GMOサイバーセキュリティ byイエラエ株式会社

Webサービスの堅牢性をソースコードレベルで設計の観点まで深堀して診断

Webサービスの堅牢性をソースコードレベルで設計の観点まで深堀して診断
株式会社うるる
株式会社うるる
NJSS事業本部プロダクト開発課 課長 森山宏啓
NJSS事業本部プロダクト開発課 チームリーダー 毛戸健人


労働力不足問題解決のリーディングカンパニーとして、複数のSaaSを展開する株式会社うるる。この度、サービスの大規模リニューアルに伴うセキュリティ診断(ソースコード診断)をGMOサイバーセキュリティ by イエラエにご依頼いただきました。今回はソースコード診断を実施した理由や当社を選定していただけた背景についてNJSS事業本部の森山様、毛戸様にお伺いしました。

セキュリティ診断の必要性を感じたきっかけを教えてください。

今回は入札情報速報サービスNJSS(エヌジェス)の大規模リニューアルに関するセキュリティ診断をご依頼させていただきました。NJSSではクラウドワーカーの力を使って全国の入札情報を収集しデータベース化しており、ユーザーは簡単に自社が該当する入札情報を検索・管理することが可能です。

2008年のサービス公開以来、NJSSには約2000万件の入札情報を蓄積してきました。有償でご提供している情報となるため、ノウハウが外部に流出しないようセキュリティを重要視しています。また個人情報の流出についても言わずもがな細心の注意を払っています。

弊社では、社内規定として「大規模リリース時」や「2年ごとの定期的なタイミング」において、第三者機関による脆弱性診断を実施することと定めております。今回は、ビジター向けサイトのリニューアルということで大規模リリースと捉え、実施を行いました。

今回の実施について懸念はございましたか

弊社では、事業部制を取っており、開発組織も独立した組織としてではなく、各事業部内に存在し、使用する技術や各種施策の委託先などは各事業部の判断で行っています。

また今回、診断いただいたサイトは外部公開されており、オーガニック流入により不特定多数のユーザーが来訪します。情報提供サービスであることと、今回アーキテクチャからの変更を伴うリニューアルということもあり、今回はブラックボックステストだけではなく、ソースコードレベルまで細かく診断したいと考えていました。

私たちNJSS事業本部はこれまで他社に脆弱性診断を委託しておりましたが、細部まで診断をする上で、改めて他社を含めて検討したく、複数社にご相談いたしました。結果として初めて他社にご依頼するため、従来と脆弱性診断内容や対応のフォローがどの程度変わるかが懸念としてございました。

弊社をご選定いただけた理由を教えてください

相見積を取った結果、診断内容の細かさと価格の両面からイエラエ様が優れていると判断し、依頼を決めました。

もともと弊社他事業部のエンジニアリングマネージャーから、イエラエ様で実施をした際に「ソースレベルでしか気づけないような細かい指摘をいただけた」との共有があり、イエラエ様に依頼をしたいと考えていました。ツールによる機械的なチェックではなく、プログラマーやWebデザイナーなど開発経験のある脆弱性診断のプロに手動で診断いただけるという点に魅力を感じていました。

価格面がネックになると思っていたのですが、相見積をした結果、費用も変わらず実施できることがわかりイエラエ様にお願いをしたいと思いました。

弊社サービスをご利用になられて"効果"はいかがでしたか

専門のエンジニアの方にチェックいただき、ソースレベルでの改善ポイントまでご指摘いただけたため非常に満足度が高かったです。報告書についても、どこでどんな問題があったかについて再現方法と影響度、推奨される対策方法などを個別にまとめていただくことで、非常にわかりやすく、スムーズに状況を把握して対策することができました。

結果として、大規模リリースであるにも関わらず、第三者目線でのチェックを踏んだ上で懸念点を全て潰せているという安心感から品質にしっかり自信をもって不安なくリリースにつなげることができました。

弊社への今後のご期待・ご要望がございましたら、お聞かせください

NJSSは情報提供サービスであり、サイトの堅牢性という意味での観点だけでなく、データ漏洩リスクに対しては今後も向き合っていくべきものだと考えています。外部に任せきりにするのではなく、自社でもチェックができる体制をつくっていきたいです。

自社内でのツール活用による簡易的なチェック体制の構築や、イエラエ様のような専門家視点での定期的なチェック依頼など、ルールや運用フローの確立を行い、セキュリティ強化をしていきたいと考えております。

中規模や定期的な診断については引き続きブラックボックステストでの実施を考えていますが、大規模リニューアル時には、次回もぜひソースコードまで提供したうえで、細かく診断していただきたいです。

Webペネトレーションテストの詳細はこちら
会社名株式会社うるる
事業内容労働力不足問題解決のリーディングカンパニーとして、BPO事業・クラウドソーシング事業に加えて独自のビジネスモデルであるCGS(Crowd Generated Service)事業を複数展開しています。 BPO事業で集まるニーズを、クラウドワーカーの育成・活用のナレッジを元にCGS事業としてSaaSサービス化することで、労働力不足解決にむけて取り組んでおります。
URLhttps://www.uluru.biz/

自社に最適なサービスが分かる!
セキュリティ診断/対策
サービスご紹介資料
当社のサービスや製品に関するご紹介資料を
ダウンロードいただけます。
資料ダウンロード
導入事例一覧へ戻る

導入事例

経験豊富なエンジニアが
セキュリティの不安を解消します

Webサービスやアプリにおけるセキュリティ上の問題点を解消し、
収益の最大化を実現する相談役としてぜひお気軽にご連絡ください。

疑問点やお見積もり依頼はこちらから

お見積もり・お問い合わせ

セキュリティ診断サービスについてのご紹介

資料ダウンロード
脆弱性診断(セキュリティ診断)・ペネトレーションテスト
セキュリティインシデント対応支援
セキュリティ訓練/資格取得
イエラエアカデミー
脆弱性管理/セキュリティ対策ツール
サイバー攻撃防御・分析 SOC
セキュリティコンサルティング
アプリケーション開発
用語解説