セキュリティ対策の内製化に必要な第三者の視点

脆弱性診断の必要性を感じたきっかけをお教えください

 当社では、ネットショップ開設、POSレジ、キャッシュレス決済、オンライン予約システムなど、商売のデジタル化を支援する「STORES プラットフォーム」をサービスとして展開しています。

 サービスを展開していく中で、オーナー様や利用者様の個人情報や購入情報等、機密性の高い情報を取り扱うため、情報漏えい等が発生しないよう厳格に管理する必要があると考えています。また当然ながら持続して安定したサービスを提供することも重要です。

 当社ではセキュリティエンジニアが在籍しており、システムの堅牢性を高め、情報漏えいやシステム停止といったインシデントの発生を未然に防ぐために脆弱性の検出と対処を定期的に行っています。 

よりセキュアなサービス開発を行っていくために第三者の異なる視点も取り入れたく、社外で実績のある診断ベンダーへの依頼を検討しました。

 今回の実施について懸念はありましたか

 当社はセキュリティ対策に関して内製化を進めており、はじめは社内のセキュリティエンジニアの人数を増やして対応しようとしていました。しかしながら、採用市場においてセキュリティエンジニアは少なく、コストとスピードの観点から外部の専門家による実施を検討しました。社内とは異なる観点を得るため、手動で網羅的に診断していただくことを期待していました。

弊社をご選定いただけた理由をお教えください

 脆弱性診断サービスを提供している実績のある企業という印象をもともと持っていました。他社さんを含めて、お話を伺っている中で丁寧なヒアリングや迅速な対応が非常に好印象で発注を決めました。

 コミュニケーションが上手くできる企業に依頼したいと考えていましたが、実施にあたって必要な情報を丁寧にご説明していただき、お願いしたいと思いました。また他社さんが対応できなかった複雑な診断内容についても、イエラエさんは対応可能であり、技術力の高さを感じました。

弊社サービスをご利⽤になられて"効果"はいかがでしたか

 社内のセキュリティエンジニアによる診断だけでは、既知のサービスの場合、ここは大丈夫だろうと先入観を持って実施してしまう可能性があります。内製化にはフローを理解しながら診断できるという利点がある一方で、外部のエンジニアがブラックボックスで実施するからこそみえる観点もあると思います。

 今回の診断では、全く想定をしていなかった脆弱性は見つかりませんでしたが、外部のセキュリティエンジニアにゼロベースで網羅的に客観性をもって診断していただく機会を作ることができてよかったです。

 またスマホ診断については社内に知見がない部分もありましたが、実際に診断をしている方のコメントを見ることで、みるべき観点について学びになりました。

 スピーディーに診断いただき、また上手くコミュニケーションをしながら進められたため満足しています。

 弊社への今後のご期待･ご要望等がございましたら、お聞かせください

 日々進化していくプロダクトに対してセキュリティエンジニアの採用を強化して、セキュリティ対策の内製化を強めていきたいと考えています。内部の人間だけでは観点が固定化されてしまうため、外部の視点を定期的に得られるようなプラットフォームサービスがあると嬉しいです。また最新の知見を得るために、セキュリティエンジニアの育成や交流会についても企画していただけると嬉しいです。

会社名	ヘイ株式会社
事業内容	heyは、「Just for Fun」をミッションに、こだわりや情熱、たのしみによって駆動される経済の発展を支援しています。ネットショップ開設、POSレジ、キャッシュレス決済、オンライン予約システムなど、お商売のデジタル化を支援する「STORES プラットフォーム」の展開を通じて、誰もがこだわりをもっと自由に発揮できる社会を目指します。
URL	https://www.hey.jp/