【オーエムネットワーク株式会社】10,000店採用のシフト管理クラウドで当社脆弱性診断を採用

10,000店採用のシフト管理クラウドサービスで
当社脆弱性診断の採用理由は「技術力の高さ」
これまで検出されなかった問題を発見

インタビュー

• 検査能力の高い診断サービスを探していた
  • 貴社の概要についてお教えください
  • 診断を実施したサービスについて
  • 今回、Sreake Securityの脆弱性診断を利用された理由は何ですか
• 診断後、脆弱性を確認。対策後に再診断/再・再診断を実施
  • 脆弱性診断はどのような内容を実施されましたか
  • 診断中はスムーズにコミュニケーションを行いましたか
  • 診断の結果、脆弱性は発見されましたか
  • 診断後はどのような対策を行いましたか
• 他サービスでもSreake Securityを利用したい
  • 当社の脆弱性診断の内容はいかがでしたか
  • どのような企業にSreake Securityの脆弱性診断をお薦めできますか

検査能力の高い診断サービスを探していた

貴社の概要についてお教えください

当社は、小売業・サービス業のお客様向けに、課題解決型システムをクラウドサービスとして提供しています。現在では、日本を代表する小売業・サービス業の企業様に、当社サービスをご利用いただけるまでになりました。

• 店舗シフト管理システム「アールシフト」
• 勤怠管理システム「アール勤怠」
• 小売業向け基幹システム「アールベース」
• 自動発注システム「アールオーダー」

特に、2016年に発表した「アールシフト」は多くのお客様のご支持を得て、現在では合計10,000店舗で採用いただく、当社の主力サービスに成長しました。

今回は、このアールシフトの脆弱性診断を、スリーシェイクさんにお願いしました。

診断を実施したサービスについて

アールシフトは、小売業・サービス業に特化した統合シフト管理システムです。

店舗スタッフのシフト管理機能に加えて、「ワークスケジュール自動作成」「店舗間比較（本部機能）」「店舗間応援」といった機能があります。また、800以上の機能からカスタマイズして利用できる柔軟性がある点も高く評価頂いています。

現在、従業員1,000名以上の大手企業様でのシフト管理製品として、多くのご支持を頂いており、ドン・キホーテ様、ロフト様、ラウンドワン様、成城石井様などの企業様でご採用いただいております。

今回、Sreake Securityの脆弱性診断を利用された理由は何ですか

大きく分けて、3つの理由があります。

１つめは、検査能力の高い診断サービスを探していた点です。

日々進化を続けるWEBの世界において高セキュリティを維持するためには、自社内の検査だけでは不十分で、その道の高い技術力を持ったプロに外部目線で検査していただく必要があると思っています。

スリーシェイクさんは金融・医療などのシステムでのセキュリティ支援のご経験がおありで、今回は検査エンジンを変えて診断する目的もありご相談をさせていただきました。

2つめは、社内検査の品質に懸念があった点です。

当社では社内で定められたルールに従ったサービス開発が求められ、プログラム性能やセキュリティ面での品質の社内検査を行っています。

しかし、昨今では数少ないセキュリティエンジニアで開発スピードに追従することが難しくなってきており、検査性能に対する懸念がありました。こうした背景によりサービス全体に対して改めて総スキャンをかけ、懸念を払拭する必要があると思っていました。

3つめは、スリーシェイクさんに「プレ診断」を実施いただき、技術力に確信を持てた点です。

スリーシェイクさんには、正式な発注前に無償で「プレ診断」を実施いただきました。これは検査サービスに自信がないとできないことだと思います。

プレ診断はサービスの最新機能を自社検証するプレビュー版サイトの一部機能に対して診断を行っていただき、その結果、直前の改修で混入したクロスサイトスクリプティング脆弱性の検出を即日でご報告いただきました。

プレ診断を通じて、スリーシェイクさんの技術力の高さ、診断精度の高さをよく理解できましたので、脆弱性診断を信頼してお任せできると判断しました。

診断後、脆弱性を確認。対策後に再診断/再・再診断を実施

脆弱性診断はどのような内容を実施されましたか

プレ診断後にベーシック診断を利用することを決定し、今回の診断ではプレ診断で使用したプレビュー版サイトのサイト全体に対して、WAFやIPSといったセキュリティ機能を無効にした状態で診断を行っていただくこととしました。診断は2021年の8/24～8/26の間にスリーシェイクさんのセキュリティエンジニアの方と弊社エンジニアで密にコミュニケーションを取りながら実施していただきました。

結果は、診断を実施した翌日の8/27に報告を受け取りました。非常にスピード感を持って対応をいただけたと思います。

診断中はスムーズにコミュニケーションを行いましたか

Slackに招待いただき、「検査サーバーのWAF機能のON/OFFに関する連絡」や「機能に関する質問」など、必要なコミュニケーションはSlackの診断プロジェクトチャンネルスレッド上でテンポよくコミュニケーションができました。

診断の結果、脆弱性は発見されましたか

プレビュー版サイト内にはWAFによって隠されたいくつかの脆弱性があることが確認できました。普段はブロックできているとはいえ、開発ルールと検査基準の定期的なブラッシュアップ、及び外部診断の必要性を再認識しました。また、スリーシェイクさんに作成頂いた報告書はカラーリングも見やすく好評でした。どのような挙動をする点が脅威なのか、といった基本的な質問にも答えて頂き、大変分かりやすい内容でした。

診断後はどのような対策を行いましたか

報告書の指摘事項に沿って、問題の修正を行いました。

診断から約1ヶ月後の、2021年9月下旬に再診断を実施し、その翌日には再診断の報告書を頂きました。再診断でも改修方法のアドバイスをいただき、最終的には9月末に脆弱性がゼロになったことを確認できました。また、この指摘を元に本番サイトへの反映はもちろん、開発ルールと検査基準の見直しを行い、問題の再発防止となる社内レクチャーに繋げることができました。

他サービスでもSreake Securityを利用したい

当社の脆弱性診断の内容はいかがでしたか

前回までの脆弱性診断は「診断がマンネリ化していた」部分があり、今回の検査ベンダーさんの比較検討や検査手法の変更においては「プロジェクト」として新たな発見がいくつもありました。肝心の脆弱性の診断については、今回のスリーシェイクさんによる「サイト全体の診断」とその問題検出、及びご指導もあって懸念の払拭はもちろん、コスト以上に有益なサービスを行っていただけたと思っています。

また、連絡もきめ細かく、再診断の実施時期の調整や改めての説明なども柔軟に対応くださり、とても助かりました。ベーシック診断の作業範囲に関する認識に齟齬があった際も、真摯に対応いただけたのも好感が持てました。

どのような企業にSreake Securityの脆弱性診断をお薦めできますか

まだ脆弱性診断を依頼するベンダーが決まっていなかったり、当社のように検査性能の比較を検討されている企業様には間違いなくお勧めできます。今後は当社の他サービスへの脆弱性診断でもまたスリーシェイクさんに相談したいと考えています。

Sreake Security(現Securify脆弱性診断サービス)の事例となります