スマートロックを活用した「Akerun(アケルン)入退室管理システム」をはじめ、「Akerun」ブランドのクラウド型IoTサービスを中心とした各種サービスを提供する株式会社Photosynth(フォトシンス)。スマートロックは物理的なセキュリティを担う製品であり、その安全性を支えるうえでソフトウェア品質は重要な要素となる。
同社では、プロダクトの信頼性を高めるため、新規サービスのリリースや大規模アップデートのタイミングでエムオーテックスが提供する「LANSCOPE プロフェッショナルサービス(以下プロフェッショナルサービス)」の脆弱性診断サービスを開発プロセスに組み込んでいる。継続的に活用することで、開発体制や品質管理にどのような効果が生まれたのか。同社 執行役員 VPoE(Vice President of Engineering)安部 晃嘉 氏と、Akerun IoTプラットフォーム開発部 SRE/QAグループ鄧 少棠 氏に話を聞いた。
同社の開発体制は、約160名の社員のうち30〜40名ほどのエンジニアがソフトウェアおよびハードウェアの開発に携わっている。IoTサービスを提供する同社にとって、セキュリティは極めて重要な意味を持つ。スマートロックという製品の特性上、ソフトウェアの脆弱性が物理的なセキュリティリスクに直結する可能性があるためだ。
「スマートロックは、そもそも物理的なセキュリティを担保するプロダクトです。もしソフトウェア側に不備があれば、物理的な安全やプライバシーに影響する可能性もあります。そのため私たちは、セキュリティを“付加機能”ではなく、プロダクトが存在するための前提条件として捉えています」と安部 氏は話す。
一般的なソフトウェア開発では、多様な機能追加やユーザー体験の向上が重視される。しかし同社は、ユーザーが「鍵をかける」という日常行為をデジタルに委ねるサービスを提供している以上、ソフトウェアの安全性の確保は不可欠だと考えている。
こうした方針のもと、同社では新規サービスのリリースや大規模な機能追加のタイミングで、第三者による脆弱性診断を開発プロセスに組み込んでいる。開発プロセスのガバナンスを高めるには、社内の取り組みだけでなく外部の専門家による客観的なセキュリティ評価が欠かせないと考え、エムオーテックスの脆弱性診断サービスを約6年にわたり活用している。IoTサービスの信頼性を支える重要な取り組みとして位置づけているという。
同社が展開するシステムは多層的な構成で成り立っている。これはクラウド側のWebアプリケーション、利用者が操作するスマートフォンアプリ、スマートロックデバイスを制御する組み込みソフトウェアなど、複数のソフトウェアが連携してサービスを提供しているためである。
鄧 氏は、同社の品質管理の特徴について次のように説明する。
「Webアプリケーション、スマートフォンアプリ、組み込みソフトウェアといった複数のレイヤーを横断して品質を担保する必要があります。私たちQAチームは、システム全体を対象に品質と生産性の向上を担っています。」
特にWebアプリケーションとスマートフォンアプリを中心に、第三者による脆弱性診断を定期的に実施している。
「新しいプロダクトをリリースする際は、第三者によるセキュリティ診断を開発プロセスに組み込んでいます。自分たちの判断だけでなく、外部の専門家の目で確認してもらうことで、プロダクトの信頼性をより高められると考えています」(安部 氏)
こうした方針のもと、同社では複数社のセキュリティ診断ベンダーを比較検討した。その中で最終的にエムオーテックスの脆弱性診断サービスを採用した理由は、大きく2つあるという。
一つ目は、要望や予算に応じた柔軟な提案力である。
「診断のスコープや予算をお伝えした際に、エムオーテックスの担当者から『この範囲を調整すれば予算内で実施できます』といった具体的な提案を複数いただきました。社内で説明する際にも納得感のある内容だったため、承認をスムーズに進めることができました」(鄧 氏)
もう一つの決め手は、専門家による手動診断を重視している点である。
「IoTサービスの場合、ツールによる自動チェックだけでは見つけにくいリスクも存在します。その点、エムオーテックスはエンジニアによる手動診断を前提としたサービスだったため、より詳細な部分まで確認してもらえる安心感がありました」(鄧 氏)
こうした提案力と診断品質の高さが評価され、同社はエムオーテックスの脆弱性診断サービスの採用を決定。以来、継続的な活用へとつながっている。
現在、新規サービスのリリースや大規模な機能改修のタイミングに合わせてエムオーテックスによる脆弱性診断サービスを実施している。期間はプロダクトの規模に応じて異なり、小規模なサービスであれば約1カ月、大規模なプロダクトでは修正・再診断を含めて2カ月ほどのスケジュールで進められる。
「新しいサービスをリリースする場合は、主要機能がある程度完成したタイミングで診断を依頼します。診断結果をもとに修正を行い、再診断まで含めて完了するというサイクルで進めています」(安部 氏)
具体的には、診断範囲を調整したうえで脆弱性診断を実施し、診断結果をもとに開発チームが修正を行う。必要に応じて再診断を経て、最終レポートが納品される流れである。
同社が特に評価しているのが、診断レポートの分かりやすさと実務での活用のしやすさである。
「レポートでは、どのリスクをどの優先度で対応すべきかが明確に整理されており、具体的な修正方針も示されています。そのため開発チームとの認識合わせに時間をかけることなく、すぐに修正フェーズへ移行することができました」(鄧 氏)
リスクの所在と対応方針が明確に示されていることで、判断やコミュニケーションにかかるコストが大きく軽減されたという。QAチームと開発チームの連携もスムーズになり、修正対応のスピード向上にもつながっている。
さらに同社では、診断結果を単なる修正対応にとどめず、社内の開発ナレッジとして蓄積・活用している点も特徴的である。
「レポートには再現手順や対策の考え方まで整理されているため、そのまま社内ナレッジとして蓄積できます。指摘内容はテスト観点として整理し、設計やコードレビューにも活用しています。定期的に診断を実施することでナレッジが更新され続けるため、中長期的に見ると品質向上とコスト削減の両面で大きな効果を実感しています」(鄧 氏)
また、第三者による脆弱性診断の実施は、顧客への説明責任を果たすうえでも重要な役割を果たしている。特に法人向けサービスでは、セキュリティ対策の具体的な内容について問い合わせを受けるケースも少なくない。
「お客様から『どのようなセキュリティテストを行っているのか』と質問を受けることがあります。その際に、どのような基準・指標に基づいて診断を実施しているかを具体的に説明できるようになった点は大きな成果です。セキュリティはプロダクトが存在するための前提条件であり、その説明責任を果たせるようになったことの意義は非常に大きいと考えています」(安部 氏)
同社は今後のプロダクト拡張に向けて、新たなサービス開発も進めている。新サービスのリリース時にも、エムオーテックスの脆弱性診断サービスを継続的に活用していく方針である。一方、QAチームとしては将来的にセキュリティ診断の一部を内製化することも視野に入れているという。
「理想としては、社内のQAチームでもある程度のセキュリティチェックができる体制を構築したいと考えています。外部の専門家の知見を活用しながら自社のノウハウとしても蓄積し、より高いレベルのセキュリティを実現していきたいです」(鄧氏)
IoTサービスの普及が進むにつれ、セキュリティの重要性は今後さらに高まっていく。同社では、第三者の専門家による診断と社内の品質管理を両輪としながら、プロダクトの安全性と信頼性の向上に継続的に取り組んでいく考えである。
※本事例は2026年2月取材当時の内容です。