クラウド電話帳「SKYCEB」の脆弱性診断

Ｓｋｙ株式会社様は1985年の設立(当時はスカイ・シンク・システム株式会社)以来、IT・ソフトウェア開発を中心に革新的なソリューションを提供してきました。2022年には名刺管理サービス「SKYPCE（スカイピース）」をリリース。名刺を個人でなく組織の情報資産として管理、閲覧、共有と企業の営業活動を支援するサービスを提供しています。今回はこの「SKYPCE」と連携し企業・組織で連絡先を共有できるクラウド電話帳「SKYCEB（スカイセブ）」のWebアプリケーション診断とスマホアプリ診断を実施しました。

個人情報保護の観点から脆弱性対策は必須

(以下、お客様の声)「SKYCEB」は組織で共有する電話帳や個人登録している電話帳を管理するクラウド電話帳です。名刺管理サービス「SKYPCE」と連携して登録している名刺情報の連絡先を管理し、営業活動の支援やマーケティング強化に活用いただけます。

組織の電話帳、名刺情報の連絡先のように個人情報を取り扱うサービスの特性上、開発初期段階から情報漏洩や改竄などといったリスクを配慮して開発を進めてきました。二段階認証や一定回数ログインに失敗すると動作するアプリロックなど、スマートフォンを紛失した際の情報漏洩についても配慮した機能も搭載しています。

ただ、機能的な部分でのセキュリティの配慮をしても、ソースコードレベルにおける脆弱性については考慮しきれない部分があると考えていました。開発段階でも社内で脆弱性診断ツールによるスキャンを実施するなど、社内で可能な限り脆弱性対策も行いましたが、本格的に一般のお客様に向けてサービスを提供する段階になると外部のセキュリティの専門家による診断は欠かせないと判断しました。

十分なセキュリティ対策をした上でリリースを行うために、現在のプロジェクトで使用している言語やフレームワークでの診断実績がある診断ベンダーを探す運びとなりました。

豊富な診断実績が決め手に

特に重要視したのは診断実績です。先に述べているように個人情報というデータを取り扱うため、セキュリティをより意識するような企業、機関での実績があるところを注視していました。GMOサイバーセキュリティ byイエラエを選定したのは金融系、公共・政府機関での診断実績に加え「0day脆弱性」の発見という多くの実績が非常に魅力的でした。

また、競合サービスに対する脆弱性診断やペネトレーションテストの提供実績や、採用している「Flutter」で開発されたアプリの診断実績もあったこと、診断の希望スケジュールがタイトな中でもこちらの要望に寄り添って提案をいただけた点が大きな決め手となりました。

実際に脆弱性診断を受けたご感想

脆弱性診断を受けた感想としては、診断途中における相談においても臨機応変にご対応いただき非常に助かりました。報告書には画面キャプチャを用いて脆弱性の再現の手順をわかりやすく記載されており、大変助かりました。

今後も「SKYPCE」および「SKYCEB」は継続的にバージョンアップをして新機能を追加していきます。個人情報を扱うサービスであるため、さらに堅牢なサービスとしていく必要があり、定期的な第三者による検証は重要だと考えています。今後ともセキュリティ課題に合わせて依頼をできればと考えています。

会社名	Sky株式会社
事業内容	・自社パッケージ商品の開発・販売 ・業務系システム開発 ・組込み / 制御 / アプリケーション開発 ・ソフトウェア評価/検証 ・各種コンピューター / ネットワークのシステムインテグレーション事業 ・関連機器のシステムインテグレーション事業 ・上記関連分野のサービス事業
企業URL	https://www.skygroup.jp/
サービスURL	■SKYCEB https://www.skyceb.net/ ■SKYPCE https://www.skypce.net/