで、OneteamはScalaで開発しています。CIはCircleCIを利用しています。

VAddyの最初のセットアップは私ともう一人でやりましたが、CIに組み込んだ後は特に誰も触っていません。毎回スキャンの度に緑になって(注:脆弱性が発見されなかった場合は、緑のアイコンが表示されます)「今日も平和だね」という感じで使っています(笑)

VAddyは週に2回程度の弊社のデプロイのタイミングで実行しています。VAddyのCIはアプリケーションのCIとは分けていて、ステージングブランチのCIの後に、VAddy Rubyクライアントを使ってVAddyのCIを回すような形で使っています。

ちなみに、EtoEテストはNightwatch.jsを使って書いていますが、開発をしながらテストを整備し続けるのは正直大変です。EtoEテストの文化がどれくらい広がるのかは、QA(Quality Assureance)の文化がどれくらい広がるのかにかかってくると思いますが、QA会社さんがそのあたりの啓蒙を進めてくれると良いですね。

VAddy導入で変わったこと

株式会社Oneteam リードエンジニア長瀬氏お客様が大企業だと事前にセキュリティチェックシートへの入力を求められることが少なくありません。そうしたチェックシートの中には「継続的にセキュリティ診断をやっていますか?」といった項目もあります。VAddyを使っていればそうした項目にも自信をもってマルをつけることができます。

また、弊社のような規模だとセキュリティ専任のエンジニアを確保することは難しいのですが、VAddyのようなセキュリティの専門会社が提供しているツールを使っておけば、リリースごとのセキュリティ検査を人力で実施しなくても自信を持って製品をリリースできるようになったと思います。

VAddyの今後に望むこと

CIを使って検査を実行する際にVAddyのWebAPIからスキャンの実行内容がリアルタイムに把握できると良いと思います。現在のVAddyの機能では検査が終わった後でしか結果が分からないので、「いま何を検査しているのか、どこまで検査が進んでいるのか」がリアルタイムで見られると良いですね。

株式会社Oneteam

代表取締役
佐々木 陽
所在地
東京都中央区銀座3-11-5 第2中山ビル5階
事業内容
コミュニケーションツールの企画・開発・販売

他の導入事例を見る