根拠のあるリスクレベルの解説がセキュリティ水準の維持につながる

必要性を感じたきっかけをお教えください

当社ではEventHubというイベントプラットフォームを運営しています。プラットフォーム上にイベント情報を登録することで、 イベント開催ができるだけではなく、過去のイベントに関連した行動データ・ログデータを蓄積し、顧客に合わせた情報提供を行うことでイベントの成果を効率よく高めることができるサービスです。

おかげさまで多数のお客様に導入いただいており、累計300社、600件以上のイベントでご利用いただいております。導入実績が増えるにつれて、当社が抱える参加者のプロフィールデータやイベントの行動履歴など機微な個人情報のデータ量も年々増加しているため、セキュリティ水準を高めたいと考えました。

BtoBのお客様では特にセキュリティチェックシートへの回答を求められるケースも増えてきています。経済産業省が提唱しているクラウドサービスに関するセキュリティガイドラインを参照して各社チェックシートを作成されているように思います。

ISMSの取得など当社としても個人情報の取り扱いに関して社内のセキュリティ意識を高めていますが、外部の専門家による手動での脆弱性診断を受けることでシステムの堅牢性についても、今一度確かめたいと考え発注を決めました。

今回の実施について懸念はありましたか

当社では成長戦略のために3-6か月のプロダクト開発ロードマップをひいており、プロダクトのアップデートを週に1回行っています。ストレッチな開発目標に対して脆弱性診断によるスケジュールへの影響や社内工数の確保が懸念でした。

結果として当社にかかった工数はAPI情報の一覧をお渡しするだけであり、問題なく実施することができました。

弊社をご選定いただけた理由をお教えください

診断の実施にあたって、複数社から相見積をいただき検討しました。当社がお願いしたいブラックボックス診断では診断員の腕によって結果が大きく左右されます。また前述の通りストレッチな開発スケジュールに対して柔軟にご対応いただけるかも重要なポイントでした。レポートの質、過去の実績、社内工数、見積費用、スケジュールの観点で総合的に判断し、イエラエさんでの実施を決めました。

また、既に利用している方から御社はきめ細やかな調査をしてくれる、報告書の質が良いとおすすめしてもらったことも決め手の一つでした。

弊社サービスをご利⽤になられて"効果"はいかがでしたか

第三者の診断により安全な水準を満たしていることを改めて確認できてよかったと思っています。また今後の開発時に、気を付けるべきポイントも教えていただけたため、開発フローの見直しにつながり非常に参考になりました。

ツール診断だと基準を満たしているかどうか、〇か×かのチェックしか出てきません。イエラエの診断ではどんなリスクがなぜ起きているか、リスクレベルが低い脆弱性を組み合わせることで生まれる新たな脆弱性がないかなど、診断員の方から深い説明をいただきました。

通常、リスクレベルが高い脆弱性を残したまま開発してリリースするベンダーさんは少ないと思います。セキュリティ基準を担保したまま開発を行う上で、リスクレベルが低い脆弱性に対してどんな基準でどのように対処していくかが重要であると考えています。

ツール診断と比較するともちろんコストは高くなりましたが、リスクレベルが低いと判断されている脆弱性に対して、なぜリスクレベルが低いのか、どういう状況であれば低いのかを正しく理解して判断することができたため非常に満足しています。

弊社への今後のご期待･ご要望等がございましたら、お聞かせください

EventHubはサービスの質を向上させるために、まだまだアップデートを重ねたいと考えています。それには、セキュリティ水準を維持したまま、高頻度のアップデートを行うことができるような開発体制の構築がポイントとなります。

全体をざっと診断する場合はツール診断、リスクレベルが低い脆弱性へのアプローチに対して相談したい場合は手動診断など、専門家の知見をうまくとりいれながら開発をしていきたいと思います。セキュアな開発フローの構築についてもぜひアドバイスをいただけると助かります。