システム全体の流れを理解したエンジニアによる信頼のおける診断
- 株式会社Liquid
最高情報セキュリティ責任者(CISO)
吉山 晶 様
脆弱性診断の必要性を感じたきっかけをお教えください
当社は「認証を空気化し、滑らかな社会を作る」というビジョンのもとオンラインでの本人確認(eKYC)時に利用されるプロダクトであるLIQUID eKYCを提供しています。
eKYCの性質上、免許証などの本人確認書類の画像や本人の顔容貌画像などの重要なパーソナルデータを扱っています。金融機関や通信業界、Webサービス業界でご利用いただき、大量のパーソナルデータを取り扱っているため、セキュリティの担保は当社ビジョンの実現において重要な課題であると考えています。
開発時に自社でもセキュリティを意識していますが、第三者の専門機関からの指摘も重視しており、スマートフォンアプリケーション向けSDK及びAPIについて、リリース初期からイエラエさんに診断をお願いしてきました。新しいアプリのリリースや大幅な機能追加のタイミングに加えて、リリース以外でも少なくとも年に1回以上の定期的な診断を行っています。
弊社をご選定いただけた理由をお教えください
サービス資料のスペックを見ているだけでは観点上は同じでも「本当に有効な診断ができているのか」という違いがわかりづらいため、過去の実績やエンジニアと直接会話して感じた技術力を重視して選定させていただきました。
特にスマートフォンアプリケーション、Webアプリケーション、APIのセキュリティに長けていることを重視してベンダーを調査していました。
私自身セキュリティ関連の業界に長く居りますが、イエラエさんのお名前はセキュリティ関連イベントなどでもよく伺っていたので、我々が求める診断の質を担保していただけると思い、依頼を決めました。
弊社サービスをご利⽤になられて"効果"はいかがでしたか
幸い危険な脆弱性は発見されませんでしたが、今後どういったところに脆弱性が生まれそうか、当社のプロダクトは全体的にどうか、という診断対象全体を見てコメントいただけた点が役に立ちました。
報告書に記載がない部分でも質問に対して、タイムリーで納得感のある回答が得られるため、ポイントポイントで分担して診断をしているのではなく、全体の処理の流れを理解したエンジニアが診断していただいていると感じ、信頼できました。
弊社への今後のご期待・ご要望等がございましたら、お聞かせください
当社のビジョンである「認証を空気化し、滑らかな社会を作る」を実現するためには継続して安全なプロダクトを提供することは必須の条件であると考えています。リリース前の診断だけではなく、堅牢なセキュリティを担保した開発ができればよりよいと思っています。
診断のみならず設計、開発段階からのセキュリティ担保のあり方についてもご協力いただければと期待しています。エンジニアに対するセキュリティトレーニングなどもサービスリリースしていただけると嬉しいです。
| 会社名 | 株式会社Liquid |
| 事業内容 | Liquidは、生体認証を活用し、認証を空気化することで、世界77億人全ての人があるがままの状態であらゆるサービスを簡単・安全に使える、なめらかな社会の実現を目指しています。また、携帯電話契約(携帯電話不正利用防止法)、金融の取引時確認(犯罪収益移転防止法)、中古品買取(古物営業法)、不動産取引、CtoC取引などにおける本人確認のオンライン化の流れに合わせ、業界や導入事業者をまたがって横断的に不正検知を行う仕組みを提供し、利便性とセキュリティの両面を追求して参ります。 |
| URL | https://liquidinc.asia/ |
