はじめに こんにちは。GMO Flatt Security株式会社 ソフトウェアエンジニアの梅内(@Sz4rny)です。 一つ前の記事である「MCPにおけるセキュリティ考慮事項と実装における観点（前編）」では、MCP Server / Client のリスクについて紹介しました。本記事では、すこし観点を変えて「AI と認可制御」について検討します。 LLM を組み込んだサービスを実装している人も、LLM が組み込まれた開発支援ツールを使っている人も、おそらく一度は「AI にどの程度権限を与えてよいのか」という疑問に頭を悩ませたことがあるのではないでしょうか。本記事では、このテーマについて深堀りします。 また、GMO Flatt Securityは日本初のセキュリティ診断AIエージェント「Takumi」や、LLMを活用したアプリケーションに対する脆弱性診断・ペネトレーションテストを提供してい

こんにちは、 @okazu_dm です。 前回の記事 に引き続きCookie関連のセキュリティに関する記事となります。 今回は、Cookieの仕様を定めたRFC6265(https://datatracker.ietf.org/doc/html/rfc6265)自体に含まれるSecure属性の問題点と、その対策について紹介していきます。 CookieのSecure属性自体は前回紹介したSameSite属性と比較してわかりやすいのもあり、かなり知名度が高いと思われますが、Secure属性単体で守れる範囲というのは実は限定的である、という点を本記事では実験も交えて示していきます。 なお、本記事はセキュリティ以外の分野を主業務とするソフトウェアエンジニアを主な想定読者として書いています。 記事内の検証につかったブラウザのバージョン Cookieについて 中間者攻撃の仕組み 実際に中間者攻撃をして

初めまして、Flatt Security社のブログに寄稿させていただくことになりました、西川と申します。 普段は、SaaS企業でプロダクトセキュリティをメインの仕事としていますが、一般社団法人鹿児島県サイバーセキュリティ協議会の代表理事として活動しております。 さて、今回はプロダクトセキュリティを生業としている私が、脆弱性診断を外注することと内製化すること、それからバグバウンティについてそれぞれの役割を記していきたいと思います。 本記事の目的 脆弱性診断を外注した方が良い、あるいは、内製化した方が良い、という話ではなく、それぞれ役割が異なると考えています。つまりそれは、それぞれが補い合う形で存在しているというものです。そして、これらをさらに補う要素としてバグバウンティがあるという話を通して、みなさまの組織で脆弱性診断をどのようにセキュリティ運用に組み込んでいくのかを検討したり、バグバウンテ

こんにちは、@hamayanhamayan です。 本稿ではWebセキュリティに対する有用な文書として広く参照されているOWASP Top 10の1つ「インジェクション」について考えていきます。色々なインジェクションを例に挙げながら、どのようにインジェクションが起こるのかという発生原理から、どのようにインジェクションを捉え、より広くインジェクションの考え方を自身のプロダクト開発に適用していくかについて扱っていきます。 SQLインジェクションやコマンドインジェクション、XSSのようなインジェクションに関わる有名な手法について横断的に解説をしながら、インジェクションの概念を説明していきます。初めてインジェクションに触れる方にとっては、インジェクションの実例や基本的な考え方に触れることができ、その全体像を把握する助けになるかと思います。 また、既にいくつかのインジェクション手法を知っている方にと

2024年、プロダクトセキュリティのトレンドはどうなるのか。様々な業界で活躍する開発エンジニア・セキュリティエンジニアの方々13人に見解を伺いました。 今回は、「2023年のプロダクトセキュリティを振り返る」というテーマでお届けします！ ▼前編（2023年のプロダクトセキュリティに関する取り組みの振り返り） flatt.tech 今回コメントをいただいた方々 CADDi CTO　小橋昭文さん サイボウズ Cy-PSIRT Finatextホールディングス 取締役CTO/CISO　田島悟史さん Google　小勝純さん グラファー　森田浩平さん IssueHunt 取締役 CTO　Junyoung Choiさん カンム　金澤康道さん メルカリ IDP team kokukumaさん メルカリ Product Security team, Manager Yannarak Wannasaiさん

はじめに 調達トレンドのマクロ状況変化 2023年の海外セキュリティSaaSの注目トレンド トレンド1: Application Security Posture Managementとしての製品戦略の加速 Application Security Posture Managementとは Application Security Posture Managementの2つの成長背景 既存のスタートアップの巨額買収やピボットによるASPMの加速 トレンド2: セキュリティSaaS × 生成AI のトレンド ビッグテックによる、生成AIを活用したセキュリティ機能の登場 生成AIを活用したセキュリティSaaSスタートアップの登場 2024年以降のトレンド予想 予想1: クラウドセキュリティ領域とアプリケーションセキュリティ領域のベンダー統合の加速 予想2: 生成AIをコア機能に組み込んだセキュ

プロダクト開発・運用の現場では2023年のセキュリティ関連のトピックをどう受け止めているのか、また、今後のセキュア開発に関する潮流をどう予測しているのか。様々な業界で活躍する開発エンジニア・セキュリティエンジニアの方々13人に見解を伺いました。 今回は、「2023年のプロダクトセキュリティを振り返る」というテーマでお届けします！ ＜13人の方々による「2024年セキュリティトレンド予想」＞ flatt.tech 今回コメントをいただいた方々 CADDi CTO　小橋昭文さん サイボウズ Cy-PSIRT Finatextホールディングス 取締役CTO/CISO　田島悟史さん Google　小勝純さん グラファー　森田浩平さん IssueHunt 取締役 CTO　Junyoung Choiさん カンム　金澤康道さん メルカリ IDP team kokukumaさん メルカリ Product

IT子会社が設立される主な理由はコスト削減。課題はIT戦略立案能力、待ちの姿勢、先進技術の習得など。ガートナーの調査結果 ガートナージャパンは、国内のIT子会社の実情に関する調査結果を発表しました。 調査は国内の従業員500人以上、売り上げ規模1000億円以上の企業のCIO、CTO、IT担当役員、最高デジタル責任者、デジタルビジネス推進担当役員などを回答対象者として実施されました。有効回答は300社。 回答した企業のうち、「連結対象」「連結対象外」「ITベンダーなどと共同出資」のいずれかに該当するIT子会社を持つ割合は38.0%。 調査結果では、IT子会社設立の主な理由はコスト削減で、親会社から見た喫緊の課題はIT戦略立案能力、受け身の姿勢、スピード感、先進技術の習得などと説明されています。 IT子会社を設立する理由はコスト削減 IT子会社を持つ企業に、設立している主な理由を上位3つまでの

はじめに Flatt Security でエンジニアをしているAzaraとei01241です。 本ブログは、2023 年の 8 月初旬に開催された、BSides Las Vegas、BlackHat USA 2023、DEF CON 31 に弊社 2 名のエンジニアが参加した際の記録です。 はじめに 会社の研修制度を使って参加 前日談と滞在中の様子 事前準備 パスポートの準備 ホテル予約 航空券の予約 出発 → ラスベガス ラスベガスの前乗り 食と観光と困りごと 水が高い、物価も高い 美味しいものがいっぱい 体調を崩した 乾燥と鼻血 治安が悪い場所もある、ご注意を 観光 BSides Las Vegas 会場と設備 Talks BlackHat USA 2023 会場と設備 朝食や昼食、そしてコーヒーブレイク briefing Key note Smashing the state mac

”次世代のものづくり”を担う組織に寄り添い、サポートするセキュリティSaaS「Shisho Cloud」の開発秘話と私たちが目指すもの 株式会社Flatt Securityは、2019年のサイバーセキュリティ事業開始後、4期連続成長を続けているサイバーセキュリティスタートアップです。「開発者に寄り添ったセキュリティ」を掲げ、セキュリティの専門家によるセキュリティリスク調査・分析サービス「セキュリティ診断」やセキュアコーディング学習サービス「KENRO」などの提供を行ってきました。 そして、2023年8月、自社開発のセキュリティSaaS「Shisho Cloud」を正式に提供開始しました。「日本の”次世代のものづくり”をセキュリティ面から支える」というコンセプトのもと生まれたというShisho Cloud。プロダクト開発の背景や、プロダクトに込めた思いについて、開発者であるFlatt Sec

はじめに CTO の米内です。Flatt Security は、本日 2023 年 8 月 23 日、テック組織がクラウドのセキュリティを考える際の一歩目を支える SaaS 「Shisho Cloud」（シショウ クラウド） をリリースしました。 Shisho Cloud は、大雑把に言えば 「AWS/Google Cloud 上のリソースの設定がセキュリティ的に良さそうか、改善できそうかというのを検査してくれる製品」 です。 小難しい言い方をすると Cloud Security Posture Management（CSPM）の実現のための製品です。 我々がどんな背景で、どのような強みのサービスを提供するかが気になる方は、是非プレスリリースをご一読ください。 ただプレスリリースは、より広いオーディエンスに向けて書かれるという特性上、若干技術者の方には淡白に見えるかもしれません。手練の（セ

システムの内製開発を進める企業向けのセキュリティー製品を手掛けるフラットセキュリティ（東京・文京）は、クラウド上で提供するソフトウエア（SaaS）の設定ミスを自動で監視するサービスを始める。米アマゾン・ウェブ・サービスやグーグルが提供しているクラウド開発基盤で作動する。こうした開発基盤は自由度が高い一方、設定が複雑になりミスが起きやすい。例えば不具合の修正作業時にアクセス制限を緩めてしまい、サ

プロダクト開発組織に向けたサイバーセキュリティ関連事業を展開する株式会社Flatt Security（代表取締役社長：井手康貴　以下、Flatt Security）は、本日2023年8月23日（水）より、クラウドセキュリティの継続運用・自動化をサポートするセキュリティSaaS「Shisho Cloud」（シショウクラウド、URL：https://shisho.dev/ja）正式版の提供を開始します。 「Shisho Cloud」正式版は、2022年の事前登録開始時からコンセプトを一新し、AWS・Google Cloudのセキュリティ診断の自動化や、クラウドセキュリティの継続運用のサポートに特化した機能を備えています。活用いただくことで、クラウドセキュリティ運用体制の構築や負担軽減、運用フローのさらなる効率化を実現することが可能です。 また、新たなセキュリティトレンドであるPolicy as

原作・稲垣理一郎先生と作画・池上遼一先生のタッグによる人気漫画『トリリオンゲーム』。主人公のハル（天王寺陽）と相棒のガク（平学）の二人が100兆円企業を作ることを目指して奮闘する、スタートアップを舞台にした作品です。 2020年12月に「ビッグコミックスペリオール」で連載がスタートしてから、その破天荒なストーリーとコミカルな作風が話題を呼び、2022年には「マンガ大賞2022」にノミネート。2023年7月14日（金）からは、TBS系金曜ドラマとして、ドラマ版の放送もスタートします。 www.tbs.co.jp 作中にはCTF（ハッキングコンテスト）やプロダクト開発に関するシーンも多数登場。原作漫画の技術監修、ドラマのIT・セキュリティ技術監修を、サイバーセキュリティスタートアップのFlatt Securityが務めており、フィクションながらもリアリティのある表現がなされています。 prti

はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの梅内(@Sz4rny)です。 本稿では、弊社がこれまでに実施してきたFirebase診断の事例や筆者独自の調査をもとに、Firebaseを活用して開発されたサービスにおいて発生しやすい脆弱性の概要やそれにより引き起こされるリスクおよびその対策を深刻度や発生頻度の評価を踏まえつつお伝えします。本稿を通じて、Firebaseを活用したサービスにおいて発生しやすい脆弱性にはどのようなものがあるのか、また、そのような脆弱性を埋め込むことなくセキュアなサービス実装を実現するためにはどのような観点に気をつければよいのかについて理解を深めていただけますと幸いです。 なお、本稿では「Firebase活用時に限って発生しうる脆弱性(例:Firestoreのセキュリティルールにおけるバリデーション不備)」と「Firebaseを活

組織としてプロダクトセキュリティに向き合っている企業のノウハウや現場の課題などをお伝えする特集「プロダクトセキュリティ組織の作り方」。 第2回となる今回は、クラウド型建設プロジェクト管理サービス「ANDPAD」を開発・展開している株式会社アンドパッドの取り組みについて、同社執行役員・開発本部長 VPoE兼CSOの下司宜治さん、コーポレート本部 経営管理部 部長の青木勝則さんのお二人にお話を伺いました。 プロダクトに関わる様々なチームを同一部門内に集結 メンバーは全員「開発エンジニアからセキュリティエンジニアに」 プロダクトの多様化を受け組織化に着手 チームが目指す「4つの未来」 アンドパッドからのお知らせ プロダクトに関わる様々なチームを同一部門内に集結 ーー皆様の現在のお仕事について教えてください。 下司：執行役員・開発本部長 VPoE（VP of Engineering）兼CSO（Ch

はじめに こんにちは。株式会社Flatt Securityの @toyojuni です。自分はもともとWebやUIのデザインを本職としていましたが、大学の同期と共同創業したセキュリティ企業であるFlatt Securityにて経営やDevRelを担っています。 デザインとセキュリティは普段話題が交わることが少ない領域ですが、UI/UXのデザインであればソフトウェア開発と不可分であることは間違いなく、すなわちデザインもセキュリティに無自覚ではいられないでしょう。 そのような観点で、本記事では「パスキー(Passkey)」を取り上げてみようと思います。 本記事は「パスキー」「FIDO」「WebAuthn」といったキーワードに関して以下のような認識を持っている方向けの記事です。 名前も知らない / 聞いたことがない 聞いたことはあるが、ほとんど理解していない はじめに パスキーをなぜ今知るべきか

2023.06.06 働き方 セキュリティーCEO 開発とセキュリティの分断を解消する「開発者に寄り添うセキュリティ」の分野で事業を展開する株式会社Flatt Securityは、近年急成長中のサイバーセキュリティスタートアップだ。 代表取締役CEOの井手康貴さんは大学在学中に同社を起業し、セキュリティ診断（脆弱性診断）やセキュアコーディング学習プラットフォーム『KENRO』の提供からなるプロフェッショナルサービス事業や、テック組織のためのクラウドセキュリティSaaS『Shisho Cloud』の提供を通じてセキュリティの自動化を推進するプロダクト事業を展開してきた。 そして創業7年目を迎えた今、Flatt Securityはセキュリティ分野で確かな存在感を示している。同社の急成長を決定付けたものとは何だったのか。 「ものづくりの分野で一兆円企業を目指したい」と語る井手さんに、これまでの決

WebサービスやSaaS開発で気をつけるべき認証認可におけるロジックの脆弱性。どのようなもので、どう対策すべきか？［PR］ WebサービスやSaaS（Software as a Service）の開発において、認証や認可における脆弱性が発覚した場合、その深刻度は大きいことが多く対策は必須です。 言うまでもなく、どんなに素晴らしい機能が提供されていたとしても、脆弱性を突かれて情報漏洩やデータ破壊などを起こしてしまえば、ソフトウェアで提供される価値が地に落ちてしまうからです。 認証と認可の脆弱性は全体の3割以上にも セキュリティスタートアップとして多くのSaaS開発企業などにセキュリティ診断（脆弱性診断）を提供しているFlatt Security社は、同社が2022年の1月から1年強の間にBtoB SaaSを対象として検出した脆弱性を集計すると、ソフトウェアのロジックや仕様に起因するものが非常

はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの村上 @0x003f です。 弊社では本当にありがたいことに多くのお客様から様々なWebサービスの脆弱性診断をご依頼頂いています。本稿では、特にご依頼いただくことが多いBtoB SaaSという領域において実際にどのような種類の脆弱性が見つかっているのか(我々が発見できているのか)を集計し、上位10種類の脆弱性を紹介します。また、この上位10種類にどのような特徴があるのか、どのようにアクションを行うことでこれらの脆弱性がサービスに埋め込まれないようにできるのかについても解説しています。 データの概要 今回のデータは2022年1月から2023年2月までに診断を行ったBtoB SaaSに属するサービスで発見された脆弱性を元に集計と分類を行っています。集計を行った対象脆弱性の実数については、扱うデータの性質上公開でき