はじめに
こんにちは。ベルフェイスの山本と申します。現在、システムグループ セキュリティディビジョンのGMを務めています。
ベルフェイスが提供する「bellFace」は電話を使ったオンライン営業に特化したシステムです。オンライン営業に特化したシステムと謳っているだけに、お客さまで商談を行った記録をセールスチーム間で共有し、商談を成功に導くための機能がさまざま存在しています。
※以下、文章中では「ベルフェイス」は「ベルフェイス株式会社」を指し、「bellFace」は「ベルフェイス株式会社が提供するbellFace」を指しています。
プロダクト開発において「お客さまが望む機能を提供する」ことが重要なのは、私自身もプロダクト開発を行った経験があるため理解しています。しかし、そのプロダクトにセキュリティ担保がしっかりとされていないことで、お客さまの情報が漏えいしてしまっては、利便性<リスクとなってしまい、プロダクトを使っていただけないことにつながるのではないでしょうか。
また、プロダクト開発におけるセキュリティ対策として「最後に脆弱性診断を実施して指摘事項を修正すれば問題ないでしょう」と考える方もいらっしゃるかもしれません。しかし、重大な脆弱性や大量の脆弱性が出てしまった場合、プロダクトのリリース延期などが発生してしまうのではないでしょうか。
お客さまがbellFaceを使う際、さまざまな情報を利用し商談を実施します。業種によっては秘匿情報を商談中に使用しなければならないため、取り扱いに対して厳格にならざるを得ない場合が存在します。
このように利用されるbellFaceに対して、どのようにセキュリティ対策や考え方が構築されているのかをご紹介します。この記事がプロダクト開発におけるセキュリティ対策のお役に立てば幸いです。
なぜセキュリティは攻めが必要なのか
セキュリティと言えば、「守りのため」という意識を持っている方が多いかと思います。キーワードとしては、WAF、ファイアウォール、改ざん防止、ウィルス・マルウェア対策などが容易に想像されるかと思います。
しかし、近年はどんなに「守りのため」の施策を打ったとしても完全に守ることはできないという考え方が出てきています。最初にセキュリティ施策として打ったものをそのまま継続して運用を行っていくと、施策を打った当時のセキュリティの考え方が継続されるわけなので、日を追うごとに陳腐化されていくためです。
そのため、最新のセキュリティ動向を把握し、セキュリティ対策をアップデートさせていく「攻めのセキュリティ」という考え方が重要だと言われています。
プロダクト開発においてもアジャイル開発を行っているように、セキュリティも同様にアジャイルな取り組みが必要になってきています。
