丁寧な事前ケアにより本番環境へのペネトレーションテストを実施

「心理的unbankedをソフトウェアで解決する」をミッションに掲げ、誰でも最短1分で発行できるVisaブランドのプリペイドカード「バンドルカード」と手元の資産形成に活用できるクレジットカード「Pool」を提供している株式会社カンム。今回はペネトレーションテストの必要性や、「ＧＭＯサイバーセキュリティ byイエラエ」をご選定いただいた理由についてお話をお伺いしました。

金融サービスを主力事業にする
カンムのセキュリティ対策

当社は「面倒、難しい、怖い、不安」という気持ちからさまざまな金融サービスから距離をとっている心理的unbanked層と名付け、その方々に対して安心してご利用いただけるソフトウェアの開発・提供を行っています。

理念の実現のためには、お客様からお預かりした情報資産を事故・災害・犯罪などの脅威から守り、お客様ならびに社会の信頼に応えることが大切であり、セキュリティは最重要経営課題のひとつであると考えています。

また、当社は2023年3月に三菱UFJ銀行との資本業務提携契約を締結し、MUFGグループへ参画いたしました。三菱UFJ銀行口座保有者に向けた決済サービスの提供を予定しており、今後一層セキュリティを強化していく計画をしています。

将来のレッドチーム演習を見据えて
ペネトレーションテストを検討

「ＧＭＯサイバーセキュリティ byイエラエ」には昨年も新しい投資サービス「Pool」のリリースに関連して、診断を依頼するなど、何度か診断サービスのご依頼をさせていただいておりました。

ペネトレーションテストの実施検討は、掲載事例にあるレッドチーム演習の事例を拝見したことがきっかけです。先端的なセキュリティテストの事例を拝見して、当社でもぜひ実施をするべきだと感じました。

今後のレッドチーム演習の実施を見据えて、まずは総合的なペネトレーションテストから実施を検討しました。通常の脆弱性診断の報告内容からセキュリティベンダとしての信頼を感じており、イエラエに依頼をすれば間違いないと思っていました。

積極的なセキュリティ対策を行っている故の
ペネトレーションテスト実施に対する不安

これまではプロダクトアプリケーションのセキュリティを中心に力を入れてきましたが、今回のペネトレーションテストでは従業員に渡している端末や社内のコアになりつつあるAzureAD自体のセキュリティに焦点を当ててテストを検討しました。

ペネトレーションテスト自体は初めての取り組みとなるため、実際にテストを受けて指摘事項が無かったり、これまでの対策の無意味さを指摘されたりする結果が出た場合にどうしようという不安がありました。

本番環境へのペネトレーションテストに対する
しっかりとした事前ケアによる安心感

また金融事業を行う当社ではシステムダウンのリスクを厳格に管理していく必要があります。今回、標的型攻撃など総合的なペネトレーションテストを想定していたため、アプリケーションに対する通常の脆弱性診断と異なり本番環境への影響が懸念されました。

GMOサイバーセキュリィ byイエラエにご相談したところ、初期の提案段階から実際に診断を行うエンジニアの方に同席いただき、運用における懸念点や、全体的な環境に対するヒアリングを行っていただいたうえで、提案を行っていただきました。設定変更や環境影響が起こりうる攻撃に関しては、特に細かくご説明をいただいたため、安心して作業をお任せすることができました。

現在地を把握した上で
レッドチーム演習の実施を検討

ペネトレーションテストを実際に行った結果、セキュリティ対策状況の現在地が把握でき、次にやるべきことが明確になりました。今まで行ってきたセキュリティ対策も間違っていないことが証明できよかったです。

今後、セキュリティ製品の導入や、各種ログを一元管理し分析を行うための基盤構築の相談にも乗っていただきたいと思っています。来年以降、さらに強化したセキュリティ体制に対して、レッドチーム演習もぜひ実施したいです。

会社名	株式会社カンム
事業内容	株式会社カンムは「心理的Unbankedをソフトウェアで解決する」をミッションに掲げ、「資金とデータが還流するプラットフォーム」の構築を目指す、FinTech企業です。 誰でもすぐにつくれるオンラインのVisaプリペイドカード「バンドルカード」と、手元の資産形成に活用できる新コンセプトのクレジットカード「Pool」を展開しています。 2020年には株式会社セブン銀行との資本業務提携。2022年には三菱UFJ銀行と資本業務提携し、MUFGグループへ参画。更なる成長と新領域への事業拡大を目指しています。
URL	https://kanmu.co.jp/