大規模アジャイル開発に対応した柔軟な診断

大規模アジャイル開発に対応した柔軟な診断
株式会社RENOSY X
RENOSY X 営業本部 CS 部長  山口智也 様

「ネット不動産」の普及に向け、不動産業界、金融業界のDXを推進を進めるRENOSY X。GMOサイバーセキュリティ byイエラエに、住宅ローン申し込みプラットフォームサービスに関する診断をご依頼いただきました。今回は診断の背景や効果について RENOSY X 営業本部 CS 部長の山口様にお伺いしております。

「ネット不動産」を掲げるRENOSY X

当社が所属するGAテクノロジーズグループでは「ネット不動産*」の普及に向け、不動産業界、金融業界のDXを推進しています。現在、ネットで不動産を探すことは当たり前になっています。しかし検索はできても、そのあとの内見から申し込み、契約についてはネット化されていませんでした。しかし、今年5月に施行された宅地建物業法の改正により電子契約が解禁され、オンライン完結型の不動産取引が可能になりました。今後は、購入体験までシームレスにオンライン化し、ネット上で簡単に契約できる世界を目指していきます。

*ネット不動産:2022年4月に株式会社GA technologiesが定義

*ネット不動産とはオンライン完結型の不動産取引サービスのこと。従来インターネット上で可能であった不動産の検索に加えて、面談や契約など、不動産を賃貸・売買するために必要な手続きをすべてオンラインでシームレスに進めることができる。2022年に改正宅地建物取引業法が施行され、重要事項説明書や契約書の電子化が解禁されることで実現する、不動産取引の新しいかたち。

当社は、その一環として住宅ローン申し込みプラットフォームサービス 「MORTGAGE GATEWAY by RENOSY(モーゲージ ゲートウェイ バイ リノシー)」の運営を行っています。不動産会社、金融機関、住宅ローン申込者をつなぎプラットフォーム上で不動産投資ローンの申し込みを簡単に行うことができるサービスです。

RENOSY Xにおけるセキュリティの重要性

サービスの特性上、本人確認書類や年収、借入金、ご家族構成など機微な情報を多数取り扱っており、セキュリティには細心の注意を払っています。内部に専門のQAチームを持っており自社でも検証を行っていますが、金融機関とのお取引では第三者視点でセキュリティの専門家による評価を行っていることが必須条件となっています。導入する金融機関ごとに申し込みフォームなどインプット部分に関するカスタマイズが発生するため、導入時には都度セキュリティ診断を行っています。

大規模システムのアジャイル開発ならではの診断に対する懸念

前述の通り、不動産会社、金融機関でご利用いただいているためユーザーが多く、大規模の開発を行っています。また、開発プロセスとしてはアジャイル開発を採用しております。その特性上、大きく4点懸念がありました。

ホワイトハッカーの経験と技術によるシステム理解

一つ目の懸念は大規模で複雑なシステムを正確に理解していただけるかという点です。利用者が住宅ローン申込者、不動産会社、金融機関、我々管理者に分かれており、入出力の流れやフロー、システム構成が複雑であるため、仕様を理解して検証していただくことができるか、不安に思っていました。診断依頼時にはシステムが完成していないため、マニュアルもありません。事前にデモや入力説明会が必要かと思いましたが、ホワイトハッカーの経験と技術力で勘所をつかんで診断していただいたと思っています。

アジャイル開発による対象変更への柔軟な対応

二つ目の懸念は、アジャイル開発による変動に対応できるかという点です。アジャイルで進めているため開発中にエンドポイントの増減が起きます。特に大規模な診断なので、相当前から規模の見積とリソース確保依頼をしていました。その開発前見積もりと実施時での検証対象エンドポイント数に差異があった場合に柔軟に対応していただくことができるかを気にしていました。こちらはキックオフ時に相談をして細かな管理シートを作成していただくことで、リソース確保のタイミングを柔軟にコントロールしていただきました。

対象の優先順位付けによるコストの最適化

三つ目の懸念は、予算内で収まるかという点です。全量チェックするとはいえ、お客様の予算は決まっており、追加が必要となる場合、再稟議となってリリースが遅れる懸念があります。コストをいかに範囲内に収めて最適な診断を行うか検討していました。何百とあるエンドポイントのうち、どれを対象にするのか、診断するべきページの切り分けから実施していただき、セキュリティを担保しながら許容範囲内の予算に収めることができました。

リスク対応への判断を早める診断速報

最後に最終的な診断書で突然致命的な脆弱性を発見することでスケジュールに影響がでないかという点です。リスクが高い脆弱性は無いと思ってはいるものの、診断の最終段階で影響が大きな脆弱性が見つかってしまうとリリースが大きく遅れてしまいます。

今回の診断ではリスクに関して即時アラートを挙げていただく運用にご協力いただき、カバーすることができました。リスクへの対応自体はすぐに取り組むことができますが、関係者が多いため複数ある対応方法から選択・決定するのに時間がかかる場合がございます。早めにご報告いただくことで、落ち着いて判断ができるため大きなスケジュールのずれもなく期日通りにリリースすることができました。

弊社への今後のご期待・ご要望

イエラエさんの診断によりセキュリティに関しても自信をもってご提案できるようになったため、非常に満足しています。内部にもセキュリティチームを持っていますが、一般的に主流なノウハウや最新の事例については外部の専門家に伺う方が、知見がより豊富にあると考えています。

イエラエさんはOK、NGを診断するだけではなく、解決方法まで丁寧に教えていただけるため非常に助かっています。より一層、ご依頼しやすくするために報告書の提出期間の短縮や、進捗のリアルタイムでの見える化を進めていただけると嬉しいです。

当社のサービスは導入して終わりではなく、お客様と一緒に運用してアップデートを繰り返すサービスとなりますので定期的にご依頼させていただけますと幸いです。

会社名株式会社RENOSY X
事業内容不動産取引の新しい形を創造するため、不動産取引業におけるIT活用コンサルティング、テクノロジーを活用した不動産仲介の営業支援システムの開発、運営と住宅ローン申し込みプラットフォームサービス 「MORTGAGE GATEWAY by RENOSY(モーゲージ ゲートウェイ バイ リノシー)」の運営を行っています。
URLhttps://renosy-x.co.jp/
自社に最適なサービスが分かる!
セキュリティ診断/対策
サービスご紹介資料
当社のサービスや製品に関するご紹介資料を
ダウンロードいただけます。
経験豊富なエンジニアが
セキュリティの不安を解消します

Webサービスやアプリにおけるセキュリティ上の問題点を解消し、
収益の最大化を実現する相談役としてぜひお気軽にご連絡ください。

疑問点やお見積もり依頼はこちらから

お見積もり・お問い合わせ

セキュリティ診断サービスについてのご紹介

資料ダウンロード