BlackHat USA 2024 / BSides Las Vegas / DEF CON 32 に会社の海外研修制度を利用して参加しました！ - Flatt Security Blog

2024/09/26 5 users DEF CON Flatt Security Blog

はじめに Flatt Security セキュリティエンジニアの Tsubasa、lambdasawa、Osaki です。本ブログでは、2024年8月に開催された Bsides Las Vegas、Black Hat USA 2024、DEF CON 32 に弊社メンバーが参加した際の記録、および、特に興味深かったセッションの詳細についてお伝えします！ なお、本稿の作成にあたっては各セ... 続きを読む

CTFで出題される脆弱性 vs プロダクトセキュリティのリアルな課題 - Flatt Security Blog

2024/09/04 16 users CTF 復習 余暇時間 一方 プロダクトセキュリティ

週末をCTFに費やし、平日の余暇時間をその復習に費やしている @hamayanhamayan です。去年2023年はCTFTime1調べでは66本のCTFに出ていて、自身のブログでは解説記事を40本ほど書いています。 自分はCTFプレイヤーですが、一方で、Flatt Securityはお仕事でプロダクトセキュリティを扱っている会社です。CTFで出題される... 続きを読む

Go, Ruby, Rust等の言語に存在した、Windows環境でコマンドインジェクションを引き起こす脆弱性"BatBadBut" - Flatt Security Blog

2024/06/24 17 users コマンドインジェクション セキュリティエンジニア rust

※本記事は筆者RyotaKが英語で執筆した記事を社内で日本語に翻訳したものになります。 はじめに こんにちは、Flatt SecurityでセキュリティエンジニアをしているRyotaK( @ryotkak )です。 先日、特定の条件を満たした場合に攻撃者がWindows上でコマンドインジェクションを実行できる、いくつかのプログラミング言語に対す... 続きを読む

JAWS DAYSで150人に聞いた！AWSのセキュリティ課題ランキング - Flatt Security Blog

2024/03/12 17 users AWS JAWS DAYS toyojuni ミッション 背中

こんにちは。Flatt Securityの@toyojuniです。 "エンジニアの背中を預かる" をミッションに、日々プロダクト開発組織のセキュリティを意思決定から技術提供までサポートするべく奮闘しています。 さて、Flatt Securityはこの度3月2日(土)に池袋サンシャインシティにて開催されたJAWS DAYS 2024にPlatinum Supporterとし... 続きを読む

1662人が参加したISUCON13 開催を支えた運営・作問・環境構築の舞台裏 - #FlattSecurityMagazine

2024/03/07 5 users isucon FlattSecurityMagazine

2023年11月25日(土)に開催されたWebアプリケーションのチューニングコンテスト「ISUCON13」。 プロダクトセキュリティスタートアップのFlatt Securityは、ISUCON13にメディアスポンサーとして初協賛。ISUCON13の作問にフォーカスした前回記事に引き続き、#FlattSecurityMagazineにて、ISUCON13の裏側やISUCONの魅力に関... 続きを読む

もう一度スタートアップをしようと思う　〜Flatt Securityの歩んだ5年とこれから〜 - #FlattSecurityMagazine

2024/02/13 12 users 井手 増資 FlattSecurityMagazine 外貨

Flatt Security 代表取締役CEOの井手です。 今回、Flatt SecurityはGMOインターネットグループから10億円の増資を受けるとともに、既存株主からグループへの株式譲渡が行われることにより、GMOインターネットグループに参画するという決断をしました。これは、Flatt Securityが最速で「外貨を稼げる1兆円企業」となるた... 続きを読む

Shisho Cloud - エンジニア組織のクラウドセキュリティをもっとシンプルに。

2023/08/23 9 users Shisho Cloud クラウドセキュリティ 知見 堅牢化

Shisho Cloud は AWS/Google Cloud 運用を堅牢化するためのセキュリティサービスです。Flatt Security が培ってきた知見をもとに、膨大なクラウドの利用様態や設定不備を評価し、セキュリティリスクの可視化と修正を支えます。わかりやすい診断結果レポートの出力機能や、Policy as Code 機能による高いカスタマイズ性を... 続きを読む

セキュリティ SaaS を「プログラマブル」に再設計した話 ― Shisho Cloud の正式リリースによせて - Flatt Security Blog

2023/08/23 17 users SaaS 米内 プログラマブル ＣＴＯ リソース

はじめに CTO の米内です。Flatt Security は、本日 2023 年 8 月 23 日、テック組織がクラウドのセキュリティを考える際の一歩目を支える SaaS 「Shisho Cloud」（シショウ クラウド） をリリースしました。 Shisho Cloud は、大雑把に言えば 「AWS/Google Cloud 上のリソースの設定がセキュリティ的に良さそうか、改善... 続きを読む

Flatt Securityの脆弱性診断において「ソースコード診断を無料付帯する」方針の解説 - Flatt Security Blog

2023/07/07 10 users Flatt Security Blog 脆弱性診断 方針

なにをするのか こんにちは。執行役員兼プロフェッショナルサービス事業 CTOの志賀です。 この度、通常のWebアプリケーション診断の料金でホワイトボックス診断のメリットの多くを享受できるようにサービスを大幅に改良します!! 具体的には、ソースコードをご提供いただける場合において、診断員が選択的に参照すること... 続きを読む

情シスからセキュリティエンジニアになるには？ みんなCVE取得してる？【セキュリティエンジニアだけど何か質問ある？】 - #FlattSecurityMagazine

2023/03/23 7 users セキュリティエンジニア Twitter 情シス キャリアパス

Twitterで募集した「セキュリティエンジニアに答えてほしい質問」に、Flatt Securityのセキュリティエンジニアが答える企画。 今回は、セキュリティエンジニアへのキャリアパスに関する質問や、Flatt Securityでの働き方に関する質問にFlatt Securityのセキュリティエンジニアたちがお答えします！ セキュリティエンジニ... 続きを読む

セキュリティ企業における開発とドッグフーディング - gRPC-web採用プロダクトの脆弱性診断を効率的に行えるようになるまで - Flatt Security Blog

2022/10/11 12 users ドッグフーディング インターン 脆弱性診断 フィードバック

こんにちは、Flatt Securityでインターンをしている@smallkirbyです1。 皆さんは、「ドッグフーディング」という言葉をご存知でしょうか。開発周りでは、書いたコードを開発者側で積極的に利用し、生成されたフィードバックをまた開発に投入していくフローのことを指します。 先日のブログでは、Flatt Securityの脆弱性... 続きを読む

Amazon S3の脆弱な利用によるセキュリティリスクと対策 - Flatt Security Blog

2022/07/26 160 users セキュリティリスク セキュリティエンジニア 森岡 本稿 視点

はじめに こんにちは、株式会社Flatt Security セキュリティエンジニアの森岡(@scgajge12)です。 本稿では、Amazon S3 の脆弱な使い方によるセキュリティリスクと対策を解説し、実際の設定不備などに関する事例についても紹介します。 Flatt Security は専門家の視点でセキュリティリスクを調査するセキュリティ診断を提... 続きを読む

Firebase Authentication 7つの落とし穴 - 脆弱性を生むIDaaSの不適切な利用 - Flatt Security Blog

2022/04/19 255 users IDaaS セキュリティエンジニア 落とし穴 脆弱性 本稿

はじめに こんにちは、株式会社 Flatt Security セキュリティエンジニアのぴざきゃっと (@pizzacat83) です。 認証機構を自作せずに導入できる Firebase Authentication は様々なアプリケーションにて利用されていますが、その特性を十分に理解せずに導入すると、実は不具合や脆弱性が生じることがあります。そこで本稿... 続きを読む

そのクーポン機能は不正利用を防げる実装ですか？ - Webサービスにおけるクーポン機能の仕様とセキュリティ観点 - Flatt Security Blog

2022/04/06 20 users 実装 セキュリティ観点 仕様 不正利用 WEBサービス

こんにちは。株式会社Flatt Securityセキュリティエンジニアの村上です。セキュリティ・キャンプ卒業後、新卒入社組としてFlatt Securityでセキュリティエンジニアをしています。 本稿では、BtoCのWebサービスにおいてマーケティング施策として頻繁に発行される「クーポンコード」及び「クーポン機能」のセキュリティ観... 続きを読む

業務効率化・品質向上をエンジニアリングする - Flatt Security のセキュリティ診断プラットフォーム「ORCAs」 - Flatt Security Blog

2022/03/28 5 users セキュリティベンダー セキュリティエンジニア エンジニア

はじめに こんにちは、株式会社 Flatt Security セキュリティエンジニアの梅内(@Sz4rny)です。 突然ですが、読者の皆様はセキュリティ診断(脆弱性診断)を提供するようなセキュリティベンダーがどのような体制で業務を行っているか、すなわち「サービスの裏側」を知る機会はあまりないのではないでしょうか。 本稿では、F... 続きを読む

Webサービスにおけるファイルアップロード機能の仕様パターンとセキュリティ観点 - Flatt Security Blog

2022/02/17 11 users セキュリティ観点 Flatt Security Blog

はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの村上です。セキュリティ・キャンプ卒業後、新卒入社組としてFlatt Securityでセキュリティエンジニアをしています。 本稿では、Webアプリケーション上で実装される「ファイルアップロード機能」の実装パターンをいくつか示し、「開発者が設計をする... 続きを読む

技術ドリブンだった組織に顧客目線のサービス改善を導入する(およびMarkdown版報告書提供開始のお知らせ) - Flatt Security Blog

2022/01/24 21 users 顧客目線 Flatt Security Blog 組織 豊田

こんにちは。Flatt Security執行役員の豊田 @toyojuni です。 今回のブログでは「セキュリティ診断」サービスに関するお知らせに合わせて、Flatt Securityがどのようにお客様の声とサービス改善に向き合っているかを具体的に紹介したいと思います。 Flatt Securityの「セキュリティ診断」サービスでMarkdown版報告書の提... 続きを読む

動画教育クラウド「tebiki」が実践　脆弱性診断の内製と外部ベンダ利用の両立方法とは？ | Flatt Security

2021/11/16 16 users tebiki 脆弱性診断 実践 内製

この記事についてtebikiさんはスタートアップ企業でありながら今までセキュリティに関してさまざまな取り組みを実施されているといいます。取締役／CTOの渋谷和暁さんに詳しくお話を聞きました image5 Tebiki株式会社（旧：ピナクルズ株式会社）は「現場の未来を動画技術で切り拓く」というビジョンのもと、2018年に創業... 続きを読む

Flatt Securityが2億円を資金調達。開発とセキュリティの分断を解消する「B2Dセキュリティ」を軸に海外を含めた多面展開を加速

2021/10/18 10 users 分断 多面展開 井手康貴 資金調達 セキュリティ

サイバーセキュリティ事業を展開する株式会社Flatt Security（本社：東京都文京区、代表取締役社長：井手康貴）は、B Dash Ventures株式会社、フィンテック グローバル株式会社等から約2億円の資金調達を実施しました。 株式会社Flatt Security https://flatt.tech ■本リリースのサマリー B Dash Ventures株式会社、フィ... 続きを読む

セキュリティに全ての開発者が向き合えるようにする ― Flatt Security がセキュリティプロダクト事業を通して目指すこと - Flatt Security Blog

2021/10/18 11 users セキュリティ セキュリティベンダ 米内 ＣＴＯ 全て

株式会社 Flatt Security 執行役員 CTO の米内です。弊社は「セキュリティの力で信頼をつなげ、クリエイティブな社会を実現する」というミッションの実現に向けてさらなる挑戦をするために、約2億円の資金調達を実施しました（プレスリリースはこちら）。 そうした資金調達の背景には「セキュリティベンダとそのユーザ企... 続きを読む

クラウドネイティブの時代に、脆弱性診断を開発者向けにリデザインする。Flatt Securityプロフェッショナルサービスの展望 - Flatt Security Blog

2021/10/18 11 users クラウドネイティブ 展望 脆弱性診断 時代 イメージ

プロフェッショナルサービス事業部の宮下です。Flatt Securityと聞いて脆弱性診断のイメージを持たれる方も多いのではないでしょうか。その脆弱性診断を提供しているのが当事業部です。 これまで当事業部の活動を紹介することが少なかったこともあり、まず当事業部とこれまでの活動を紹介し、そして当事業部の新たな取り... 続きを読む

「開発者に寄り添ったセキュリティを世界中に届ける」Flatt Securityの挑戦 - Flatt Security Blog

2021/10/18 9 users セキュリティ Flatt Security Blog 井手

はじめに こんにちは、Flatt Security CEOの井手です。 本日、Flatt Securityは資金調達と今後の事業展開についてのリリースを出しました。 ずっと顧客の課題に向き合うことに集中して外への発信にあまり力を入れてきませんでしたが、拡大フェーズに入り採用もガンガン行っていくため久々に筆をとらせていただきました。... 続きを読む

freeeがお試し発注から年間契約締結へ。技術力重視でホワイトボックス診断を実施 | Flatt Security

2021/09/21 15 users freee スモールビジネス ミッション クラウドサ 実施

freee株式会社は2012年、「スモールビジネスに携わるすべての人が、 創造的な活動にフォーカスできるよう」をミッションに設立されました。クラウド型会計ソフト「freee」をはじめ、HRプラットフォームサービス「freee 人事労務」や「freee会社設立」など、スモールビジネスのバックオフィス業務を効率化するクラウドサ... 続きを読む

ソラコムのIoT向けAPIにホワイトボックス診断を実施。通常の診断だけでは拭えない不安を解消 | Flatt Security

2021/08/18 9 users ソラコム IoT SORACOM 診断 解消

株式会社ソラコムは2015年に創業。IoT通信プラットフォーム「SORACOM」を通じて、IoTを実現するために必要な通信とクラウドサービスをワンストップで提供しています。2021年6月時点で、顧客数は世界140の国・地域で約2万顧客。 2017年にはKDDI株式会社による子会社化を発表しました。ソラコムの通信プラットフォームはKD... 続きを読む

30分で理解できる、セキュアなWeb開発を「いい感じ」に始める方法（Python編） | Flatt Security

2021/08/02 15 users Python編 セキュリ セキュリティリスク いい感じ 方法

SECURE CODING Dojo #230分で理解できる、セキュアなWeb開発を「いい感じ」に始める方法（Python編） イベント概要プロダクトの抱えるセキュリティリスクを最小限にし、安定したプロダクト提供を実現していくためには、一人ひとりの開発者が高いセキュリティ意識を持っていることが重要です。 しかし、そもそもセキュリ... 続きを読む