GMOサイバーセキュリティ byイエラエ株式会社

freeeに関連する全サービスの本番環境にレッドチーム演習を実施

freeeに関連する全サービスの本番環境にレッドチーム演習を実施
フリー株式会社
フリー株式会社
エンジニアリング基盤本部 セキュリティ部 PSIRT 越智郁様

freee様は、クラウド型会計ソフトを皮切りに、人事労務や会社設立支援と、スモールビジネスのバックオフィス業務を効率化するクラウドサービスの開発・提供をしているSaaS企業です。

この度、GMOサイバーセキュリティ byイエラエ へ、サイバー攻撃を想定して、攻撃側と防御側が攻撃と防御を繰り返す演習「レッドチーム演習」をご依頼いただきました。今回は、エンジニアリング基盤本部 セキュリティ部 PSIRTの越智郁様にご発注のきっかけや実施後の効果についてお話を伺いました。

専門家の力を借りて社内レッドチームの取り組みを加速

当時freeeでは、サイバー攻撃者に先回りして脅威を見つけ、その対策を進めていこうとレッドチーム演習の取り組みを始め、守りのブルーチーム側はこれまでの取り組みが形になってきたタイミングでした。一度社内のセキュリティ体制の評価を行いたいと考えていましたが、社内のレッドチームの取り組みはまだ模索・難航している状況であったため、専門家の力を借りて評価を行い、取り組みを加速させていきたいという背景がありました。

freeeに関連する「全サービス」かつ「本番環境」が対象

まず何より懸念していたことは、「お客様や、社内業務に影響が無いかどうか」です。今回の実施では、「freeeに関連するサービス全て」かつ「本番環境」を対象に実施をしました。範囲を制限してしまっては演習の意味が薄くなってしまいます。そのため、GMOサイバーセキュリティ byイエラエの攻撃担当の方に最大限自由に攻めてもらえるように、freeeの管理下にあるものに対しての範囲は制限せずに実施してもらうようにしました。一方で、万が一のことを想定し、演習の運営を取りまとめるメンバー(ホワイトチーム)にて、都度懸念点を相談したり、演習シナリオの状況によって各種関係部署との調整をしながら実施しました。

GMOサイバーセキュリティ byイエラエの技術面に関しては特に懸念はありませんでした。各方面からの高い評価も耳にしておりますので、期待を込め「おまかせ」です。ときおり、演習を進める中で、freee側からの要望を反映してもらうこともありました。

決め手はレッドチーム演習を行う範囲の広さと柔軟さ

もともと脆弱性診断やWebペネトレーションテストでお世話になっておりました。技術の部分はもちろん、プロジェクト全体の進行や、質問なども丁寧に対応いただけるところが印象に残っておりました。

今回選定で重視したポイントは、提案内容の範囲と柔軟さです。範囲は、前述のとおり「freeeに関連するサービス全て」として提案いただいたことです。柔軟さの具体的な内容としては、「演習のメインとなる攻撃シナリオ」の進捗に応じて、無駄のない発注が可能だったことです。レッドチーム演習はその性質上、攻撃と評価はセットで依頼をすることを前提と考えていましたが、当初、演習の攻撃シナリオを2パターン実施したいけれど、片方のシナリオは、進捗状況または、freee側の準備の都合でできるかどうかが確定しきれない状態でした。このような背景を踏まえて、GMOサイバーセキュリティ byイエラエからは、シナリオの実施状況に応じた評価部分を発注できるように提案いただきました。これにより、無駄のない依頼をすることができました。そして、プロジェクト全体の進行や、質問なども丁寧に対応いただきました。

詳細な評価が、既存業務フローの課題発見のきっかけに

指摘内容の種類の豊富さや観点の多さが、ありがたかったです。 IERAE DAYS 2024 の 「freeeのプロダクトセキュリティとレッドチーム演習」セッションでは、SSRF脆弱性を狙った攻撃に起因した、一連の検知から防御についてお話しさせていただきました。ある意味 “レッドチーム演習” ならではの 要素が詰まっていたので、この内容を軸にしましたが、実際はその他にもいろいろな指摘をわかりやすく報告いただきました。いわゆる危険度が低いものについても詳細に報告いただき、対策や点検を進めるなかで、既存の業務フローの課題を見つけるきっかけになりました。次の施策へのインプットにもなり、様々な面から演習結果が活用でき、とても満足しています。ありがとうございました。

引き続き、サイバーセキュリティ専門家の視点での提案を期待

レッドチーム演習の終了後は、まずはいただいた結果を最大限活用し切るために、報告書対応のロードマップを作成しました。現在はその対応を日々進めているところです。 一度専門家によるレッドチームを経験したことで、自社内の レッドチームに対しても目指したい姿の解像度があがり、チームにとても良い影響がありました。 組織の成長に応じて求められるシナリオや、やりたい施策内容も変わってきますが、いつも専門家の視点から、柔軟にご提案いただけ感謝しています。 引き続き、頼らせていただく場面もあるかと思いますが、どうぞよろしくお願いいたします。

サービスに関するお問い合わせ・お見積もりはこちら
会社名フリー株式会社
事業内容バックオフィス業務を効率化するクラウドサービスの開発・提供
URLhttps://www.freee.co.jp/

自社に最適なサービスが分かる!
セキュリティ診断/対策
サービスご紹介資料
当社のサービスや製品に関するご紹介資料を
ダウンロードいただけます。
資料ダウンロード
導入事例一覧へ戻る

導入事例

経験豊富なエンジニアが
セキュリティの不安を解消します

Webサービスやアプリにおけるセキュリティ上の問題点を解消し、
収益の最大化を実現する相談役としてぜひお気軽にご連絡ください。

疑問点やお見積もり依頼はこちらから

お見積もり・お問い合わせ

セキュリティ診断サービスについてのご紹介

資料ダウンロード
脆弱性診断(セキュリティ診断)・ペネトレーションテスト
セキュリティインシデント対応支援
セキュリティ訓練/資格取得
イエラエアカデミー
脆弱性管理/セキュリティ対策ツール
サイバー攻撃防御・分析 SOC
セキュリティコンサルティング
アプリケーション開発
用語解説