安心・安全なDX推進を実現するセキュリティパートナー

安心・安全なDX推進を実現するセキュリティパートナー
シンプレクス株式会社
シンプレクス株式会社
クロス・フロンティアディビジョン・インフラ&DX推進グループ 岸野 秀昭 様

ビジネス戦略の立案力と先端テクノロジーの高度な実装力を活かし、お客様のテクノロジーパートナーとして、公的機関や金融機関、各業界をリードする企業のDX推進を支援しているシンプレクス株式会社。GMOサイバーセキュリティ by イエラエはセキュリティ診断を通じて、シンプレクスが開発したシステムのセキュリティ品質の強化を支援しています。今回はクロス・フロンティアディビジョン・インフラ&DX推進グループの岸野様にセキュリティ診断の必要性や当社に対する印象についてお話を伺いました。

セキュリティ診断の必要性をお教えください。

シンプレクスでは金融機関様をはじめとしてミッションクリティカルなシステムを顧客に提供しております。多様化・複雑化するサイバー攻撃に対してお客様のセキュリティ意識は年々高まっており、お客様からセキュリティソリューションに関するご相談やご要望をいただくことも増えています。特にエンドユーザからのアクセスがある一般投資家向け取引システム等においてはセキュリティ品質の担保を目的に従前より外部ベンダによる脆弱性診断を利用しておりました。

セキュリティ診断について弊社をご選定いただけた理由をお教えください

イエラエに依頼した理由について3点ございます。

まずは診断スキルや内容の可視化に取り組まれている点です。当社ではセキュリティ部門がプロジェクトチームに取り次ぐ形でセキュリティ診断を発注するケースが一般的です。このとき相見積もり等を実施した場合にはどうしても価格のみで選定されてしまいがちです。セキュリティ品質の担保は会社として優先順位が高い一方で、ビジネスではコストと品質のバランスが重要となります。イエラエは各種ハッキングコンテストの受賞歴による診断スキルの可視化、診断項目の公開による診断内容の可視化が行われているため、相見積もりを含む取り次ぎにおいてもプロジェクトチームがほしい情報を提供しやすく、顧客にとって本当に必要なセキュリティ診断を適切な予算で選択できるため、ありがたいです。

次にプリセールス段階においても診断要件の定義に関与いただける点です。ユーザー側はセキュリティ診断の専門家ではないため、費用をかけて診断しても対象や項目の過不足が発生してしまうことがあります。特に対象が不足していた場合はせっかく診断していても、診断対象外であった部分を狙われ、事故につながる可能性が考えられます。この点より診断を行う上で最も大切なことの1つが診断要件の定義であると考えており、初めて診断をするシステムについて、概要説明を元に診断の要否を含めご助言いただけるのは大変心強い次第でした。

最後に柔軟性です。コミュニケーションにおいてSlackを活用してプロジェクトチームと直接やり取りいただける等、現場の省力化や安心感につながっています。また発注において近年クラウド利用の増加に伴い短納期の案件で診断を依頼するケースが増えておりますが、スケジュール調整を柔軟に実施いただいています。加えて緊急の再診断に応じていただいたこともあり、診断に困ったときにはまず貴社に相談という雰囲気が社内にもあるように感じております。

弊社サービスをご利用になられて"効果"はいかがでしたか

診断自体の品質は言わずもがなですが、速報対象の脆弱性検出時の対応等についてもSlack上で現場とやり取りいただき、セキュリティ品質改善のスピード向上に役立っていると感じています。再診断についても調整をスムーズに実施いただけることで、スケジュールの遅延がなく実施できております。ベンダによっては診断前に再診断を事前に発注しておかないと、日程調整が難しかったり、費用が割高になったりというケースもございますが、貴社においてはいずれも発生せず、非常に助かっております。

また当社の主要なお客様である金融機関様は診断の品質面だけではなく管理面も気にされます。当社からの要望をしっかり理解していただき、当社の高い要求水準に合わせた管理方法でプロジェクトをマネジメントしていただいているため、安心して継続して依頼させていただいております。

弊社への今後のご期待・ご要望がございましたら、お聞かせください

当社社員のセキュリティ教育については以前よりセミナーを開催いただくなどを実施いただいておりますが、今後ペネトレーションテストやグラスボックス診断等、利用する診断サービスを広げていく折にはその結果を題材に改めてセミナー等を企画できればと考えております。

特に最近ではシフトレフトの考え方が広まっており、お客様から設計段階・開発段階でのセキュリティ品質の担保についてご相談を受ける機会が増えています。リリース直前の段階で脆弱性が見つかると、手戻りによるコスト増やスケジュール遅れにつながるリスクがあるため、設計段階で対処していきたいというご要望をいただきます。当社としても、リリース前のソースコード段階で脆弱性が見つかると、他プロジェクトへのリスク情報の共有もしやすく会社全体として開発コストの低減につながるため、ぜひ取り組んでいきたいです。これまでの豊富な診断実績を活かして、セキュリティのプロフェッショナルとして、設計時に考慮すべきセキュリティ事項などアドバイスいただけますと幸いです。

会社名シンプレクス株式会社
事業内容シンプレクスは1997年の創業以来、メガバンクや大手総合証券を筆頭に、日本を代表する金融機関のテクノロジーパートナーとしてビジネスを展開してきました。現在では、金融領域で培った豊富なノウハウを活用し、金融機関以外の領域でもソリューションを展開しています。2019年3月にはAI企業のDeep Percept株式会社、2021年4月には総合コンサルティングファームのXspear Consulting株式会社がグループに加わり、創業時より付加価値の創造に取り組んできたシンプレクスとワンチームとなって、公的機関や金融機関、各業界をリードする企業のデジタルトランスフォーメーション(DX)の推進を支援しています。
URLhttps://www.simplex.inc/

自社に最適なサービスが分かる!
セキュリティ診断/対策
サービスご紹介資料
当社のサービスや製品に関するご紹介資料を
ダウンロードいただけます。
経験豊富なエンジニアが
セキュリティの不安を解消します

Webサービスやアプリにおけるセキュリティ上の問題点を解消し、
収益の最大化を実現する相談役としてぜひお気軽にご連絡ください。

疑問点やお見積もり依頼はこちらから

お見積もり・お問い合わせ

セキュリティ診断サービスについてのご紹介

資料ダウンロード