fbpx

認証・認可のセキュリティ強化につながる手動診断

認証・認可のセキュリティ強化につながる手動診断
Instituiton for a Global Society 株式会社
Instituiton for a Global Society 株式会社
ビジネス開発部
商品開発チーム
佐藤好紀 様 

セキュリティ診断の必要性を感じたきっかけをお教えください

当社は「人を幸せにする評価と教育で、幸せを作る人、をつくる。」というビジョンを掲げてGROWというサービスシリーズを運営しています。

GROWではAI搭載エンジンによりその人の持つ気質や、コンピテンシー、スキルを可視化することが可能です。特にコンピテンシーや気質に関する情報は測定が難しく、単純な学力テストでは計測ができないため、人材の育成や採用、評価時にご活用いただき、ご好評いただいております。

今回は特に、評価結果を組織開発、採用、人材育成に活用する企業向けサービス「GROW 360」と、評価の結果を生徒の能力育成やキャリア形成に活用する教育機関向けサービス「Ai GROW」のセキュリティ強化を行いました。

本サービスではアカウントに紐づく個人情報、特に人の評価に関する機微情報を取り扱っています。また当社サービスはセキュリティ意識の高い、金融機関や大手企業、教育機関のお客様に多くご活用いただいており、セキュリティは当社としても重要な経営課題であると考えています。

今回の実施について懸念はありましたか

過去に他社でも実施をしたことはありますが、その際はツールを中心としいて、網羅的にスキャンをしているだけのような印象を持ちました。ツールだけでは検出されない大きな脅威が存在しているのではないかと漠然とした不安を持っていました。

今回の診断ではツール以外にも手動で診断していただけるかを重視しており、認証認可に関する脆弱性や、複雑な操作手順での脆弱性を確認するなど知見のあるセキュリティエンジニアによる診断を期待しておりました。

弊社をご選定いただけた理由をお教えください

Webで検索する中でイエラエの存在を知りました。何社か問い合わせさせていただきましたが、初回打ち合わせ時にレベルの高さを感じ、イエラエへの発注を決めました。

今後当社がどんな方針でセキュリティ対策をしていくべきなのかから相談して、脆弱性診断とペネトレーションテストとの違いなど、本当に自社にとって必要な診断が何かを丁寧にご説明していただきました。

認証・認可の脆弱性を診断するために手動診断が必要な理由や、どんな個人情報のどれくらいのリスクまで診断することができるのか、何は評価できて何は評価できないのかなど、納得できるレベルまでご説明いただき安心感をもって検討できました。

また当社のサービスはAWS上で構築をしておりますが、AWS構築で著名なクラスメソッドさんのセキュリティパートナーであることも決め手の一つでした。

弊社サービスをご利⽤になられて”効果”はいかがでしたか

不安のあった認証・認可に関する脆弱性について対策方法を教えていただき、よりセキュリティを強化することができました。

複数ブラウザから同時ログインすることで起きる挙動など、一つのブラウザでは見つけられず、ツールでは見つけられないような脆弱性についても調査していただきました。過去に診断を依頼した他社よりも深く診断をしていただいたと感じております。

対象が異なるため一概に比較はできませんが、コストやスピード感も前回実施時と大きく変わりませんでした。かけるコストが変わらず内容が充実したため非常に満足しています。

弊社への今後のご期待・ご要望等がございましたら、お聞かせください

GROWは複数のサービスシリーズを持っていますが、ユーザーの利便性を高めるために共通アカウントを利用したログイン機能の実装を検討しています。

認証・認可に関する機能開発となるため、セキュリティ面を改めて強化する必要があると考えています。認証トークンをどう扱えば安全に利活用できるかなど、自社でも調査を進めておりますが、専門家の知見をアドバイス頂きたいと思っています。

今後は診断だけではなく、開発段階からセキュリティの知見をいれて早期にセキュリティに関するリスクへ対処していきたいと考えています。今後とも引き続きよろしくお願いいたします。

会社名Instituiton for a Global Society 株式会社
事業内容「分断なき持続可能な社会を実現するための手段を提供する」を企業パーパスに掲げるHRTech/EdTech企業。
個人が持つ多面的な能力を科学的に評価するシステム「GROW360」「Ai GROW」や、評価データにもとづき成長を支援する教育コンテンツ「Dx GROW」「GROW Academy」、そして個人がデータを安全かつ主体的に活用するためのプラットフォーム「STAR」を学校法人、企業、自治体などのコミュニティに対して展開し、個人と組織のエンパワーメントを支援するSociety5.0時代の産業基盤となるべくサービスを提供している。
2021年12月29日に東証マザーズ(現・グロース市場)に上場。
URLコーポレートサイト
Ai GROWを受検する生徒の様子
セキュリティ診断の結果や行うべき対策がわかる
セキュリティ診断レポート
セキュリティ診断で発見された脆弱性と、具体的な内容・再現方法・リスク・対策方法を報告したレポートのサンプルをご覧いただけます。

経験豊富なエンジニアが
セキュリティの不安を解消します

Webサービスやアプリにおけるセキュリティ上の問題点を解消し、
収益の最大化を実現する相談役としてぜひお気軽にご連絡ください。

疑問点やお見積もり依頼はこちらから

お見積もり・お問い合わせ

セキュリティ診断の結果や行うべき対策がわかる

診断レポート・資料請求

RECRUIT

私たちと一緒に、
脆弱性のない世界を創っていきませんか