将来のユーザー拡大を見据えて早期にセキュアなクラウドインフラを構築

取締役会管理を DX することで、スムーズな会議運営を支援するミチビク株式会社。重要な機密情報を取り扱うことからセキュリティに対して日々強化、改善を行っています。今回はクラウド環境の設定状況を確認するクラウド診断を当社にご依頼いただきました。当社をご選定いただいた理由について、CTOの金杉様にお話を伺いました。

ユーザー拡大に伴い、AWSのセキュリティ診断を検討

「michibiku」は、取締役会等の重要会議の招集通知の作成・送信、会議資料の共有、議事録の作成・回覧・コミュニケーション、電子署名、書類の管理、付議事項一覧の管理を一元化して行うクラウドサービスです。

重要な機密情報を取り扱うことから、ISMSの取得による管理体制の整備や、IPアドレス制限機能の組み込みなど、セキュリティ面への取り組みも強化しています。また最近では顧客企業からセキュリティに関する取り組みについて開示を求められるケースも増えてきました。

商用利用をしているサービスでは、ユーザーを獲得した後にインフラ環境を大きく変更することは困難です。セキュリティ診断が遅くなればなるほど手戻りコストが大きくなるため、初期の段階から早めに診断をすることが重要であると考えています。これからユーザーを大きく拡大していくにあたり、早期にセキュアなインフラ環境を構築したく、社内で構築しているAWSの設定に関して、今回改めて診断を依頼いたしました。

スタートアップならではの課題に寄り添う
イエラエのセキュリティ診断

早期の診断が重要である一方で、開発の初期段階では仕様の変更や機能追加などアップデートが多く、セキュリティ診断のために開発の手を長期間止めることはできません。診断および指摘事項の改善に対してスピード感を持って対応ができると感じたパートナーを選定させていただきました。

前職でイエラエにセキュリティ診断をご依頼したことがあり、診断の品質や対応のスピード感、報告書のわかりやすさについて非常に満足をしていました。

特に当社のようなスタートアップでは少ない人数で多くのタスクをこなす必要があります。セキュリティ専用のチームがいない中で、診断を実施していくためにはスピード感や報告書のわかりやすさが重要となります。またスタートアップ界隈でセキュリティに関して議論している際にも、おすすめのセキュリティベンダーとしてイエラエの名前をよく伺います。

今回もぜひ信頼をしているイエラエに診断をしていただきたく発注を決めました。

診断によるセキュリティ強化だけではなく、
開発チームの知識向上も実現

構築時から自分たちでも注意して設定を行っていたため、幸いリスクレベルが高い脆弱性は見つかりませんでした。一方でリスクレベルが低い細かな設定については、専門家ならではの視点がないと気づけなかった部分も多く、非常に参考になりました。

診断報告書に記載がある『発見された脆弱性の影響と対策方法』を読み込めば、開発チームでも気を付けるべきポイントが理解できるようになっています。2回目以降は開発後の社内レビューで自分たちで気づくこともできるようになるため、診断をするたびに開発チームのセキュリティリテラシーも向上してまいります。

現在の状態を確かめてセキュリティを強化するという観点だけではなく、今後のセキュアな開発体制の構築においてもイエラエの診断は有用であると感じています。

今回の診断を通じてＡ評価をいただいておりますが、今後もエンドユーザーの皆さまに安心して「michibiku」をご利用いただけるよう、社内開発チームの意識向上と定期的な診断を行っていきたいと思っています。

会社名	ミチビク株式会社
事業内容	「経営を、あるべき姿に導く。」をミッションに、国内における”コーポレートガバナンステック”の先駆者として、企業において適切な意思決定がなされる世界を目指しています。
URL	https://michibiku.co.jp/