ソフトウェア・エンジニア 武藤 雅幸様
診断
Webアプリケーション脆弱性診断
スマートフォンアプリケーション脆弱性診断
国内外100以上のメディアから厳選した経済ニュースを専門家のコメント付きで読める「NewsPicks」。著名人も利用する話題のソーシャル経済メディアを運営するにあたり、株式会社ニューズピックスではサイトの安全性を維持するべくイー・ガーディアングループのサイバーセキュリティ事業を担うEGセキュアソリューションズ株式会社に「Webアプリケーション脆弱性診断」と「スマートフォンアプリケーション脆弱性診断」を依頼。その詳しい経緯や診断後のご感想をエンジニアの武藤様にうかがいました。
弊社で運営する「NewsPicks」は、「経済を、もっとおもしろく。」をミッションに掲げるソーシャル経済メディアです。2013年スタートと比較的新しいサービスですが、2017年には海外展開をスタート。国内有料会員も10万人を超えるなど、順調に裾野を広げてきました。
「NewsPicks」の差別化ポイントは有名企業社長や大学教授、研究者など経済の専門家の投稿するコメントが読める点にありますが、こうした著名人をはじめとするユーザーの方々が安心してご利用いただける基盤をつくり、万全のセキュリティを維持するのが私の所属するCoreDevチームの仕事です。
「NewsPicks」がセキュアなサイトであることを確認するため、チーム内でもセキュリティ診断を定期的に行っていますが、ユーザーのみなさまに安全性をアピールするには、第三者機関による診断を受けることが有効だと判断。数年前より更新時に脆弱性診断を第三者機関に依頼しています。
その担当を私が引き継いだタイミングでEGセキュアソリューションズさんを候補に挙げさせていただいたのは、診断ツールによる自動診断ではなく、プロのエンジニアが手動で行う脆弱性診断に興味があったからです。
最終的にはEGセキュアソリューションズさんを含む2社で比較検討しましたが、グループの中核であるイー・ガーディアンさんには別の業務でもお世話になっていましたし、EGセキュアソリューションズ社長の徳丸浩さんのお名前は社内でも浸透していましたので、人の手による診断に賭けてみたいという私の希望はすんなりと叶いました。
EGセキュアソリューションズさんとのやりとりは比較的スームズに進んだと思います。緊急性の高い脆弱性が発見されたときに届くという「アテンション」というメールを一度だけいただきましたが、社内でも把握済みの問題だったので対応に困ることもありませんでしたね。診断終了後に届いたレポートでは「こういう設定にした方がより安全です」といったポイントをいくつかご指摘いただき、とても参考になりました。
最終的に、緊急性の高いセキュリティ上の脆弱性は検出されませんでした。しかし、手動で診断していただいた結果、問題がないことが確認できたことこそ最大の成果だと思いますので、EGセキュアソリューションズさんの診断結果にはとても満足しています。
ソーシャルメディアの運営会社にとって、脆弱性診断はある種の保険。健康診断のような感覚で、今後も定期的に実施していきたいですね。理想は年に一度。更新のタイミングでじっくりチェックしたいと考えています。
今回ご依頼したスタンダードプランではサイト内を網羅的に診断していただきましたが、ログインまわりやセッションまわりといったセキュリティ上重要な部分は深掘りし、それ以外の部分はライトプランでさらっとチェックしていただくといった複合プランがあると活用の幅も広がると思いました。
ニューズピックス公式サイトはこちら
お問い合わせはこちら