導入事例ユニファ株式会社様

「家族みんなが集まりたくなる“家族ポータルメディア”を創造する」を事業コンセプトに、インターネット写真サービス「るくみー」、園児見守りロボット「MEEBO（みーぼ）」といったサービスを提供しているユニファ株式会社。先だって開催された世界最大級のスタートアップピッチコンテスト「Startup World Cup」の日本予選で見事優勝を勝ち取られました。
今回はユニファ株式会社で開発部門を統括されているCTOの赤沼寛明氏にVAddy導入の経緯とその効果を伺いました。

ユニファ株式会社とは

現在は主に「るくみー」という幼稚園や保育園向けの写真販売サービスを提供しています。一般的な写真販売サービス異なるのは、カメラマンだけでなく保育士さんでも手軽に日常の写真を撮影して販売できるということです。決済はもちろんのこと発送も全て弊社で代行できます。

運動会などのイベントだけでなく、保育士の方が撮影した園内の日常風景をその日のうちに共有できるので、幼稚園／保育園をハブとした家族のコミュニケーションをより深めることができます。「るくみー」の導入は無料です。保護者の方に購入いただいた売上の一部を弊社が頂戴するビジネスモデルです。ちなみにその売上の一部は導入施設にマージンとしてお支払いします。現在は約1200の施設に導入いただいています。

スタートアップではセキュリティ対策は後回しになりがち

「るくみー」は約3年前にスタートしました。
プロジェクトの立ち上げ当初はどうしても開発スピードが要求されるので、組織的なセキュリティテストを実行する余裕がありません。開発エンジニアがそれぞれ必要に応じてIPAのサイトなどを参照しながらチェックしていたという状態でした。

特に私が入社する前は開発を統括する人間が居なかったというのもあり、セキュリティ関係にはなかなか目が行き届いていませんでした。チームとしてセキュリティ対策にまで手が回らず、完全に個々のエンジニア任せでしたね。
もちろん、大事なお子様の写真をお預かりしていますので、WAFを利用するなどある程度の対策は取っていましたが。

セキュリティ対策に手間はかけていられない

セキュリティ対策が重要であるということは疑う余地がありません。しかしながら、開発メンバーや導入件数も増えてきた現在でも、セキュリティテストに工数をかけづらいというのが正直なところです。とは言え、小さいお子様の写真を取り扱うという弊社のサービスの性質上、セキュリティに手を抜くわけにはいきません。

なるべく工数をかけずに実施できるセキュリティテストソリューションを探している中でVAddyを知りました。それまでにもOWASP ZAPなどいくつかのツールを見ていたのですが、ちゃんとやるには手間がかかりそうな印象で、なかなか導入には至りませんでした。その頃たまたま知ったVAddyミートアップで直接話しを伺うことができ、とりあえず手軽に始められそうだと感じられたのがVAddy導入の決め手になりました。

VAddyの利用方法

CIはwerckerを使っているのですが、ビルド時間が長くなってしまうので、VAddyはCIサイクルではなくシナリオを分けてcronで毎日スケジュール実行しています。結果はSlackに通知させています。当初はVAddyが提供していたRubyクライアントを使っていましたが、今は自前のスクリプトで直接WebAPIを叩いています。Slackへの通知も直接WebAPIを叩いています。
現在はまだSeleniumなどのEtoEテスト環境は整備できていないのですが、近いうちにきちんと整備して機能追加等にも柔軟に対応させて行きたいと考えています。

セキュリティ対策には投資するべき

おかげさまで「るくみー」も順調に導入件数も増えてきていて、社内でのセキュリティの機運も高まってきています。そうした中でVAddyを使わせていただいているのですが、やはり保険という意味でもセキュリティには投資すべきだと思います。

弊社はこの先、写真サービスだけでなく幼稚園／保育園の業務に入り込んだサービスを展開する予定です。園関係者や保護者の方は特にセキュリティを気にされるので、新しいサービスをどんどん立ち上げる中でVAddyを活用していきたいと考えています。

VAddyに望むこと

使い始めた当初に感じていた要望をVAddyミートアップでお伝えしたところ、すぐに対応していただいたので、これと言った要望は無いのですが、あえていうと検査項目を増やしていって欲しいと思っています。スキャン時間とのトレードオフになるとは思いますが。
VAddyの検査エンジンには人工知能の技術が使われているとお聞きしました。弊社でも今後AIをやっていこうと考えているので、一度お話を聞きたいですね。