クラウドの知識が豊富な専門家による「Firebase」独自の観点を踏まえた手動診断

クラウドの知識が豊富な専門家による「Firebase」独自の観点を踏まえた手動診断
三井情報株式会社
三井情報株式会社
ソリューション技術推進グループ
ソリューション技術本部
アプリ担当 


ICT総合技術力を駆使した新規ビジネスの創出により、お客様企業の事業価値向上の支援を通じて、社会課題に貢献する三井情報株式会社。この度、Firebaseを用いて開発した新規スマートフォンアプリに関するセキュリティ診断をご依頼いただきました。今回はFirebase診断を実施した背景や当社を選定していただけた理由についてデータマネジメント技術部の内田様、太田様にお伺いしました。

Firebase を活用したアプリ開発と診断の背景

弊社は市場や顧客のニーズを捉え、技術力を駆使する事で新たなビジネスを創出し、顧客への価値提供に絶え間なく挑戦し続ける企業グループを目指しております。今回、弊社では地域DX及び地域創生の推進を実現するスマートフォンアプリのプラットフォームを新しく開発し、セキュリティ診断を依頼させていただきました。このスマートフォンアプリは自治体などの事業者を通じて個人へ提供し、地図アプリを基点としてゲーミング要素による域内回遊の促進や、地域デジタル通貨との連携による地域経済の活性化を支援します。アプリを通じて重要な個人情報を取り扱うため、第三者の専門機関による評価を受けながら、多角的にセキュリティを担保したいと考えておりました。

地域創生の持続的な取組を促すスマホアプリパッケージ「MIALK(ミアルク)」

また、今回のアプリでは開発コストを下げる目的で、新しい取り組みとしてGoogleが提供しているmBaaS【mobile Backend as a Service】であるFirebaseを採用し、開発を行いました。Firebaseが提供している認証機能「Firebase Authentication」や データベース「Firestore」などを活用することで、バックエンドのサーバーやアプリケーションを個別に用意する必要が無いため、非常に使い勝手がよく開発コストを抑えることができました。

しかし一方で、従来の開発手法と異なるはじめての取り組みとなるため、セキュリティに関しては不安があり、第三者に相談をしたいと思っていました。

Firebase 独自の観点に対するセキュリティの不安

自社にスマートフォンアプリの開発実績が少なく、どのような観点で診断を行うべきか手探りで進めていました。また、Firebaseをはじめて利用するという事もあり、外部からの攻撃や脆弱性に対しての耐性をどこまで担保できているかなども不安要素でした。

Firebaseを活用したアプリ開発は、これまで私たちがやってきた従来のアプリ開発とセキュリティへの対策方法が大きく異なります。Firebaseではセキュアなアプリケーションを実現するうえで、Security Rules の記述が必要となります。Webで調査をしながら記述を進めましたが、開発者により自由記述で書き込むことができるため不安を感じていました。そのため、第三者の専門家に正しく記述ができているか確認をしていただきたいと思っていました。

誠実な対応と丁寧な解説からイエラエを選定

第三者の専門機関を探していた際に、信頼をしているクラウドエース様からイエラエ様をご紹介いただきました。他の診断会社にもご相談をしていましたが、他社では通常のWebアプリケーション診断として要件を認識されるケースがあるなど、Firebaseのセキュリティ診断を専門家として実施できる企業が少なかったように感じています。

一方で、イエラエ様にはSecurity Rulesの記述内容やシステム構成などこちらが気になっている点について一つ一つ丁寧に解説いただきました。また診断について不要なものは不要と伝えてくださる姿勢に誠実さを感じ、Firebaseの診断を専門家として丁寧にご実施いただけると考え、ご発注を決めました。

複数の対策方法が記述された診断結果報告書

報告書を確認させていただき、イエラエ様が持つFirebaseに関する知見をもとにして、しっかり診断していただけたと感じています。今回の診断では緊急度の高いリスクは検出されませんでしたが、Firebaseについて熟知していないと見つからないような細かいリスクについても教えていただき非常に満足しています。

推奨されるSecurity Rulesに準拠しているつもりでしたが、目の届いていない部分もあり改めて第三者により診断していただきよかったです。報告書に記載されている推奨対策方法も、分岐をわけて改善パターンを複数示していただき、自社にあった対策を選択することができたためよかったです。

また診断中にこちらの不手際で環境を変更してしまった際にも、丁寧にご対応いただいた点も大変助かりました。

顧客への価値提供を支援するパートナー

弊社が目指す、「新たなビジネスを創出し、顧客への価値提供を絶え間なく挑戦し続ける」を実現していくためには、安全で堅牢なセキュリティが必要不可欠です。今回依頼したスマホ向けアプリに限らず、今後も様々なアプリ開発において、信頼できる第三者の専門機関であるイエラエ様と共に協力し合いながら、プロジェクトを進めていければと思います。

会社名三井情報株式会社
事業内容ICTを基軸とした事業を展開し、お客様と共に社会課題の解決や新たな価値の創出に取り組み、お客様と共に価値を創造する「価値創造企業」として絶え間ない挑戦を続けています。
URLhttps://www.mki.co.jp/

自社に最適なサービスが分かる!
セキュリティ診断/対策
サービスご紹介資料
当社のサービスや製品に関するご紹介資料を
ダウンロードいただけます。
経験豊富なエンジニアが
セキュリティの不安を解消します

Webサービスやアプリにおけるセキュリティ上の問題点を解消し、
収益の最大化を実現する相談役としてぜひお気軽にご連絡ください。

疑問点やお見積もり依頼はこちらから

お見積もり・お問い合わせ

セキュリティ診断サービスについてのご紹介

資料ダウンロード