スタートアップ企業が取り組むISMS認証への鍵！Securify導入の効果とは？

導入企業紹介

ai6株式会社は、最先端のAI技術を駆使して、屋内における「第六感」ともいえる新しいセンシング環境を創り出し、あらゆる遠隔空間を検知するための新しい社会インフラを創造し、それをすべての方が簡単に使える世界を目指しています。

独自のWi-Fiセンシング技術は、成田空港内の「NARITA PREMIER LOUNGE」でシャワールームの在室確認システムに導入され、清掃状況の共有などに役立てられたこともあります。 2017年10月、学術的・技術的観点、将来性や市場性などの視点から、イノベーション性が高く優れている企業が選ばれる『CEATEC AWARD 2017』にて、コミュニティ・イノベーション部門のグランプリを受賞しました。

そんなai6株式会社に自動脆弱性診断ツールSecurify(セキュリファイ)を導入いただいた経緯を、取締役COOの角谷 友行（かどたに ともゆき）さんに伺いました。

課題と効果

課　題

• サービスのアップデートにより、都度、機能要件などを確認しながら検証を進めていた従来の方法では定常的な対策を行えなかった。
• 個人情報を含むサービスを提供する中、情報管理に対する慎重な運用が求められていた。

効　果

• 最新の情報をアップデートしているSecurifyによるセキュリティ対策で週に一度の定常化に成功。
• 脆弱性診断に注力していることを外部へアピールできるようになったことにより営業活動や新規取引先との手続きがスムーズになった。

――はじめに、御社の事業内容を教えてください。

弊社は、Wi-Fiセンシング技術を活用した屋内空間の状況を検知するソリューションサービスの事業を展開しています。

具体的にWi-Fiセンシングとは、Wi-Fi電波の反射を解析することにより、空間内の人の動きや状況を認識する技術です。それを駆使し、見守りや警備につながるサービスを展開しています。

――珍しい技術ですね。どのようなサービスなのでしょうか？

現在、既に商品化しているのはBtoC向けの『Hex Home』というサービスで、お家全体を24時間 / 365日見守ることができる革新的サービスです。Wi-Fi端末を設置するだけで新入検知や簡易的なセキュリティ、遠隔の家族の見守りなどが可能です。

お家への侵入をアプリで通知し、サイレンで侵入者を威嚇するなどホームセキュリティとしての利用や、
離れた高齢者をプライバシーを確保しちょうど良く見守る、見守りシステムとしての利用、
子どもの帰宅を通知してくれる、子ども帰宅通知システムとしての利用など、
アイデア次第で様々な用途にご利用が可能です。

また、BtoB向けにはAPI提供も行っており、Wi-FiセンシングとAPIを組み合わせた『APIトライアル』というプラットフォームを提供しています。今後、Wi-Fiセンシング技術を利用したサービスを検討している企業様に好評いただいております。

今後は、特に見守りサービスに注力していく予定です。
例えば、訪問介護をしている時以外の高齢者の生活状況の確認、介護施設での高齢者の状況確認、睡眠状態のモニタリングなどを組み合わせ、ライフログを作成します。これにより、高齢者の体調や生活パターンの把握を通じて、クオリティオブライフを向上させるサービスの提供を進めています。

――角谷さんご自身はどのような業務を担当していますか？

取締役COOを務めております。まだスタートアップの会社なので、社内プロジェクトの統括やサービス開発、システム開発、展示会対応、人事、総務、営業関連全般も担当しています。

なので、今回のようにプロダクトの開発業務内に組み込まれるツール選定なども行っているんです。

――セキュリティ対策について、御社ではどのように取り組んでいますか？

弊社のサービスには自社開発とアウトソーシングの両面があるので、今まではそれぞれ都度、機能要件などを確認しながら検証を進めていました。

しかし、ケースバイケースで毎回一から行うのは時間もリソースも割かなければならず、最新の情報をアップデートしつつ対応できる何らかのツールやソリューションを探していました。

――今回、Securifyで診断したWebアプリケーションの概要を教えてください。

診断対象は、BtoB向けに提供している『APIトライアルキット』を利用して、Wi-Fiセンシングの実際の利用体験ができる、トライアルアプリです。このアプリケーションはWebアプリケーションの形態で、実際にAPIの動作を直接体験できるようになっています。

サービスをきちんとユーザーに届けるために、脆弱性に対するセキュリティ対策をしておきたいという課題感を持っていました。

――数ある脆弱性診断ツールの中から、Securifyを導入いただいた経緯を教えてください。

前提として弊社は、Wi-Fi電波の反射を解析し、屋内空間の状況や様々な情報を集めるサービスを提供しています。

Wi-Fiセンシングのデータ自体は個人情報ではありませんが、サービス提供する際には、センシティブな個人情報に紐づけて運用を進めることもあり、情報の取り扱いにはセキュリティ対策が不可欠と認識していました。情報漏洩やシステムダウンなどのリスクに対処する必要があり、これらを整理できるセキュリティ対策を強化しています。

大規模開発では、セキュリティや情報管理のテストを行っていました。しかし、静的なコーポレートサイトや『APIトライアル』の受付サイトなどの場合、同一の基準でこまめに脆弱性診断を行いたいけれど、毎年1回の定期的な診断は負担が大きく、そのために適したツールを探していました。

――なるほど。それに加えて、社外プロジェクトも進んでいるんですよね。

はい。セントラル警備保障株式会社様に技術提供を行っていたり、順天堂大学大学院医学研究科AIインキュベーションファームのスタートアップ支援プロジェクト「JASTAR」に採用されたりしています。これら社外プロジェクトを進める中でも、情報の扱いについては慎重な運用が必要不可欠です。

このような背景もあり、ISMS認証の取得を前提とした動きをしていこうという意思決定が社内で行われました。

我々の要望に合致し、迅速に導入できる具体的で分かりやすいソリューションを求めていた中で、Securifyに出会い、導入を決断しました。

――その中で、導入を決断いただいた理由は何ですか？

基本的にはWeb検索を行い、色々な事例も読んで、5社くらい検討しました。聞いてみないと分からない部分もあると思うので商談をセッティングしてもらい、理解していきました。

Securifyに決めた大きな理由は下記です。

• 導入手順の簡便さ
• 具体的な診断結果

似たようなツールもありましたが、対象のWebアプリケーションに応じて特別なバッチファイルが必要という点が導入に時間がかかりそうだと感じました。
実際、9月に問い合わせて10月から導入が完了したのですが、営業さん含めサポート対応の早さも実感しました。

一連の導入手順はいただいていたので、トライアルの際に開発担当者がパッと設定して終わりました。診断までの進め方についてはプログラマーじゃなければいけないということはなく、きちんと手順を調べれば誰にでもできるのかなと感じました。

診断結果に関して、個別対応してくれるところもありましたが、開発側の負担やコスト面を考えると弊社には合わないと判断しました。

弊社の場合、開発担当者だけでなく他の社内の人間が確認したい時に理解できる結果を表示してくれているということが、ありがたかったです。専門用語が多い場合は書き直しや説明が必要だったり、都度個別対応の方に確認したりとなると、仕事のための仕事が発生します。そこはなるべく避けたかったです。

その点、Securifyのレポートはとても良かったです。

ISMSを目指す中で、Securifyは取引先や社内の要件基準を満たし、更にSaaS形態なのでアップデートもされていくというのが我々としては非常に使いやすく、評価したポイントとなります。

――実際に導入してみて、Securifyの使い勝手はいかがですか？感想を教えてください。

最初に診断した際に、脆弱性が発見されました。危険度の高いものではなかったものの、レポートをすぐに社内共有し改修を行うことができました。

現在は、開発責任者が週に1回診断しています。Webアプリケーションのアップデートや、市場で新たなセキュリティホールが発見された時にはもう少し頻繁な診断が必要になるかと思いますが、現状は週に1回行っており、最近はずっと100点が続いていますね。

診断結果はメールに連携しており、関係者全員が確認できるようになっていてとても便利です。

――Securifyの導入により、どのような効果を得られましたか？

ISMS認証を取得した一連の流れにおいて、具体的な対応事項として脆弱性診断に注力していると打ち出せることにより、営業活動がスムーズに進むようになりました。

新規取引先においても、PマークやISMS認証を取得している企業との取引において、セキュリティガイダンスやインタビュー、監査などの手続きが迅速にクリアできるようになりました。これにより、業務の手続きが迅速に進むという利点を感じています。

――最後に、スリーシェイクやSecurifyに今後期待することがあればお聞かせください。

今でも十分、Webアプリケーションの診断やAPI診断も可能ということで、一定の基準を満たしていると感じていますし満足しています。将来的には、セキュリティ対策ツールとしてカバーできる面が増えるなど、製品として更なる成長、アップデートを期待しています。

――ご意見をありがとうございます。引き続きサービス向上に励んでまいります。角谷さん、本日はありがとうございました！