Flatt Security、Firebase専用のセキュリティ診断を提供開始。併せて診断サービス全体をクラウド中心にリニューアル

Flatt Securityは、Googleの提供するmBaaS（mobile Backend as a Service）であるFirebaseを対象としたセキュリティ診断メニュー「Firebase診断」を正式に提供を開始いたします。

「Firebase診断」メニューページ
https://flatt.tech/assessment/firebase

また、「セキュリティ診断」サービスでは「Webアプリケーション診断」や今回提供を開始した「Firebase診断」など合計8個の診断メニューを提供していますが、今回メニュー全体を整理してクラウドを対象とする診断である「AWS・GCP・Azure診断」と「Firebase診断」が中核となるようリニューアルしました。
なお、「AWS・GCP・Azure診断」は「クラウドプラットフォーム診断」という名称で昨年11月より提供しておりましたが、今回サービス名称を変更しております。

「セキュリティ診断」サービスページ
https://flatt.tech/assessment/detail

「AWS・GCP・Azure診断」メニューページ
https://flatt.tech/assessment/cloud_platform

■「Firebase診断」提供開始の背景

Googleの提供するmBaaSであるFirebaseは、その利便性から多くの人気を集めています。
一方で、お客様より「Firebaseのセキュリティに不安がある」「Firebaseに適した診断をしたい」というご要望を多くいただいており、Firebaseのセキュリティ対策の需要は日々高まっていると考えています。

しかし、セキュリティルールの正確な記述など独自の対策が必要となるFirebaseのセキュリティに関して診断を提供できる企業は非常に少ないという声もいただいています。

実際に、株式会社グッドパッチ様はインタビューの中で弊社にセキュリティ診断をご依頼いただいた経緯を次のようにおっしゃっていました。

>クラウド型ワークスペース「Strap」はFirebaseをバックエンドとして活用しており、セキュリティを担保するためにはFirestoreのセキュリティルールなどを第三者に診断してもらう必要があると考えていました。しかし、今までお世話になっていたベンダーさんにはBaaSとしてのFirebaseの事例が見当たらず。なのでお付き合いのあるベンダーさんに相談しつつ、並行してFirebaseのセキュリティ診断を依頼できそうな企業を探しました。

（中略）

> 他社さんの場合、Firebaseのセキュリティ診断を一般的なREST APIサーバーの診断と勘違いされてしまうことが多く。Firebaseをセキュアに活用できているか診断してほしい、という意向をなかなか汲んでもらうことができませんでした。
一方、Flatt SecurityさんはStrapのバックエンドであるFirebaseの技術構成を伝えたうえで「どのような観点で診断ができるのか」と質問したところ、弊社で想定していたものに近い回答をいただきました。

「的確なレスポンス」「3パターンの見積もり」「企業の信頼度」が決め手に／Firebaseのセキュリティ診断事例
https://flatt.tech/assessment/voice/goodpatch

Flatt SecurityはeラーニングSaaSである「Flatt Security Learning Platform」を開発・運営していたり、業務効率化のためにFirebaseを用いた社内ツールを開発していたりと、「セキュリティベンダーでありながら開発組織を抱える事業会社でもある」という特徴を持っています。これにより、既存のWebセキュリティの知識だけでは対策が難しいFirebaseに関しても高品質なセキュリティ診断を提供可能となっているのです。

このような背景から、Firebaseのセキュリティ対策を必要とするより多くの皆様に広くサービスを標準化された状態で提供できるよう、診断仕様を策定し正式にメニュー化するに至りました。

■「Firebase診断」メニュー概要

FirestoreやFirebase Storageへのアクセス権限を規定するセキュリティルールを正しく定義するとともに、Cloud Functionsの実装内容やFirebase Authenticationにおける認証のポリシー、 Firebase Hostingへのデプロイに用いる構成情報といった事項がセキュアに保たれているかを確認します。
詳細は以下よりご覧ください。

「Firebase診断」メニューページ
https://flatt.tech/assessment/firebase

■「セキュリティ診断」サービスリニューアルの背景

近年クラウドの設定ミスや利用方法の問題を起因とするセキュリティインシデントが重大なものも含め多く発生しています。また、当社が提供しているセキュリティ診断においてもこれらの問題を多く検出しています。

こうした現状を踏まえると、セキュリティ診断はこれまでのようにアプリケーションのみを対象とするのではなく、クラウドを起点としてAPI、iOS/Androidアプリケーション、IoT等を包括的にチェックするものでなくてはなりません。

そこで、クラウドを中心にセキュリティ診断サービスを再設計しました。

従来のセキュリティ診断に加えて、クラウドの設定チェックやクラウドとアプリケーションを包括的にかつ詳細に診断するクラウド診断を新たに提供します。

クラウドを対象とする診断には従来のセキュリティの知識だけでなく、クラウドの深い知識が必要です。当社ではクラウドに対する調査に加え、各種のクラウドを用いた開発も積極的に行っており開発者としての知識も加えてセキュリティ診断を実施します。

■リニューアル後の「セキュリティ診断」サービス概要

リニューアル後の「セキュリティ診断」サービスは2つのカテゴリに大別されます。1つ目のクラウド診断カテゴリを起点に、お客様のご要望に合わせたメニューの提案を実施させていただきます。
 

1. クラウド診断

• AWS・GCP・Azure診断
• Firebase診断

2. アプリケーション診断・その他

• Webアプリケーション診断
• スマートフォンアプリケーション診断
• スマートフォンゲーム診断
• プラットフォーム診断
• IoT診断
• ペネトレーションテスト

詳細に関しましては下記URLよりお問い合わせください。

Flatt Security お問い合わせ
https://flatt.tech/contact

■Flatt Securityはお客様のニーズに合わせたセキュリティサービスを提供します

Flatt Securityは本プレスリリースで紹介した「セキュリティ診断」の他、エンジニアが セキュアにWebアプリケーションの設計・開発を行うために必要な知識・技術の習得を支援するSaaS型eラーニングサービス「Flatt Security Learning Platform」を提供しています。
各サービスの詳細・お問い合わせは以下のURLよりアクセス可能です。

• セキュリティ診断サービス：https://flatt.tech/assessment/detail
• Flatt Security Learning Platform：https://flatt.tech/learning_platform

◼︎会社情報

社名：株式会社Flatt Security
代表取締役社長：井手康貴
所在地：〒113-0033 東京都文京区本郷3丁目43−16 コア本郷ビル 2A
設立：2017年5月23日
Webサイト： https://flatt.tech
ブログ：https://blog.flatt.tech
事業内容：サイバーセキュリティ関連サービス