GMOサイバーセキュリティ byイエラエ株式会社

高度な知見が必要な脆弱性も見逃さない技術力の高い手動診断

高度な知見が必要な脆弱性も見逃さない技術力の高い手動診断
株式会社ヌーラボ
株式会社ヌーラボ
サービス開発部 M氏、H氏

チームのコラボレーションを促進するサービスの開発・提供を行う株式会社ヌーラボ。この度、GMOサイバーセキュリティ byイエラエへWebアプリケーション診断のご依頼をいただきました。今回はサービス開発部の皆様にご実施のきっかけや、実施をした効果について取材しました。

第三者によるセキュリティ診断の必要性を感じたきっかけをお教えください

当社では「“このチームで一緒に仕事できてよかった”を世界中に生み出していく。」をブランドメッセージとし、プロジェクト管理ツール「Backlog」、オンライン作図ツール「Cacoo」、ビジネスチャットツール「Typetalk」、組織の情報セキュリティ・ガバナンスを強化するツール「Nulab Pass」などチームのコラボレーションを促進する各種サービスを開発・提供しています。

チーム間の連携を強化するため各種サービスではプロジェクトに関する課題やファイル、メンバーの個人情報など様々なデータを取り扱います。機微な情報も多数存在しているため、サービスのセキュリティ強化は重要な課題であると考えています。

2018年頃の話ですが、当初は有償の脆弱性診断ツールを用いて自社でセキュリティ診断を実施しておりました。テストシナリオを作成すると、設定したリクエストをツール側から送信し、脆弱性が検出された場合に報告するというツールです。様々なリクエストを送信してくれますが、診断員の方が手動で診断する場合と比較して、精度が荒く、思うように報告してくれず使いこなせてはいませんでした。

シナリオを自分で書く必要があるためコスト・工数もかかりますし、アプリケーションのすべての操作に対してシナリオを書くことは難しいため、専門家に相談したいと思っていました。

第三者に診断を依頼するうえでの懸念について教えてください

2018年当時は本格的な診断を受けたことが過去になかったため、リソースやコストがどれくらい必要になるのか想像がつかず不安に思っていました。またフレームワークにセキュリティ対策のため独自実装を行った箇所もあり、ブラックボックスで本当に効果が出るのかという点も懸念していました。高い技術力をもつ信頼できる会社に依頼したいと思っていましたが、技術力を判断する基準がわからず悩んでいました。

弊社をご選定いただけた理由を教えてください

当時の話ですが、もともとイエラエさんから、自社でBacklogを利用するにあたり診断させてほしいと依頼をいただいたことがきっかけです。その際に参考として報告書にご指摘事項をまとめていただき、事前にイエラエさんの技術力や報告書の内容に関して把握することができました。

普段より導入企業様にセキュリティ診断をしていただき、脆弱性のご報告をいただくことはありましたが、ツールを使って機械的に診断している方と手動で診断されている方は報告内容を見ればわかります。イエラエさんの場合は手動でやっているのが伝わる内容で、普段の診断についても丁寧に診断されているのだろうと思いました。またイエラエさんにはわかっている人じゃないと見つけられないようなマイナーなAPIに関する脆弱性を見つけていただき、特に技術力の高い会社であると感じました。

当時より今後脆弱性診断を外部に依頼するときはぜひ依頼したいと思っていました。その後、IPOを目指して、よりセキュリティの強化を行う中で第三者機関のセキュリティ診断を受けたく、以前より候補として上がっていたイエラエさんに発注を決めました。

弊社サービスをご利⽤になられて"効果"はいかがでしたか

自社で行っていた診断に加えて、外部の客観的な診断を加えたことでセキュリティをより強化することができました。当初期待していた通り、専門家の視点で見ていただくことで自社だけでは気づきづらい脆弱性に対しても対処することができました。とくにBacklogは機能が多く範囲が広いため、自社だけでシナリオを組んで網羅的にテストを行うことは難しいと思っています。今後も専門家の知見を加えながら、優先順位をつけて対処していきたいと思っています。

弊社への今後のご期待・ご要望がございましたら、お聞かせください

弊社のサービスを導入いただいている企業様のセキュリティに関するニーズは年々高まっていると感じています。より安心して利用していただけるサービスをご提供できるように、脆弱性診断を受ける範囲を着実に広げてきており、今では弊社が提供するサービスの大部分を定期的にイエラエさんに診断してもらっています。顧客や関係者から脆弱性診断を受けて発見された脆弱性に対処してほしいとの要望が背景にあることはもちろんそうなのですが、イエラエさんが当初から丁寧に対応いただき品質の高い成果を報告頂いていることも寄与していると考えております。今後ともよろしくお願いいたします。

Webアプリケーション診断の詳細はこちら
会社名株式会社ヌーラボ
事業内容株式会社ヌーラボは、「“このチームで一緒に仕事できてよかった”を世界中に生み出していく。」をブランドメッセージとし、チームのコラボレーションを促進するサービスの開発・提供を行っています。
・プロジェクト管理ツール「Backlog」
・オンライン作図ツール「Cacoo」
・ビジネスチャットツール「Typetalk」
・組織の情報セキュリティ・ガバナンスを強化する「Nulab Pass」
URLhttps://nulab.com/ja/

自社に最適なサービスが分かる!
セキュリティ診断/対策
サービスご紹介資料
当社のサービスや製品に関するご紹介資料を
ダウンロードいただけます。
資料ダウンロード
導入事例一覧へ戻る

導入事例

経験豊富なエンジニアが
セキュリティの不安を解消します

Webサービスやアプリにおけるセキュリティ上の問題点を解消し、
収益の最大化を実現する相談役としてぜひお気軽にご連絡ください。

疑問点やお見積もり依頼はこちらから

お見積もり・お問い合わせ

セキュリティ診断サービスについてのご紹介

資料ダウンロード
脆弱性診断(セキュリティ診断)・ペネトレーションテスト
セキュリティインシデント対応支援
セキュリティ訓練/資格取得
イエラエアカデミー
脆弱性管理/セキュリティ対策ツール
サイバー攻撃防御・分析 SOC
セキュリティコンサルティング
アプリケーション開発
用語解説