SmartHR Tech Blog

SmartHR 開発者ブログ

QAエンジニアが脆弱性診断を実施した理由と訪れた変化

こんにちは!SmartHRQAグループ所属の @arminmin, @ark265, @muga と申します!
QAグループでは、ソフトウェアテストを中心に、柔軟かつ多岐にわたるアプローチで品質保証活動を行なっています。
私たちはQAoverallチームに所属し、特定のプロジェクトに入らずプロダクト横断で品質保証に関する活動をしてます。
本記事では、QAoverallチームで行っている脆弱性診断をテーマに実施した背景やその後に訪れた変化などをお伝えしていきたいと思います。

脆弱性診断を実施することになった理由

品質保証活動の中でセキュリティ分野が重要であることは、広く知れ渡っていると思います。

今回、SmartHRのQAグループのミッションにある「品質を技術で解決する」を背景にプロダクトの安全性を明らかにすると同時に対策を講じることで、より安心してプロダクト開発に向き合える環境を作りたいとの思いから、脆弱性診断を自ら実施していく判断をしました。
(この判断をした際にフォローしてくださった方々に感謝しています。)

そして、ミッションを体現する機会を通じて、自身のQAエンジニアとしてのスキル向上にも大きく寄与するよいきっかけとなりました。

どうやって実施しているか

正直なところ、QAエンジニアとしてのセキュリティ分野に強みを持てる状況とは言い切れず、セキュリティチームと協業しながら以下のように脆弱性診断を実施しています。

実施前

  • テスト対象となるプロダクトの理解を深める
  • テスト対象の範囲などを決める
  • 開発チームへテスト範囲やスケジュールなどの共有

実施中

  • 1〜2週間程度の期間を設け、セキュリティチームとQAoverallチームで協業して自動実行と手動実行に分けて実施

実施後

  • CVSSなどをベースにスコア付けを行う
  • 開発チームへの共有と振り返り

セキュリティチームと協業するメリットは想定よりも多く、セキュリティチームの視点では、開発組織と関わる場面が増えプロダクトの理解が深まったことで、今まで以上にお互いにコミュニケーションが取りやすい関係性が構築できました。

実施後に訪れた変化

当初は、脆弱性診断の実施スケジュールを立て、声がけを行ないテスト範囲など調整することが多かったのですが、内製で脆弱性診断を継続していくことで、開発組織から相談を持ちかけられる場面が増えたと同時に脆弱性診断に興味を持ち実施時に参加していただくこともありました。

脆弱性への関心度の変化によって、お互いにプロダクト視点や脆弱性視点など、異なる強みを持っている者同士で効果的なコラボレーションが生まれたことを実感しています。

特に脆弱性診断の結果を共有した際には、開発チームから改善案などの提案もあり、組織に閉じずお互いによりよくしていこうというオープンなカルチャーによって、改善が加速して行なわれている点もよい変化となりました。

まだまだやることが多く、日々、実験と学習を繰り返しながら、お客さまへ安全性の高いプロダクトを届けることや安心して開発していく環境を作り上げていく必要があると考えています。

We are Hiring !

最後まで記事を読んでいただき、ありがとうございました。
SmartHRのQAに興味を持っていただけましたら、下記の採用サイトからエントリーいただけますと幸いです。
カジュアル面談も実施しておりますので、選考に進む前に気になることがありましたらぜひ、気軽に聞きにきていただけたら嬉しいです。
みなさまとお話できることを楽しみにしております。

hello-world.smarthr.co.jp

www.wantedly.com