加えて、開発の工程でスムーズに利用できるプロダクト自体が少ないことが2つ目の課題。既存のツールに関してはUXの面でアップデートできる余地があり、「開発フローの中でいかにシームレスに使えるツールを作っていけるか。ここが大きなポイントで、自分たちにとっての勝ち筋になる」(井手氏)という。
今回Flatt Securityがeラーニングプラットフォームを開発したのも、これまでさまざまな企業のセキュリティ診断を手がける中で「企業の最新の開発スタイルにマッチするように、セキュリティ側のアップデートも必要」だと感じたからであり、そのためにはすべての開発者がセキュリティ知識を習得できる仕組みこそが不可欠だという結論に至ったからだ。
ゆくゆくはDevSecOpsの概念を取り入れた自動診断プロダクトなども展開しながら、セキュリティ診断の新しいスタンダードを作っていくことも見据えている。
「今回のプロダクトはセキュリティ診断の課題を解決するものであると同時に、これから加速するであろうDevSecOpsの未来に向けた布石となるものでもあります。DevSecOpsは開発工程の上流でセキュリティを担保する取り組みですが、自分たちは『最上流に位置するのはエンジニア自身』だと捉え、そこに対してアプローチすることから始めていきたいと考えています」(Flatt Security執行役員CCOの豊田恵二郎氏)
「ゆくゆくはコードを渡せば自動で脆弱性を診断してくれるようなプロダクトまで踏み込んでいく計画です。そのためには中長期のR&Dも必要ですが、実現できれば開発段階でかなりの脆弱性を見つけることができ、セキュリティ診断の構造自体を大きく変えられる可能性があります。見つかった脆弱性をエンジニア自身が修正できれば開発工数の削減にも繋がる。まずは今回のプロダクトを通じてエンジニアが場所や時間にとらわれず、必要セキュリティ技術を学習できる機会を作っていきます」(井手氏)
