株式会社ジ・アイ様
【株式会社ジ・アイ】極めてセンシティブな、ヘルスケア情報を守る
株式会社ジ・アイ さま
生活者が長く健康でいられる社会の実現を目指すヘルステックカンパニー、株式会社ジ・アイ。ヘルスケア特化型CRMの「ON DIARY(オンダイアリー)」を提供し、フィットネスクラブの運営を支援しています。
この度、Sreake Securityの脆弱性診断サービス(アドバンス診断)をご利用いただきました。診断を受けた感想や今後の展望などについて、株式会社ジ・アイ リードエンジニアの尾形 敬介さんにお話を伺いました。
――はじめに、御社の事業内容を教えてください。
当社は、2018年に設立されたヘルステックのベンチャー企業です。コア事業として、「ON DIARY」という、フィットネスクラブ向けのCRMシステムを提供しています。
ON DIARYには、フィットネスの業務改善はもちろん、フィットネスクラブとその会員が双方向でコミュニケーションを取るための機能を搭載しています。両者の関係を深めて会員の満足度を上げることで、継続率の向上や退会抑止につなげていく。こうしたフィットネスクラブに特化した特徴は、他のCRMシステムにはない強みだと自負しています。
――尾形さんご自身は、どのような業務を担当していますか?
リードエンジニアとして、ON DIARYのテクニカル部分を担当しています。専門分野はサーバーサイドですが、ベンチャー企業で人手が少ないため、インフラの構築やサービス設計も含め全般的に対応しています。セキュリティ対策も基本的には私の担当ですね。
――ON DIARYで扱う情報には、個人情報も含まれますか?
はい。フィットネスクラブ会員の氏名や電話番号といった個人情報に加え、体重などのセンシティブなデータも扱っています。こうした情報の管理には、日頃からかなり気を使っています。ちょうど最近、2021年3月3日付でプライバシーマークを取得したところです。取得に当たり、セキュリティ周りの施策を全般的に整備し直しました。
――脆弱性診断サービスは他にもある中で、Sreake Securityを選んだのはなぜですか?
実は、脆弱性診断自体は、これまでも年1回受けていました。今回スリーシェイクにお願いした理由は、はっきり言ってしまえばコスト面です。毎年必要になるコストなので、可能であれば抑えたいなと。
脆弱性診断を実施している会社をWebで検索して、数社に見積もりをお願いしました。最終的に、コストが低く、精度も担保されているサービスということで、Sreake Securityを選びました。
――今回受けた脆弱性診断の内容を教えてください。
ON DIARYの2つのWebサイト(管理者向け・インストラクター向け)について、Sreake Securityのアドバンス診断を受けました。管理サイトは、マスター管理をしたり、退会率や継続率といったクラブの指標を管理者が閲覧・管理するサイト。インストラクターサイトは、フィットネスクラブのトレーナーが使うサイトです。自分が担当する会員の情報を確認したり、コミュニケーションを行ったり。予定の登録やトレーニングルームの予約などもできます。
実際に診断を受けた期間は5日間で、その間に何度かチャットツール(Slack)でやり取りをしました。スリーシェイクのエンジニアから機能面の質問などをもらい、私が答えるという形で。やり取りの内容はわかりやすかったですし、スムーズでしたね。
――診断の結果、脆弱性は見つかりましたか?
はい、いくつか。特に管理サイトでは、想定外の脆弱性が見つかって驚きました。「言われてみれば確かに、そうだよな」と思う脆弱性でしたが、自分達だけでは見つけられませんでした。
――診断結果の報告書はいかがでしたか?
簡潔かつ大変わかりやすい内容でした。何をどのように対応すればいいか、報告書を見るだけで全部わかるようになっていて、ありがたかったです。脆弱性の修正には複数のエンジニアで対応したのですが、報告書どおりに作業すれば良かったので、迷うことなく完了できました。
――今回、より高度な脆弱性診断を受けていただきましたが、どのような効果を期待していますか?
一番はやはり、ON DIARYの利用者の方々に対して、ちゃんとセキュリティ対策をしていると示せることですね。それと、フィットネスクラブへの営業面でも効果が大きいと思います。しっかりした脆弱性診断を受けて、万全の対策をしていると伝えられるので。
――Sreake Securityを利用した感想や、今後期待することがあればお聞かせください。
脆弱性診断そのものについては、大満足でした!
ただ、一つ残念だったのが、最初のやり取りで……。診断前の対応に不安を感じ、その旨をスリーシェイク側に伝えました。その後は、営業担当の渡邉さんが引き継いで丁寧に対応してくれたので、安心できました。今後は、診断前の対応も含め、トータルでより良いサービスを提供してもらえたらと思います。診断自体は非常に信頼の置ける素晴らしいサービスなのに、もったいないですよ。
――診断前の対応に至らぬ点があり、誠に申し訳ございませんでした。
今後は同様のことがないよう十分留意し、より安心・満足していただけるよう全力を尽くします。
最後に、セキュリティ面を含む、御社の今後の展望をお聞かせください。
現在はフィットネスクラブ向けのCRMシステムを提供していますが、今後は他のヘルス関連への事業展開も視野に入れています。例えば、いま新たに取り組んでいる健康保険組合向けのサービスでは、これまで以上に機微情報を扱うことや、脆弱性診断の実施が契約の条件に含まれることも念頭に置いています。こうした中で、セキュリティについては今後も重要事項として捉え、しっかりと対策をしていきます。
――ぜひ、今回の診断を今後のセキュリティ対策にお役立ていただけたら幸いです。
尾形さん、本日はありがとうございました!
written by 三谷 恵里佳 https://tokyo-merrydsn.com/
Sreake Security(現Securify脆弱性診断サービス)の事例となります