【SELF社】新サービスリリース直前のスピーディな脆弱性診断

SELF株式会社 さま

人工知能開発を行うSELF株式会社は、対話を自動化するコミュニケーションシステムを開発しています。対話したユーザーのことを覚え、記憶し、ユーザーの生活状態や心理状況に合わせて、コミュニケーションを変化させる「コミュニケーションの自動化システム」をコア技術として、コンシューマー向けの自社AIアプリ事業と、企業向けのコミュニケーションAI活用事業を展開しています。

AIと会話ができるコンシューマー向けアプリ「SELF」は100万ダウンロードを突破しており、さらなる進化に向けて、現在も開発が進められています。最近では、ベネッセや東急百貨店をはじめとした、大手クライアント企業へ会話AIの導入を行うなど、業界内外から注目を集めるテックベンチャーです。

この度、AIとの会話でカウンセリングが受けられるストレスケアアプリ「SELF MIND」のリリースにあたり、セキュリティ診断サービス『簡易脆弱性診断サービス』をご利用いただきました。
「SELF MIND」は、昨今のメンタルヘルスケアの必要性の高まりを受けリリースされたアプリです。海外に比べるとメンタルヘルスケアに対する意識が低い日本で、「24時間いつでも」「安価に」「手軽に」を実現できるカウンセリングAIアプリとして誕生しました。

今回は、『簡易脆弱性診断サービス』実施後の評価とご感想、そして同社内での今後の活用方法について、SELF株式会社CTOの吉田康平さんにお話を伺いました。

― まずは、『簡易脆弱性診断サービス』実施のきっかけを教えてください。

3-shake には、日頃我が社のサーバー管理をお任せしています。今回新しい「SELF MIND」のリリースを控えている時に、ちょうど新しい脆弱性診断サービスが立ち上がったと連絡をいただきました。
「SELF MIND」は、メンタルケアに特化したアプリで、コンセプトの一つとして「会話AIの心理的安全性」を掲げています。誰にも話せないことを気軽に話して欲しい。それには、システムに対する信頼性も重要になってきます。今回、脆弱性診断を受けることで、ユーザーさんのアプリに対する心理的安心感を提供できるのではないかと思い、受診させていただきました。
それに、以前から3-shake の吉田さん（代表 吉田拓真）をよく知っているので、吉田さんが主導されているサービスならお任せして大丈夫だろうという安心感もありましたね。

― いつもありがとうございます！吉田にも伝えておきます！
『簡易脆弱性診断サービス』実施前、セキュリティ面の課題はお持ちでしたか？

自社アプリに関しては、社内人員でできる限りのセキュリティ対策をしてきましたが、ここ最近はセキュリティインシデントのニュースを目にすることも多く、「もし何かあったら」という意識はしていました。どんな対策にも「100%安全」はあり得ませんので、早い段階から不安要素を取り除くための、定期的な診断を受けるべきだと考えていたところです。本当にタイムリーにご連絡をいただきました。

― なるほど、以前から危機感を抱いていらっしゃったのですね。
今回、他のサービスと比較検討をされたと伺いましたが、最終的に『簡易脆弱性診断サービス』を選んでいただいた決め手を教えてください。

他にも同じようなサービスはたくさんありますが、診断範囲の広さと検査項目数の多さ、そして低コストという、全体のバランスが取れていたことが決め手です。診断結果も1週間程度でスピーディに出していただいたので、開発スピードを落とすことなく実施できてとても助かりました。以前から、3-shake の高い技術力には全幅の信頼を置いていたので、このプロダクトも間違いないと確信できたのも大きかったですね。

― では、『簡易脆弱性診断サービス』の診断結果はいかがでしたか？

深刻な脆弱性はありませんでしたが、単純なチェック漏れや、早めに直しておいたほうがいい部分をいくつか見つけていただきました。自社内のチェックは万全のはずでしたが、攻撃者の視点で見ると新たな発見もあり、後学のためにも今回やっておいて本当によかったです。社内でチェックしきれない細かい部分を定期的・継続的にフォローしていくのに適したサービスだと思います。自社エンジニアからも評価が高く、結果に対しても非常に満足しています。

― 満足していただけて良かったです！
　『簡易脆弱性診断サービス』診断後の報告書のクオリティはいかがでしたか？

診断後の報告書には、検出項目やリスクがとても分かりやすくまとまっており、対策の優先度や方法まで記載されていたので、社内の議論もスムーズに行なうことができました。希望があれば別途オプションでセキュリティ専門家のコンサルティングをお願いできると聞いたので、次回以降は開発担当のエンジニアも同席させて、プロダクト全体のセキュリティ対策の相談もできればと考えています。

― 今後、『簡易脆弱性診断サービス』をどのように活用されるご予定ですか？

今回のような自社アプリの定期診断はもちろんですが、外部クライアント企業向けにアプリを納品する際にも、積極的に活用していきたいと考えています。
現在、弊社は顧客の購買体験を向上させるEC向けのセールスAI「SELF LINK」の販促に注力しています。「SELF LINK」は、ECサイト内で実店舗の販売員のような会話や提案を行うセールスオートメーションシステムです。話しかけられた内容に答えるチャットボットとは違い、端的にかつ能動的に訪問者に語りかけるのが特徴になっていて、すでに導入いただいたところでは購買率や顧客単価に効果を実感いただいております。
今後はこのような外部クライアント向けのECサイトに導入いただく機会を増やしていければと思っていますので、これまで以上にセキュリティへの関心は高まっています。今後、ご相談させていただく機会は増えていくと思っています。

― ありがとうございます！いつでもご相談お待ちしております。
　最後に、3-shakeへの今後のご期待・ご要望があれば、お聞かせください。

そうですね…あえて要望を言うなら『簡易脆弱性診断サービス』のレポートは、自社で実装したパートと、外部で開発したパートを分けて記載してもらえると助かります。これは「診断範囲が広い」というメリットの裏返しになると思いますが、競合が多いサービスだからこそ、小さな手間の差がサービスの付加価値を高めるポイントになると思います。

― 貴重なご意見をありがとうございます！

3-shake さんは、技術的にもコンプライアンス的にも、安心して全てをお任せできるパートナーですので、今後も長くお付き合いしていきたいと思っています。セキュリティ診断分野においても、今後新たな取り組みを考えていらっしゃるようなので、これまでにない新たな常識を打ち立て、業界全体を牽引してくれることを期待しています！

― 嬉しいお言葉ありがとうございます。心に刻みます！
　吉田さん、本日は貴重なお時間をありがとうございました！

Sreake Security(現Securify脆弱性診断サービス)の事例となります