株式会社Touch&Links様
【株式会社Touch&Links】複数の診断会社を利用して得られた、新たな発見とは
株式会社Touch&Links さま
“Web制作・Webプロモーションを通して、クライアントの課題を解決すること”をミッションに掲げる、株式会社Touch&Links。常にクライアントと同じ目線で考え、自社ならではの視点で最適な提案に励んでいます。
この度、Sreake Securityの脆弱性診断サービス(アドバンス診断)をご利用いただきました。診断を受けた感想や今後の展望などについて、株式会社Touch&Links ヒトマワリ事業本部 プロダクトマネージャーの長谷部 純さんにお話を伺いました。
――はじめに、御社の事業内容を教えてください。
当社は、2013年に設立されたベンチャー企業です。主にHR領域のWeb制作及びWebマーケティング支援を中心に事業展開しつつ、自社プロダクトの開発・拡充にも注力しています。人事向けメディアの「人事バンク」。オンライン面接システムの「モニタリンクス」。2020年7月からは、新規事業としてクラウド型戦略人事システム「ヒトマワリ」の開発・販売を開始しました。
――このたび、「ヒトマワリ」のWebアプリケーションについて、Sreake Securityをご利用いただきました。
ヒトマワリの開発・運用の中では、どのようなセキュリティ対策を行っていますか?
既に実施しているのは、開発フレームワーク(Ruby on Rails)の活用や、データベース閲覧権限を一部のエンジニアに限定するといった対策。また、脆弱性が生じないよう注意してコードを記述・レビューするなど、エンジニア個人レベルでも工夫しています。
これらに加えて、WAF(Web Application Firewall)やIPS/IDS(不正通信防御/検知システム)といったセキュリティ対策ツールの導入を進めているところです。
――今回の脆弱性診断を受ける前に抱いていた、セキュリティ上の課題はありますか?
明確な課題は特にありませんでした。ただ、定期的に脆弱性診断を受け、リスクを洗い出す必要があると認識しています。
――今回、御社にSreake Securityをご利用いただいたきっかけは、スリーシェイクからの営業でした。
脆弱性診断を受けることにした理由を教えてください。
Sreake Securityを利用する前から、会社の方針として、年1回を目途に脆弱性診断を受けることにしていました。スリーシェイクから営業があったのは、前回の診断からちょうど1年を過ぎた頃で、「そろそろ診断を受けなくては」と思っていたタイミングだったんです。
「過去に利用していない診断会社を試してみたい」という気持ちもありました。診断会社ごとの診断内容や質の違いがわからないまま、同じ診断会社だけを使い続けていいのか疑問を感じていたので、比較する良い機会にできればと。
――実際にSreake Securityの脆弱性診断を受けてみて、いかがでした?
診断を行う範囲などの詳細は、基本的にスリーシェイクにお任せして進めてもらいました。私が対応したのは、テスト環境の準備とアカウント発行くらいでしたね。以前に診断を受けた別の会社では、診断を行う対象のURLを当社から提出する必要がありましたが、Sreake Securityではその作業はありませんでした。
――診断の結果、脆弱性は見つかりましたか?
はい、いくつか。脆弱性が見つかること自体は想定していましたが、検知された脆弱性の数が想定より若干多かったので、驚きました。
――複数の診断会社による脆弱性診断を受けてみて、新たな発見や気づきはありましたか?
今回脆弱性が見つかった箇所は、前回の他社による診断後にリリースした新機能と、既存機能が半々くらいでした。既存機能で検出された脆弱性の内容を見ると、前回の診断時から抜け落ちがあったのだろうと思います。今回Sreake Securityの診断を受けたことによって、既存機能を含め新たな脆弱性を発見・解消できたので、お任せして良かったです。
診断員がマニュアルで行う診断については、セキュリティへの知見や技術による違いが大きそうだなと。そう考えると、複数の診断会社を試してみることも、脆弱性を減らす上で有効かもしれません。
――診断結果の報告書は、いかがでしたか?
わかりやすい内容でした。「どういう攻撃により、どういう問題が起きるのか」「どういう対策をすればいいのか」といったことが、一目で理解できました。脆弱性の修正対応も報告書にすべて記載されていたので、スリーシェイクに質問することなく無事に対応を完了できました。
――今回の診断を機に、何か変化はありましたか?
2年連続で外部の脆弱性診断を受けましたが、いずれも脆弱性が検出されました。今回の診断結果を受け、脆弱性を抑え続けることの難しさを改めて認識しました。今後も機能開発を続けていくに当たり、定期的な診断は必須事項と捉えています。定期的に診断を受けるとともに、開発手法やコードレビューの手法なども見直していけたら。
――ぜひ、今後もSreake Securityをお役立ていただけたら幸いです!
セキュリティ面を含む、御社の今後の展望についてお聞かせください。
先に述べたとおり、現在、WAFやIPS/IDSといったセキュリティ対策ツールの導入を進めています。こうしたツールにより、外部からの攻撃やウイルスなどの脅威に対し、より一層安全性を高めてまいります。
ツールの導入に加え、検出された項目に対していかに対応していくかも重要です。運用面の知識も増やしていき、ソフト・ハードともにセキュリティを強化していきたいと考えています。
――最後に、Sreake Securityを利用した感想や、今後期待することがあればお聞かせください。
診断開始までのヒアリングが少なかったので、担当者として負担が少なく済みました。ヒトマワリのサービスをよく理解した上で対応してくださったと思います。ただ、もう少しやり取りがあっても良かったかもしれません。ある程度質問してもらった方が、診断員がどこに注目しているかわかるので。
――貴重なご意見をありがとうございます。引き続きサービス向上に励んでまいります。
長谷部さん、本日はありがとうございました!
written by 三谷 恵里佳( https://writing.tokyo-merrydsn.com/ )
Sreake Security(現Securify脆弱性診断サービス)の事例となります