株式会社ノベルワークス様
【ノベルワークス社】満足度120点!小規模な企業がSreake Securityに感じた、価格以上の価値とは
株式会社ノベルワークス さま
従業員8名(2021年2月現在)の小規模なIT企業である、株式会社ノベルワークス。サイボウズ株式会社のオフィシャルパートナーとして、同社が提供する「kintone」や「Garoon」に関する様々なサービスを展開しています。
この度、2種類のWebアプリケーションについて、Sreake Securityの脆弱性診断サービス(ベーシック診断)をご利用いただきました。診断を受けた経緯や感想などについて、株式会社ノベルワークス 代表取締役の満村 聡様にお話を伺いました。
――はじめに、御社の事業内容を教えてください。
当社は、まだ6期目の若い会社です。私はもともと汎用系のSEでしたが、「もっと身近な世界で、直接お客様の役に立てる仕事がしたい」と思い、2015年に会社を設立しました。現在の主なサービスは、「ガル助」と「Chobiit for kintone」(以下「Chobiit」)です。いずれも2019年にリリースしました。
ガル助は、サイボウズ株式会社が提供するグループウェア「Garoon」と、「Microsoft(Office)365カレンダー」または「Googleカレンダー」との双方向連携機能拡張サービスです。
Chobiitは、同じくサイボウズ株式会社が提供する、クラウド型のビジネスプラットフォーム「kintone」とのデータ連携サービスです。kintone上に集約されたデータを、Chobiitを介して外部の仲間と共有することで、業務効率の向上とチームワークの強化を実現できます。
――社外の情報をChobiitを介してkintoneに送信する中で、個人情報を扱うこともありますか?
あると思います。ご利用方法が定かではありませんが、Chobiitをご利用いただいているお客様の中で、一部個人情報を含むデータがChobiitを介してkintoneに登録されているかもしれません。そのため、セキュリティには留意してシステムを構築し、kintoneへのデータ通信時には暗号化するとともにChobiitのサーバー側には基本的にデータが残らない仕組みにしています。
――今回、外部の脆弱性診断を受けることにした経緯をお聞かせください。
ガル助とChobiitをローンチして1年が経過し、大手企業や自治体からのご利用の相談が少しずつ増えてきました。これまでも一般的なセキュリティ対策には取り組んできましたが、大規模なお客様のニーズに見合うサービスを提供するためには、より強固なセキュリティを確保していく必要があります。そこで、セキュリティのプロの診断を受けることにしました。
――他の脆弱性診断サービスとの比較検討はされましたか?
はい。何社かホームページを見て、何となく、「一番腕が良さそう」と感じたのがスリーシェイクでした。まず、当社も使っているAWSに特化した技術を有していること。それと、NTTデータさんとの協業やコンサルティングをしているという記事を見て、それなら技術力は本物だろうと思いました。実は私自身、かつてNTTデータの金融システムで開発をしていたんですよ。
――Sreake Securityをお選びいただき光栄です!
今回、満村社長自らお問い合わせをいただきましたが、スリーシェイクの営業担当者の対応はいかがでしたか?
絶妙な距離感でしたね。営業担当の渡邉さんは、堅苦しくなく、かつ、フレンドリーすぎない対応で。説明や返答が的確だったので、不安を感じることは全くなかったです。すぐにお願いして、「後はうまくやってくれるだろう」と安心できました。
――脆弱性診断を受けるに当たり、特に重視していた項目はありますか?
添付ファイルの部分です。Chobiitでは、単なるテキストデータに加え、エクセル等のファイルや画像を添付してkintoneに送ることができます。添付ファイルの通信は、データとして単に流すだけでは実現できないため、Chobiitのサーバーに一時的にデータを保持しています。このため、セキュリティ上、ここが最も重要なポイントと意識していました。
――実際に脆弱性診断を受けてみて、いかがでしたか?
今回、ガル助とChobiitのそれぞれについて、Sreake Securityのベーシック診断(Webアプリ)を受けました。問い合わせてから診断に入るまでは2~3週間くらいで、診断期間も約2週間と、対応はスピーディでしたね。診断期間中には、スリーシェイクのエンジニアの方と何度かチャットツール(Slack)でやり取りをしました。当社のサービスに関する予備知識はなかっただろうと思いますが、きっちり環境構築をしてテストしてもらえました。
――診断の結果、脆弱性は見つかりましたか?
はい。ガル助とChobiitの両方で、いくつか脆弱性が見つかりました。当社だけでは行き届かないような細かいところまで、セキュリティ専門のエンジニアの目で見てもらえて、良かったと思います。
また、診断結果の報告書には、脆弱性の内容はもちろんのこと、対応策まで具体的に記載されていました。おかげで、当社で改善の対応に悩むことは殆どなく、大変助かりました。報告書のクオリティにあえて点数をつけるなら、120点ですね。
――診断内容と報告書を高く評価していただき、ありがとうございます!
今回の診断を機に、何か変化はありましたか?
今後の商談に向けて、心強い武器ができたと感じています。大手企業からの引き合いが増えている中で、セキュリティチェックシートへの記入を求められることがあるんですよ。外部のセキュリティ診断実施に関する設問もあるので、自信を持って回答していきます。
――セキュリティ面を含む、御社の今後の展望ついてお聞かせください。
現在は、kintoneのシステムインテグレートが当社の大きな事業になっています。これに加えて、プロダクトメーカーになることを目標として強く意識しています。これから、新しい製品の企画開発を進めていく中で、またスリーシェイクの力を借りられたらいいなと。構築の段階からスリーシェイクに相談し、一部コンサルティングを受けながら進めることも視野に入れて、前向きに考えていきます。
――最後に、Sreake Securityを利用した感想や、今後期待することがあればお聞かせください。
非常に満足度が高かったです。特に、当社のような小さい企業では、セキュリティ専門人材を直接雇用することは難しいので、本当にありがたいサービスだなと。セキュリティに精通したプロにパッと診断してもらえるのは、とても有意義だと思います。
今後期待することは……うーん、思いつかないですね。もう既に、ベストなサービスではないでしょうか。この対応の速さで、この質で。正直、もっと価格を上げてもいい内容だと思いました。当社としては、このままの価格だと助かりますが(笑)。
――ご満足いただけて、スリーシェイク一同大変嬉しいです!
ぜひ、今後もお気軽にご相談ください。
満村社長、本日はありがとうございました!
written by 三谷 恵里佳 https://tokyo-merrydsn.com/
Sreake Security(現Securify脆弱性診断サービス)の事例となります