Flatt Security、ソフトウェアサプライチェーン向けセキュリティプラットフォームShisho Cloud事前登録を受付開始

Flatt Security、ソフトウェアサプライチェーン向けセキュリティプラットフォームShisho Cloud事前登録を受付開始

ソフトウェア開発者向けのサイバーセキュリティ事業を展開するFlatt Securityは3月9日、ソフトウェアサプライチェーンのためのセキュリティプラットフォーム「Shisho Cloud」(シショウクラウド)のサービス公開に先立ち、事前登録を同日より開始することを発表した。事前登録したユーザーには、4月上旬より優先的に案内する予定。

Shisho Cloudの事前登録は、公式サイトより行える。3月末日までに登録すると、初期費用が無料になる特典も用意されている(適用条件あり)。

Shisho Cloudは、開発したソフトウェアを顧客に届けるまでの一連の過程(ソフトウェアサプライチェーン)に関連するセキュリティ上の問題発見から修正までを、半自動的に支援するセキュリティプラットフォーム。GitHubなどのソースコード管理システムと連携することで、運用状態やその上で管理されているソフトウェアの依存関係・設定ファイルなどを継続的かつ自動的にレビューする。

これにより、自社組織がソフトウェアサプライチェーンに関するリスクをどの程度抱えているか、どのように改善できるかを、セキュリティフレームワークに沿って評価・モニタリングすることが可能という。Flatt Securityが提供するセキュリティチェックの他にも、自社固有のポリシーを定義・利用することも可能。この際、ポリシー記述言語Rego、WebAssemblyにコンパイル可能な複数のプログラミング言語を利用できる。

また、複数の開発チームが組織内に存在している場合や、複数のソースコード管理システムが利用されている場合など、開発組織全体を横断してリスク管理を行なうユースケースにも対応しており、全チームの状況を俯瞰してリスクを把握することもできる。

サービスの開始にあたり、直近では、ソフトウェアサプライチェーンに存在する重要なリスクの発見と修正の半自動的なサポートを目的とした下記の機能が提供される。Flatt Security、ソフトウェアサプライチェーン向けセキュリティプラットフォームShisho Cloud事前登録を受付開始

  • GitHubなど、各種ソースコード管理システムの安全な運用や監査を補助する機能
  • IaC (Infrastructure as Code) コードを継続的かつ自動的にレビューし、その中の設定不備の検出・具体的な修正方法の提案を行う機能
  • クラウドサービスのAPIキー・アクセスキーなどのシークレットや、個人情報などが、ソースコード内に不適切にハードコードされていないかを継続的に検査する機能
  • ソフトウェアパッケージの依存関係を解析・管理することで、既知の脆弱性が存在する依存先や知らぬ間に変更されうるような依存先、悪意のある依存先を検出し、更新を提案する機能
  • CI/CDワークフローの外部スクリプト・ワークフローへのリスクのある依存や、外部からのスクリプト注入を許すようなワークフローを検出する機能

 

長期的には、SLSAin-totoのようなソフトウェアサプライチェーンに関するフレームワークや、OpenSSFのような同領域に関するコミュニティの各種プロジェクトの展開を踏まえ、開発環境から実際のアプリケーション運用環境まで一貫したサポートの提供を予定しているという。

サイバーセキュリティのFlatt Securityが2億円調達、海外市場ターゲットのプロダクト「Shisho」開発を加速

サイバーセキュリティ事業やウェブエンジニアのための学習プラットフォーム「KENRO」(ケンロー)を提供するFlatt Securityは10月18日、第三者割当増資による約2億円の資金調達(一部借入を含む)を発表した。引受先はB Dash Ventures、フィンテック グローバル、事業会社1社。既存事業の収益と調達した資金により、海外市場を念頭に置いたセキュリティプロダクト「Shisho」(製品のβ版を提供中)の開発速度の向上を目指す。累計調達額は約4億5000万円となった。

Shishoは、グローバルで「組織内のプロダクト開発・運用業務とセキュリティ業務との分断の解消」を実現すべく開発されたプロダクト。技術的な核となる脆弱性の感知・修正エンジンをオープンソースソフトウェア(OSS)としてGitHub上で公開しており、製品のβ版の提供を10月6日より行なっている。

2017年5月設立のFlatt Securityは、サイバーセキュリティ領域を手がける東京大学発のスタートアップ。「セキュリティの力で信頼をつなげ、クリエイティブな世界を実現する」をミッションに掲げており、ユーザーのシステムに情報漏洩やデータ改ざんにつながる脆弱性がないかを調査する「セキュリティ診断」(脆弱性診断)やKENROを提供している。また、インターネット上で利用可能なソフトウェア・ハードウェアの脆弱性を調査する「脆弱性リサーチプロジェクト」を実施している。

サイバーセキュリティ事業のFlatt Securityがセキュアコーディング向けeラーニング「KENRO」正式公開

サイバーセキュリティ事業のFlatt Securityがセキュアコーディング向けeラーニング「KENRO」正式公開

サイバーセキュリティ事業を展開するFlatt Securityは4月13日、ウェブエンジニアのセキュアコーディング習得を支援するSaaS型eラーニングサービス「KENRO」(ケンロー)を正式リリースした。正式リリースにあわせて、β版時のサービス名「Flatt Security Learning Platform」からKENROに変更した。

また、一部制限されたコンテンツを除いて、自由に試用できるトライアルを現在無料で提供している。まずはサービスに実際に触れて利用を検討してみたい、コンテンツを精査したいという場合は問い合わせるよう呼びかけている。β版期間に試用しサービスを評価したサイバーエージェントは、2021年度新卒研修において約80名規模で導入したそうだ。

KENROは、「資料に目を通して三択問題のテストを受けるだけ」といった一般的なeラーニングとは異なり、攻撃者が用いる手法を体験する「ハッキング演習」や、開発者の立場で脆弱なソースコードを修正する「堅牢化演習」を通じて、より実践的なトレーニングを一元的に受講できるという。

また正式リリースでは、「堅牢化演習」における修正対象のソースコードとして、Python、Java、Goで書かれたソースコードがダウンロード可能となっている。4月中にRubyも追加予定という。

また、学習コンテンツ中に含まれるサンプルコードに関しても、複数の言語に表示を切り替えられる。

サイバーセキュリティ事業のFlatt Securityがセキュアコーディング向けeラーニング「KENRO」正式公開

正式リリースでは、管理画面も大幅に拡充。学習の進行状況を直感的に把握できるダッシュボード機能や、未受講の受講者に通知する機能など、大規模なグループでの学習も便利に利用しやすくなったとしている。

サイバーセキュリティ事業のFlatt Securityがセキュアコーディング向けeラーニング「KENRO」正式公開

このほか、ボリュームのある学習コンテンツの中から、求める内容に素早くアクセスできるよう目次を追加するなど、受講者体験を向上するためのUI改善を実施。全体的なカラーテーマについても、白基調を採用している。

サイバーセキュリティ事業のFlatt Securityがセキュアコーディング向けeラーニング「KENRO」正式公開

2017年5月設立のFlatt Securityは、サイバーセキュリティ領域を手がける東京大学発のスタートアップ。各種パブリッククラウドやmBaaS、ウェブアプリ・スマホアプリ・ネットワーク・IoTを対象として、顧客情報の流出やデータ改ざんにつながる脆弱性がないかセキュリティエンジニアが診断する「セキュリティ診断サービス」も提供している。

関連記事
サイバーセキュリティ訓練スタートアップのHack The BoxがシリーズAで約12億円調達
エンジニア採用時のコーディング試験サービス「HireRoo」が3600万円を調達、β版提供も開始
ライブコマースからセキュリティへ、東大発のFlattが2.2億円を調達して新たな挑戦を加速

カテゴリー:セキュリティ
タグ:エンジニア(用語)オンライン学習 / eラーニング / オンラインレッスン(用語)教育 / EdTech / エドテック(用語)東京大学(組織)Flatt Security(企業)プログラミング(用語)日本(国・地域)