弁護士ドットコム株式会社
執行役員 技術戦略室長 兼 Professional Tech Lab 所長
兼 クラウドサイン事業本部 副本部長 市橋 立様
技術戦略室 セキュリティチーム エキスパートエンジニア 太田 良典様
クラウドサイン事業本部 PdM/Design部 プロダクトマネジメントグループ
プロダクトマネジメントチーム 広高 幸信様
SERVICE
診断
Webアプリケーション脆弱性診断
「プロフェッショナル・テックで、次の常識をつくる。」をミッションとして、人々と専門家をつなぐポータルサイト「弁護士ドットコム®️」「税理士ドットコム®️」「BUSINESS LAWYERS®️」、契約マネジメントプラットフォーム「クラウドサイン®️」を展開する弁護士ドットコム株式会社は、2017年以降毎年EGセキュアソリューションズ株式会社(以下、EGセキュアソリューションズ)に脆弱性診断を依頼。今回は「クラウドサイン®︎」の開発/運営を担う市橋様・太田様・広高様に、「Webアプリケーション脆弱性診断」「スマートフォンアプリケーション脆弱性診断」「プラットフォーム脆弱性診断」を依頼した経緯や効果についてお話を伺いました。
導入の決め手は圧倒的な信頼性!
市橋様 クラウドサイン®︎はお客様の契約書をお預かりする社会インフラに近いサービスなので、2015年のリリース当初からセキュリティに配慮した開発を行っていました。しかし、お客様が増え規模が拡大していく中で、内部での対策だけではなく、少なくとも年に1度は外部の視点から診断してもらおうという方針になりました。また、脆弱性診断の実施はセキュリティチェックシートの中でも求められる項目ですし、ユーザーの皆様からも重要視されている部分になるので、対外的に安全性を示すという意味でも非常に重要だと考えています。
EGセキュアソリューションズさんを知ったきっかけは徳丸さんの存在です。徳丸本※を出版されるなどセキュリティ界隈で有名ですので、当然EGセキュアソリューションズさんのお名前も存じておりました。また、親会社のイー・ガーディアンさんとは別件で既にお取引させていただいていたということもあり、他にも何社か検討はしましたが信頼がおけるという観点からEGセキュアソリューションズさん一択でしたね。
※ 徳丸浩著『体系的に学ぶ 安全なWebアプリケーションの作り方』/SBクリエイティブ刊
「品質の高さ」に魅了され7年連続でリピート
太田様 EGセキュアソリューションズさんには2017年から毎年脆弱性診断をお願いしているのですが、診断内容や報告書・報告会のクオリティを考えると、コストパフォーマンスがとても良いと感じています。特に報告会はエンジニアたちにも非常に好評です。今回は予算の関係で依頼できなかったのですが、報告会には徳丸さんも参加されるので、診断結果の報告だけではなく、リスクの捉え方やどのように対応していくべきなのかなど熱い議論が繰り広げられ、良い学びになっています。
広高様 今回新しくマイナンバーカードによる電子署名機能の提供を開始したのでスマホアプリの診断も依頼させていただきましたが、Web・スマホ・プラットフォーム全てをまとめて依頼できるのは、窓口が一つで済むので時間も手間も軽減されて助かりました。スマホは今回が始めてだったので事前に用意しておくべき情報等が推察しにくく手間取ってしまう部分もありましたが、過去に診断担当をしたことがあってクラウドサイン®︎にどういった機能があるのか大方ご理解いただけている方をアサインしてくださったので契約~診断~報告まで非常にスムーズでやりやすかったです。事前に社内でも情報共有をしてくださっていたようで、弊社側への問い合わせが少なく助かりました。
また、Slackコネクトを使ったコミュニケーションもかなり助かりましたね。メールだとどうしても時間がかかってしまうところを、Slackでのクイックなやり取りやショートミーティングへの柔軟なご対応のおかげで、お互いの疑問点をスムーズに解消でき、診断期間が延びることなく順調に進められました。
“人間の弱さ” をカバーするためペネトレーションテストも依頼
太田様 最近特に標的型攻撃が問題になっていて、人間が引っかかりそうな、本当にありそうなメールを送ってくる攻撃が実際に行われています。“人間の弱さ”の部分もきちんとカバーしたいという思いから、脅威ベースのペネトレーションテストもお願いしました。お客様からも「標的型攻撃に対する対応をしていますか?」というお問い合わせをいただくことがしばしばありますので、それに対して「ペネトレーションテストを定期的に行っています」と回答できるのは一つ大きな武器になると思っています。
市橋様 金融機関等のセキュリティを重視する界隈だと特に「脅威ベースのペネトレーションテストを定期的にやるように」とかは求められると思います。クラウドサイン®︎自体は金融サービスではないですが、企業では必ず必要な契約書を取り扱う社会インフラに近いサービスなので信頼性に直結するセキュリティの固さといった部分は非常に重視しています。金融関連のお客様にもご利用いただいておりますので、組織体制も含め高いセキュリティレベルを維持していかなければならないと考えています。
広高様 今回は「“人間の弱さ”(=組織の脆弱性)の部分でどのようなリスクが起こり得るか」といった観点でのテストで、実際の業務フローや社内で使用している資料等をお渡してリスクを分析いただき、攻撃に引っかからないかの確認テストをいくつか実施いただきました。今回のテストのおかげで、ルールの周知・徹底が完全ではない等の改善点が見つかりましたので、お願いして良かったなと思っています。
より密な連携でDevSecOps実現を目指したい
広高様 教育サービス(Security Campus)も、ぜひ機会があればお願いできればと思っています。毎年診断していただいている中で同じような指摘をいただいてしまうことがありましたので、診断して終わりではなく、そこからどのようにしてセキュアな開発をしていけば良いのかといったところもお話を伺いながら取り組んでいきたいですね。また、診断をお願いする対象ページの洗い出し・まとめの作業が実は結構大変なので、まとめての依頼ではなくその都度連携できる仕組みがあったら、こちらとしてもかなり負担が軽減されますし助かります。
市橋様 最近はアジャイル開発でどんどん機能を足していくのが主流になってきていまして、定期的に脆弱性診断をしていたとしても、診断していない期間がどうしても発生してしまいます。開発サイクルの中にセキュリティを埋め込んでいくのが重要かなと思っていますのでご助力いただけると嬉しいです。
太田様 リリース後にまとめて診断を依頼するのではなく、デプロイしたら自動で連携されるみたいな、常に診断していただける状況が作れたら面白いですよね。個人的には徳丸さんとかなり長いお付き合いになりますが、今後も互いに高め合いながら個人としても会社同士でも末長くお付き合いできればと思っています。よろしくお願いします。
お問い合わせはこちら