当初はライブコマースアプリの「PinQul」を運営し、複数回の資金調達を実施するなど事業を拡大していたものの2018年にサービスのクローズを決断。2019年から現在手掛けるサイバーセキュリティ領域に方向性をシフトした。

約1年ほどはウェブサービスやスマホアプリのセキュリティ診断を軸としたプロフェッショナルサービスを中心に展開してきたが、春先からはそこで得られたノウハウや顧客のニーズを基に複数の自社プロダクトの開発を並行して進めてきた。

その際に井手氏達が軸にしたのが「DevSecOps」という近年注目を集める概念だ。これは開発から運用までを一連のものとして考えるDevOpsのプロセスにセキュリティも加えたもの。大雑把に説明すると「ソフトウェアの開発工程にセキュリティチェックを組み込むことで、早い段階からセキュリティを担保しよう」という考え方だ。

通常のセキュリティ診断ではソフトウェアが出来上がったタイミングで“事後的”にチェックをするが、もしその段階でバグが見つかれば設計段階からやり直すハメになり、膨大な工数と時間がかかってしまう。

これが非常に厄介なため、中には「診断を依頼したいけれど、できれば脆弱性を見つけて欲しくない」というオーダーをする企業も業界では存在するそう。セキュリティ企業はクライアントからお金をもらう構造上、クライアントファーストになりがちで、最終的にユーザーにしわ寄せがいくこともあった。

DevSecOpsを採用することで開発段階から脆弱性を潰していくことができれば、セキュリティの質を担保しながら工数自体を減らす効果も見込める。特に近年はアジャイル開発がメジャーになりソフトウェア開発のサイクルが早まる中で、それに適したセキュリティの仕組みとしてもDevSecOpsに注目が集まりつつあるという。

セキュリティ診断の構造を変えるようなプロダクト目指す

とはいえ、現時点ではモダンな開発を取り入れている会社でもDevSecOpsが浸透している現場は少ない。井手氏は大きく2つの課題があると話す。

1つ目はまさにFlatt Security Learning Platformにも繋がる「開発者のセキュリティ知識」に関する課題だ。すでに大手のベンダーなどがDevSecOpsをサポートするツールなどを展開してはいるものの、一定のセキュリティ知識がなければ使いこなすのが難しいため、現場でフル活用されるに至っていないケースが多いそう。