複雑で専門性の高いクラウドシステムの脆弱性診断

自由貿易協定(FTA)を有効活用し関税削減をするためのクラウドシステム「JAFTAS(ジャフタス)」を提供する株式会社東京共同トレード・コンプライアンス様にWebアプリケーション診断を受けたご感想を伺いました。

システム連携によってデータの機密性が高まりサイバー攻撃対策を強く意識

弊社(※株式会社東京共同トレード・コンプライアンス様)は、「JAFTAS」 という経済連携協定（Economic Partnership Agreement、通称EPA）に基づき関税削減を行うために必要な原産性調査手続の支援システムを提供しています。

2024年7月から日本商工会議所の「第一種特定原産地証明書発給システム」との連携機能がスタートし、JAFTASで取扱うデータの機密性がより高まったことで、プログラムの思わぬ見落としから「お客様の大切なデータが他者に読み取られてしまう」、「システム障害を発生させるような妨害をされる」などのサイバー攻撃の影響とその対策を真摯に考えるようになりました。

IPA等で記されたセキュアコーディングに従ってシステム開発をし、社内でもセキュリティチェックを行っていますが、お客様に安心してJAFTASを利用してもらうためには専門家による診断が必須であると考え脆弱性診断を依頼しました。

診断の丁寧さ、レポートがわかりやすさで選んでリピート

脆弱性診断を依頼するにあたり、「JAFTAS」はサービス仕様やサービス環境が複雑な上、「経済連携協定」や「関税」という専門的な分野のシステムであるため、脆弱性診断を実施する際にどこまで内容を理解してくれるか、またWebアプリケーションの脆弱性診断は診断する側の企業によって、診断の範囲や深さが全く異なるため、この点とJAFTASというシステムがうまく折り合えるか気がかりでした。

弊社では診断者の視点を変える目的で、毎年脆弱性診断をお願いする企業を変更していますが、数年前にGMOサイバーセキュリティbyイエラエに診断をお願いした際、診断の丁寧さやレポートがわかりやすかったことからチーム内で再度お願いしたいとの声が強く今回もお願いすることにしました。

診断作業中は不明点をすぐに連絡してくださるので真摯にシステムに向き合ってくれていることや実際に目と手を使って作業されているのが良く分かりました。また診断結果レポートも丁寧で分かりやすく、今後の対策に向けてのヒントも頂くことができ、開発チーム内でも共有しながら理解を深めることができたことが非常にありがたかったです。

今後もチーム一丸となって品質の高いシステム提供が実施できるようにセキュリティ対策を含めて取り組んでいきたいと考えております。