Assured Engineering

Assured事業概要については👉こちら
 

チーム


Assuredのエンジニアリングチームは、
常に「事業が成長するか、より成功に向かえるか」ということに重きを置き、
技術だけでなくビジネスや組織など、事業を取り巻くもの全てに関心を持った上で、
最適な実現方法を考えるような、オープンなチームと今後の組織づくりを目指しています。

メンバー


Product Manager
鈴木 和幸
2013年、株式会社リクルートホールディングスに入社後、新規事業のプロダクト開発や事業開発に従事。2017年より株式会社リクルートマーケティングパートナーズ子会社のQuipperに転籍、EMとして「スタディサプリ」BtoB事業のプロダクト開発・エンジニアリングチームの組織開発を担当。2020年よりAssuredに参画
Software Engineer
岩松 竜也
2015年、株式会社ビズリーチに入社後、バックエンドエンジニアとしてHRMOS採用の開発に従事。プロダクトローンチからARR10億円規模に至るまでの主要な機能開発および改善、運用に携わる。2017年より新卒エンジニア採用のリクルーターも兼任。2020年よりAssuredに参画
Software Engineer
Huang Oliver
2015年、株式会社サイバーエージェントに入社。AbemaTV, AmebaOwndの新規事業の開発に参画。その後、AIスタートアップ、 株式会社ABEJAに転職。開発、企画、営業、パートナー開拓、海外拠点と調整の事業部立ち上げを経験。2020年よりAssuredに参画
Software Engineer
内山 陽介
2012年、株式会社サイバーエージェントに入社後、グループ会社2社に在籍。モバイル向けSaaSの開発全般、プリセールス、テクニカルサポートを担当。その後、アマゾンウェブサービスジャパン合同会社にてソリューションアーキテクトとして、クラウド導入支援や技術支援、を担当。2022年よりAssuredに参画
 

技術スタック


技術選定


 

登壇資料


 
 

インタビュー記事


 

Tech Blog


⏩ Assured Tech Blog 随時更新しております! 
new!
先日リリースの新機能「ウェブ評価」を自分たちで使ってみた - Assured Tech Blog
こんにちは、「Assured」でプロダクトマネージャーをしている鈴木です。 去る7月13日に 「ウェブ評価」という機能をリリースした ので、今日はその機能のご紹介とAssured自身での活用の様子をお届けしたいと思います。 「ウェブ評価」機能は、 クラウドサービスの技術的なセキュリティ対策状況を評価する機能です。実際にアプリケーションにアクセスした結果に基づくHTTPヘッダの情報や DNS の設定情報などからセキュリティの対策状況を推定し評価します。 私たちはこの機能を、 クラウドサービスをラーメン屋に例えて「ラーメン屋を、お店に入らずに門構えや外から見た行列、口コミから評価するような機能」と表現することがあります。本当に美味しいラーメン屋かはラーメンを食べてみるまでわかりませんが、それが良さそうなお店かどうかは外からでもわかることが多い、ということです。実際我々も、その クラウド サービスにログインして使うことなく、インターネットに公開された情報を収集し可視化することでその安全性を推定し、評価レポートを生成しています。 せっかくなので「Assured」自身のウェブ評価を確認し、実際にセキュリティ対策状況を改善してみたいと思います。いくつかあるカテゴリの中から、今回は「HTTPヘッダ」と「メール」の項目を見てみます。 HTTPヘッダの評価結果は以下のようになりました。主にセキュリティヘッダと呼ばれるような、 XSSやクリックジャッキング等の攻撃を防止するためのヘッダ情報を確認しています。これらのHTTPヘッダの設定値については、 OWASPからもガイダンス等が公開 されています。 ここでは 「Feature-Policy」 と 「Content-Type with character set」がうまく設定されていない様子が伺えます。特に「Content-Type with character set」は IPA の 安全なウェブサイトの作り方テキストでも XSS対策として取り上げられており、正しく設定したほうがよさそうです。「Feature-Policy」については、「 実験的な機能であり Permissions-Policy に改名されている 」と MDN にも記載がありますので、「Permission-Policy」が設定されていれば問題ないでしょう。 他に、個人的な推しポイントで言えば Content-Security-Policy (CSP) が設定されていることでしょうか。CSPを安全な設定値で設定すると、 XSS等により発生する意図しない(悪意ある)外部 スクリプト・インライン スクリプトの実行を阻止することができます。一方で、外部サービスの APIや SDK などを利用している場合にはそれを明示的に許可しないとうまく動作しなくなってしまうこともあるため、セキュリティ対策として強力な反面、設定がしづらいものの一つです。「Assured」ではサービス開始当初からこのCSPを利用してサービスのセキュリティを高めています。 メールのなりすまし対策の項目についても見てみたいと思います。 代表的な送信元 ドメインの認証技術である「 SPF(Sender Policy Framework)」はきちんと設定できていそうです。メールの送信 ドメイン・サーバが ブラックリストに登録されているかを判定する「Blocklist」についても問題ないという判定なので、自身の ドメイン からメールを送信する際に迷惑メールと判定されてしまう可能性は低そうです。 一方、「 DMARC(Domain-based Message Authentication, Reporting, and Conformance)」については設定ができていませんでした。DMARCは SPFや DKIMを利用した認証結果の取り扱いやレポート先を指定できる仕様です。認証の結果、なりすましと見なされるメールを不審メールとして扱うように設定することで、なりすましメールによる詐欺行為等を防止する効果がありますし、認証結果のレポート受け取ることで、自身の管理する ドメイン がなりすましの疑いのあるメールに利用されていないかを把握することができます。 それでは、ウェブ評価で可視化された適切でない設定値を修正し、「Assured」のセキュリティ対策状況を改善したいと思います。 実際に「Assured」の Content-Type レスポンスヘッダを確認してみると、以下のようになっており、確かに charset は指定されていませんでした。 $ curl -sI https://c.assured.jp | grep ...
 

採用情報


 
📎
まずは気軽にお話ししませんか? 少しでもご興味持っていただけましたら、ぜひ一度カジュアルにお話ししましょう。 👉お申し込みはこちら
 
 
 
 
 

©︎ 2022 Assured, Inc.