【株式会社moovy】ゆるぎないセキュアな環境を構築し、求職者の個人情報を守り続ける

株式会社moovy さま

採用動画メディア「moovy」を運営する、株式会社moovy。「一人ひとりが働くことに楽しみや意義を見出せる社会を作り出す」をミッションに掲げ、テックベンチャー企業を中心に採用支援を行っています。

この度、Sreake Securityの脆弱性診断サービス（アドバンス診断）をご利用いただきました。診断を受けた感想や今後の展望などについて、株式会社moovy 代表取締役社長の三嶋 弘哉様にお話を伺いました。

――はじめに、御社の事業内容を教えてください。

当社は2020年に創業し、採用動画メディア「moovy」を運営しています。コアメンバーは私を含む３名で、業務委託も含めると15名程度の会社です。

「moovy」は、30秒の採用動画を使って、求職者と求人企業をオンラインでマッチングする動画配信プラットフォームです。主にテック系のベンチャー企業に向けて、「moovy」サイトへの動画掲載、動画の制作代行、求職者へのスカウト機能などを提供しています。

「moovy」の利用により、求職者は、文章では伝わりにくい「企業内の個人や組織の特徴」を感じ取ることができます。また、求人企業は、文章だけでは表現しきれなかった採用情報を求職者に伝える「採用PR / 採用ブランディング」として活用できます。

この他に、「moovy plus」というサービスも展開しています。こちらは動画の制作及び動画配信システムに特化したサービスで、業界・企業規模を問わずご利用いただいています。

――このたび、「moovy」のWebサイトについて、Sreake Securityをご利用いただきました。
　　「moovy」で扱う情報には、個人情報も含まれますか？

はい。Webサイトから登録していただく形で、求職者であるユーザーの個人情報を取り扱っています。セキュリティに詳しい方から助言を受けたり、開発フレームワークのミドルウェアを活用するなどして、日頃からセキュリティ対策に取り組んでいます。

――今回の脆弱性診断を受ける前に抱いていた、セキュリティ上の課題はありますか？

顕在化した課題はありませんでしたが、潜在的な不安を感じていました。当社では、社内にセキュリティ専門の人材はおらず、サーバーサイドエンジニアがセキュリティも含めて対応しています。しかし、セキュリティ対策は専門性が高く、自社だけで十分な対策を行うことは難しい領域です。

あらゆる手法で攻撃を受けるリスクが、常に存在しています。特に重要なのは、個人情報に関するサイバーセキュリティ対策です。特に、我々が扱うような転職・求職のメディアで個人情報が流出した場合、事業へのダメージは非常に大きい。先手を打って対策することが重要だと考えています。

――Sreake Securityを利用することにした経緯・理由を教えてください。

きっかけは、スリーシェイク 営業担当の齊藤さんから、キャンペーンの案内をもらったことです。私と齊藤さんは、以前からの知り合いなんですよ。もともとセキュリティ対策の重要性を認識していたので、良い機会だと思いました。

とはいえ、知人だからと安易に利用を決めたわけではありません。診断を任せることにした決め手は、スリーシェイクのホームページを見て、ITインフラの領域における専門性の深さと技術力の高さを感じたこと。それと、どういう診断を行うか具体的にわかりやすく提案してもらえたことです。

――スリーシェイクを信頼して診断をお任せいただき、光栄です！
　　実際に脆弱性診断を受けてみて、いかがでしたか？

診断までの準備期間・診断中ともに特に問題はなかったです。スリーシェイクとのコミュニケーションは主にチャットツール（Slack）で行いましたが、やり取りは多くなく、スムーズに進みました。

――診断の結果、脆弱性は見つかりましたか？

細かいものを含め、いくつか検出されました。そのうちの１つは、想定外と言いますか、かなり深いところに潜んでいて、驚きました。ある程度、対策をしていたものではありましたが……。通常の対策より、もう一階層深く対応しなければならないと気づきました。大きな学びになりましたし、見つけてもらえて本当に良かったと安堵しています。

――診断結果の報告書はいかがでしたか？

抜群にわかりやすかったです。脆弱性の内容、影響、具体的な対策の方法が、それぞれ分けて説明されていて。また、スクリーンショットが個別に貼ってあり、どこに問題の箇所があるのか一目瞭然でした。修正の対応が非常にやりやすかったです。

診断後のアフターフォローも丁寧でした。修正した内容を報告したところ、「これだとこういう影響があるので、こういう風にしてください」と、コードを添えてアドバイスしてくださって。コードを組み立てるだけでも時間がかかるので、具体的な書き方まで提示してもらえて、助かりました。おかげで速やかに対応を完了できました。

――報告書とアフターフォローをお褒めいただき、ありがとうございます！
　　今回の診断を機に、何か変化はありましたか？

社内のエンジニアが、セキュリティに関する知見を深められたことが大きいですね。今後の機能開発・拡張に際しては、より深いところまで配慮しながら設計していこうと考えています。そのために必要な、重要な部分を検知する能力を高められたかなと思いますね。

―ぜひ、今回の診断を今後の開発にお役立ていただけたら幸いです。
　　セキュリティ面を含む、御社の今後の展望についてお聞かせください。

今後も定期的に点検を行い、気を緩めることなく、継続的にセキュアなシステムを構築・運用していきます。外部の脆弱性診断を受けることで、より自信を持って営業活動もできますしね。引き続き、感度を高めていきたいと思っています。

――最後に、Sreake Securityを利用した感想や、今後期待することがあればお聞かせください。

診断自体も診断後のアフターフォローも素晴らしくて、期待以上でした。脆弱性診断では、アプリケーションやネットワークなど、様々なレイヤーを細かく見ていく必要がありますよね。今回の診断を通して、スリーシェイクが持つ知識・技術の幅広さと深さを目の当たりにしました。

今後への期待としては、より低コストで診断を受けられるようになるとありがたいです。当社や、当社の取引先に多いベンチャー企業にとって、高いコストの負担は容易ではありません。ベンチャーにはIT企業も多く、セキュリティ診断のニーズは高いです。組織・事業の規模によって扱う情報量やシステムの複雑さも異なるので、規模に応じたプランを用意してもらえたら、より利用しやすいサービスになると思いますよ。

――貴重なご意見をありがとうございます。今後の参考にさせていただきます。
　　三嶋社長、本日はありがとうございました！

written by　三谷 恵里佳（ https://writing.tokyo-merrydsn.com/ ）

Sreake Security(現Securify脆弱性診断サービス)の事例となります