eギフトの発行・管理システムのWebペネトレーションテスト

カタログギフトの新しいカタチとして「高品質なアイテムを簡単に贈れて受け取れる」独自のオンラインギフトサービスを展開する株式会社ギフトパッド様。2021年に提供開始したデジタル通貨プラットフォームアプリ「region PAY」は累計ダウンロード数1,100万を突破するなど、今後も更なる事業拡大が見込まれる企業様です。今回はeギフトの※1発行・管理システム「Giftpad ソリューション」に対しWebペネトレーションテストを実施させていただき、そのご感想を伺いました。

※1 住所のわからないエンドユーザーへ、SNSやメールで商品やキャッシュレスポイントなどを贈ることができるサービス。別名、電子ギフト、ソーシャルギフトなど

想像の斜め上を行くような方法で脆弱性を発見

サイバー攻撃に関しては周りから被害にあったという声も聞いており「自社にも何が起こるかわからない」という不安を抱えていました。事業拡大が進んでいく中で取り扱う情報の数も重要性も大きくなり、特に管理システムが攻撃された場合の被害や影響を懸念していました。

これまでにも自社での検証や診断サービスを利用し対策は施してきましたが、今後はさらに多角的に見て対策する必要があると感じていました。

GMOサイバーセキュリティbyイエラエ(以下、GMOイエラエ)を選定した理由としては、過去に「region PAY」の脆弱性診断をお願いした実績があったことと、出資先の企業様からも良い評判を聞いていたためです。

Webペネトレーションテストを受けてみた感想として、何かしらの脆弱性は見つかるだろうと思っていましたが、思いもよらない手法で対象システムの改善点を見つけていただいたことに良い意味で驚きました。その点では期待以上に効果があったと思います。

また対策案を具体的に示していただいていたことも良かったです。他社でサービスを受けた時は「こういう事象に気をつけましょう」とだけ指摘されて、具体的にどう対応すればわからずに手が止まってしまうことがありましたので、この点は非常に助かりました。

報告会には当社の技術チームのメンバーは可能な限り参加するよう呼びかけ、GMOイエラエのエンジニアにどういった攻撃が想定されるのか、その対策についてレクチャーしてもらいました。これはメンバーの大きな気づきとなり、今後の開発にも役に立つと思います。

引き続き定期的にWebペネトレーションテストを実施していきたいと思っていますので、今後ともどうぞよろしくお願いします。