再現から修正までわかりやすい診断レポートで、 セキュリティに自信を持った安全性の高いサービス提供を実現

株式会社クラッソーネ

プロダクト開発部 SREチーム 宮原 崇志様

SERVICE

診断

Webアプリケーション脆弱性診断

株式会社クラッソーネ

累計利用者数13万名を突破した全国各地の解体工事会社と施主をマッチングする一括見積Webサービス「クラッソーネ」を運営している株式会社クラッソーネ。“「街」の循環再生文化を育む” をビジョンとして掲げ、解体工事に関するお悩みをITで解決しながら、約15,000件以上の解体実績を保持。近年は社会問題となっている空き家問題の解決に向け、国や自治体との連携も加速させるなど積極的な取り組みをおこなっています。今回は、プロダクト開発部 SREチームの宮原 崇志様に、「Webアプリケーション脆弱性診断」を依頼した経緯や効果についてお話しを伺いました。

将来のIPO準備に向けて脆弱性診断を検討
他社からの評判が導入決定の後押しに

弊社が提供する「クラッソーネ」というサービスは、空き家を解体したいと考える施主様と全国の解体工事会社様をマッチングさせる一括見積もりWebサービスとして、施主様が解体したい家の情報を入れると各社のお見積が比較でき、その後のご契約や工事完了までのやり取りなどもまとめて対応できる機能が備わっています。こういったサービスの性質上、お客様の個人情報・建物の詳細情報・ご契約情報などの秘匿情報を多く取り扱っているため、情報漏えいは事業インパクトが非常に大きいことから、私が所属するSREチームでは、頑健なソフトウェアをお客様に提供できているか・安全な設計ができているかのレビューや啓蒙活動などセキュリティ面でのサポートを行っております。

開発プロセスの中で診断ツールを導入して都度静的診断を行うなど、開発メンバーはもちろん、そうでないメンバーも含めセキュリティに対する意識は比較的高く持っていますが、実はこれまで外部のベンダーさんに診断していただく機会がありませんでした。将来IPOを意識して主幹事会社とやり取りを行う過程で、脆弱性診断を定期的に受けるなど自社サービスのセキュリティ状況を改めて確認しておく必要があるということで、外部のベンダーへ脆弱性診断を依頼することになりました。

良いベンダーがないかヒアリングをした際に、徳丸本※の著者である徳丸さんがいるEGセキュアソリューションズさんが良い、特に診断レポートが見やすくて良いなど、他社のエンジニアから評判を伺っていました。そこで、全部で3社にお声をかけて検討させていただいたのですが、他社からのオススメでもありましたし予算とも一番マッチしていたことから、今回EGセキュアソリューションズさんにお願いをしました。また、我々エンジニアはWebセキュリティの参考書として徳丸本※を読んで育ったみたいなところもありますので、そういった点でも信頼感がありました。

※ 徳丸浩著『体系的に学ぶ 安全なWebアプリケーションの作り方』/SBクリエイティブ刊

crassone_1

わかりやすいヒアリングシートでスムーズな導入
修正案としてコード例も記載された診断レポートにより、迅速な修正対応を可能に

ヒアリングシートや診断後の診断レポートが非常に丁寧で分かりやすかったです。弊社のサービスを利用するユーザーは解体工事会社様・お施主様・相談を受ける弊社運営スタッフの3者いまして、それぞれのログイン方法も異なります。そのあたりの違いをヒアリングシートへの記載時に整理できたのは助かりましたね。また、開発チーム内で抜け漏れがないか見直す際にも確認シート的な感じで有効活用させていただきました。

診断後の診断レポートには、脆弱性が検知された箇所に対するリスク度合いだけでなく、判断の理由や治し方のコード例なども詳細に記載されており大変参考になりました。実際にいただいた内容通りに進めれば、事象の再現ができたので、修正対応をする際に非常にやりやすかったです。

また、一部の機能で外部のSaaS製品を活用している箇所や、初期の開発部分で当時のメンバーがおらず脆弱性が潜んでいるのかを完全には把握しきれていない部分もあったのですが、そういった部分も含めまとめて診断していただいて、修正・再診断した結果脆弱性がないという状態にできたので、より自信をもってお客様にサービスを提供できるようになりました。

今回ご指摘いただいた内容を踏まえたうえで開発し、都度静的診断を行っていれば、大きな脆弱性を仕込むことはなさそうかなというところで、開発チームの自信にもなりました。チームのモチベーションとしても高い状態を維持できているんじゃないかなと思います。

サービスイメージの画像

今後も脆弱性診断や教育面で相談したい

現在、自社で新しいアプリケーションの制作にも取り掛かっているところなので、ローンチ前のタイミングでぜひ診断をお願いできればと考えています。また、新しいメンバーも続々とジョインしているのですが、工事現場出身でPC周りの経験が少ない人も多いので、セキュリティ教育の部分でも今後ご相談させていただけると嬉しいです。

crassone_logo

株式会社クラッソーネのホームページはこちら

お問い合わせはこちら

お問い合わせ メールマガジンのご登録