合同会社selfree様
【合同会社selfree】セキュリティのプロによる脆弱性診断を受け、先手で対策を打つ
合同会社selfree さま
ブラウザ電話システム「CallConnect」の開発・運営を行う、合同会社selfree。「愛される企業を増やす」を企業理念に掲げ、企業と顧客の関係性強化を支援しています。
この度、「CallConnect」のWebアプリケーションについて、Sreake Securityの脆弱性診断サービス(ベーシック診断)をご利用いただきました。診断を受けた感想や今後の展望などについて、合同会社selfree デザイナー兼カスタマーサポート担当の畠 佑輔さんにお話を伺いました。
――はじめに、御社の事業内容を教えてください。
当社は2014年に設立され、ブラウザ電話システム「CallConnect」を法人向けに提供しています。CallConnectは、コールセンターを5分で手軽に始められるサービスです。インターネット、パソコン、ヘッドセットがあれば、場所に関係なく通話することができます。総アカウント数は2000以上、月間の総通話件数は30万件以上に上り、多くの企業にご利用いただいています。
――畠さんご自身は、どのような業務を担当していますか?
デザイナーとしてデザイン関係を担当するとともに、カスタマーサポート業務も行っています。システムはCTO(最高技術責任者)の本間を中心に開発していますが、新機能リリース前のテストなどには私も携わっています。
――外部の脆弱性診断を受けることにしたのは、なぜですか?
CallConnectでは、個人情報や通話内容といった、プライバシーに深く関わる情報を扱っています。このため、ISMS(情報セキュリティマネジメントシステム)の国際規格「ISO 27001」の認証を取得し、高いセキュリティ意識を持ってサービスを運用しています。加えて、信頼性の高いAWS(Amazon Web Services)やHeroku Private Spacesを用いてシステムを構築・運用することで、リスクを低減しています。
しかし、こうした対策を講じた上でも、自社だけでは行き届かない部分もあります。ユーザーの皆様により安心・安全なサービスを提供するためには、セキュリティのプロにチェックしてもらう必要があると考え、外部の脆弱性診断を受けることにしました。
――脆弱性診断サービスは他にもある中で、Sreake Securityを選んだ経緯・理由を教えてください。
きっかけは、ISMSの認証取得時にサポートしていただいた代理店の方からの紹介です。「おすすめのセキュリティ診断サービスを教えて欲しい」とお願いして、紹介されたのがスリーシェイクでした。
紹介を受けて、スリーシェイク営業担当の渡邉さんと面談をして、診断サービスの内容やサポートについて話を聞く中で、しっかり対応してもらえそうだなと信頼できたので、安心して利用を決めました。
――実際に脆弱性診断を受けてみて、いかがでしたか?
診断開始までの準備はスムーズに完了しました。脆弱性診断を受けるのは今回が初めてだったこともあり、診断の範囲や内容などはスリーシェイクにお任せしました。どこにリスクが潜んでいるかわからないので、プロの目線で全般的に見てもらえたらなと。
診断中には、スリーシェイクのエンジニアから、「今この工程が終わりました」など進捗の連絡がありました。実際に診断を担当するエンジニアから直接連絡が来るので、安心できましたね。「しっかり診断を進めてくれているな」と思えましたし、いつでも質問しやすい状況だったのも良かったです。
――診断の結果、脆弱性は見つかりましたか?
はい。「改修を推奨する」とか、「確認いただきたい情報」といった、軽微なものがいくつか。幸い大きな問題は見つからなかったので、サービス運営者として安堵しています。
診断結果はすぐにシステムの担当に共有し、改善の対応と再診断を終えました。
――診断結果の報告書はいかがでしたか?
報告書では、検出された項目のリスクがどの程度なのか、5段階で示されていました。一目でパッとわかるので、理解しやすかったです。
報告書で提示された対応の中には、当社の開発環境では難しいものもあったのですが……。そのことをスリーシェイクのエンジニアに相談したところ、「こういうやり方なら対応できそうですよ」と、アドバイスをくださいました。当社に合わせて柔軟に提案してくださり、ありがたかったです。
――報告書とエンジニアの対応をお褒めいただき、ありがとうございます!
Sreake Securityの脆弱性診断は、ご満足いただけるサービスでしたか?
はい。準備開始から診断終了まで、とにかくスムーズで、当社側の負担が少なかったです。見積もりなど最初のやり取りは営業担当の渡邉さんが、実際の診断はエンジニアの方がそれぞれ対応してくれて。全体を通して丁寧でわかりやすく、不満な点は特にありませんでした。
――最後に、セキュリティ面を含む、御社の今後の展望についてお聞かせください。
サービスを安定して運用していくためには、セキュリティへの投資をしていく必要がある。そのことを、今回の診断を機に改めて認識しました。昨今、CallConnectのユーザーからも、セキュリティに関する問合せが増えていると感じています。定期的に脆弱性診断を受けるなど、引き続き先手で対策を打っていきます。
今回はSreake Securityのベーシック診断を利用しましたが、他の診断プランも含め、開発の状況に応じて利用を検討していきたいなと。今後も、セキュリティについて相談させていただけたら助かります。
――ぜひ、お気軽にご相談ください!今後ともよろしくお願いします。
畠さん、本日はありがとうございました!
written by 三谷 恵里佳( https://writing.tokyo-merrydsn.com/ )
Sreake Security(現Securify脆弱性診断サービス)の事例となります