株式会社TimeTree

2014年9月設立。「明日をちょっとよくするために」をブランドプロミスとし、2015年3月にカレンダーシェアアプリ「TimeTree」をリリース。家族や恋人、サークルや仕事のチームといった相手や目的に応じて、複数のカレンダーを簡単に共有し合うことが可能。「スマホの中の壁掛けカレンダー」として毎日使われており、2020年2月には登録ユーザー数が2,200万を突破。海外でも多くのユーザーに利用されている。

コーポレートサイト

見積準備からはじまるスピーディなコミュニケーションでTimeTree社の作業負担を軽減

株式会社TimeTree
エンジニア
里見玲爾 様

里見玲爾 様

テレビコマーシャルでもお馴染み、登録ユーザー数2,000万突破したカレンダーシェアアプリ「TimeTree」。ブランディングデザイン、UI/UX、アプリケーション開発を経験豊かな内製メンバーで対応されています。

イエラエセキュリティでは「TimeTree」のAndroid/Webアプリケーション診断を担当させていただきました。今回はエンジニアの里見様より、脆弱性診断の必要性と、当社への感想と今後の期待についてお話を伺いました。

登録ユーザー数2,000万突破のカレンダーシェアアプリ「TimeTree」

夫婦やカップルの「言った言わない」問題を即解決!チャットや写真投稿で予定管理がさらにスムーズに。

客観的目線の脆弱性診断が堅牢性の高いアプリケーションであり続ける

TimeTree社は予定というものを扱うサービスで世界展開しています。予定というのは人の未来の行動を指し示してくるので、非常にセンシティブな個人情報を扱うことになります。TimeTree社にとって、情報セキュリティの維持や行動が重要なテーマになっています。

アプリケーションの堅牢性においては、初期の頃から開発メンバー自体が経験豊富なこともあり、情報セキュリティの意識は高かったのですが、アプリケーションの開発を継続していくことで意図しない脆弱性が出てしまうことが当然あります。その点で堅牢性の高いアプリケーションであり続けるためには、客観的な目線で脆弱性診断が必要だと理解しています。

脆弱性診断の見積依頼時のコミュニケーションコストを抑制できる

脆弱性診断の必要性は認識していても、外部の診断会社に作業をお願いする事になるので、相談をはじめてから診断結果が出るまでに時間やコミュニケーションコストが多くかかるという懸念がありました。

実際、見積実施会社によって見積方法や1リクエストの定義が違ったりするため、各社の定義に沿って自社の情報を整理して、比較検討する必要がありました。

大事だとは考えていても、あまりにも時間的、労力的コストがかかるのでは継続的に実施していく求心力を失う要因になりかねません。そういった課題をクリアするにはどうしたらいいか、と以前から考えていました。

診断会社の選定時には、脆弱性診断の費用対効果は重視しますが、イエラエセキュリティさんにお願いした理由として、コミュニケーションコストをうまく抑えることができると感じた事が決め手になりました。

具体的には、アプリケーションのリクエスト数をイエラエセキュリティさんの診断士が直接調べていただいたことで、TimeTree社のコストを抑えることができました。

あとはSlack。TimeTree社でもSlackを使っていて、コミュニケーションスタイルがマッチしていて、診断を実施いただくエンジニアの方と、TimeTree社の担当エンジニアの間ですぐに連絡が取れるという点で魅力的だなと感じました。

通常の仕様のやりとりは、例えばAPIの仕様等を送ったりしますが、TimeTree社が開発で使っているSwaggerのファイルを直接お渡しするだけで完了するなど、コミュニケーションコストの点でカットできることが助かりました。

今後のアプリケーション開発に活きる発展的なノウハウ

診断レポートをいただいて感じたことは、システム構成上、イエラエさんでも見えない部分がある中で、もしこんなシステム構成で、こんな設定をしていたら、問題になりますよなど、発展的な指摘をいただけたことがすごくよかったです。

TimeTree社のエンジニアのノウハウがたまり、今後の設計にも活かされるため、現状が良いか悪いかに留まらない指摘は非常に助かりました。

また、これまで開発してきたアプリケーションが意図通り堅牢に稼働しているという客観的事実を得ることで、自分たちの自信にもつながる部分があったかと思います。

セキュリティ意識の高い人材を増やす

情報セキュリティはTimeTree社としても重要なテーマです。

アプリケーションを堅牢にして、攻撃から守ることも大切ですが、情報セキュリティはアプリケーションだけなく、組織的な取り組みも含みますので、そういった教育的な点でもイエラエセキュリティさんの力を借りられるとありがたいです。

社内のセキュリティ意識を高く保つ事が、結局最後は組織の力になると考えます。
最後にこれは業界全体での課題になりますが、セキュリティ人材の確保などもお力をお借りしたいですね。