【株式会社Touch&Links】複数の診断会社を利用して得られた、新たな発見とは

株式会社Touch&Links さま

“Web制作・Webプロモーションを通して、クライアントの課題を解決すること”をミッションに掲げる、株式会社Touch&Links。常にクライアントと同じ目線で考え、自社ならではの視点で最適な提案に励んでいます。

この度、Sreake Securityの脆弱性診断サービス（アドバンス診断）をご利用いただきました。診断を受けた感想や今後の展望などについて、株式会社Touch&Links ヒトマワリ事業本部 プロダクトマネージャーの長谷部 純さんにお話を伺いました。

――はじめに、御社の事業内容を教えてください。

当社は、2013年に設立されたベンチャー企業です。主にHR領域のWeb制作及びWebマーケティング支援を中心に事業展開しつつ、自社プロダクトの開発・拡充にも注力しています。人事向けメディアの「人事バンク」。オンライン面接システムの「モニタリンクス」。2020年７月からは、新規事業としてクラウド型戦略人事システム「ヒトマワリ」の開発・販売を開始しました。

――このたび、「ヒトマワリ」のWebアプリケーションについて、Sreake Securityをご利用いただきました。
　　ヒトマワリの開発・運用の中では、どのようなセキュリティ対策を行っていますか？

既に実施しているのは、開発フレームワーク（Ruby on Rails）の活用や、データベース閲覧権限を一部のエンジニアに限定するといった対策。また、脆弱性が生じないよう注意してコードを記述・レビューするなど、エンジニア個人レベルでも工夫しています。

これらに加えて、WAF（Web Application Firewall）やIPS／IDS（不正通信防御／検知システム）といったセキュリティ対策ツールの導入を進めているところです。

――今回の脆弱性診断を受ける前に抱いていた、セキュリティ上の課題はありますか？

明確な課題は特にありませんでした。ただ、定期的に脆弱性診断を受け、リスクを洗い出す必要があると認識しています。

――今回、御社にSreake Securityをご利用いただいたきっかけは、スリーシェイクからの営業でした。
　　脆弱性診断を受けることにした理由を教えてください。

Sreake Securityを利用する前から、会社の方針として、年１回を目途に脆弱性診断を受けることにしていました。スリーシェイクから営業があったのは、前回の診断からちょうど１年を過ぎた頃で、「そろそろ診断を受けなくては」と思っていたタイミングだったんです。

「過去に利用していない診断会社を試してみたい」という気持ちもありました。診断会社ごとの診断内容や質の違いがわからないまま、同じ診断会社だけを使い続けていいのか疑問を感じていたので、比較する良い機会にできればと。

――実際にSreake Securityの脆弱性診断を受けてみて、いかがでした？

診断を行う範囲などの詳細は、基本的にスリーシェイクにお任せして進めてもらいました。私が対応したのは、テスト環境の準備とアカウント発行くらいでしたね。以前に診断を受けた別の会社では、診断を行う対象のURLを当社から提出する必要がありましたが、Sreake Securityではその作業はありませんでした。

――診断の結果、脆弱性は見つかりましたか？

はい、いくつか。脆弱性が見つかること自体は想定していましたが、検知された脆弱性の数が想定より若干多かったので、驚きました。

――複数の診断会社による脆弱性診断を受けてみて、新たな発見や気づきはありましたか？

今回脆弱性が見つかった箇所は、前回の他社による診断後にリリースした新機能と、既存機能が半々くらいでした。既存機能で検出された脆弱性の内容を見ると、前回の診断時から抜け落ちがあったのだろうと思います。今回Sreake Securityの診断を受けたことによって、既存機能を含め新たな脆弱性を発見・解消できたので、お任せして良かったです。

診断員がマニュアルで行う診断については、セキュリティへの知見や技術による違いが大きそうだなと。そう考えると、複数の診断会社を試してみることも、脆弱性を減らす上で有効かもしれません。

――診断結果の報告書は、いかがでしたか？

わかりやすい内容でした。「どういう攻撃により、どういう問題が起きるのか」「どういう対策をすればいいのか」といったことが、一目で理解できました。脆弱性の修正対応も報告書にすべて記載されていたので、スリーシェイクに質問することなく無事に対応を完了できました。

――今回の診断を機に、何か変化はありましたか？

２年連続で外部の脆弱性診断を受けましたが、いずれも脆弱性が検出されました。今回の診断結果を受け、脆弱性を抑え続けることの難しさを改めて認識しました。今後も機能開発を続けていくに当たり、定期的な診断は必須事項と捉えています。定期的に診断を受けるとともに、開発手法やコードレビューの手法なども見直していけたら。

――ぜひ、今後もSreake Securityをお役立ていただけたら幸いです！
　　セキュリティ面を含む、御社の今後の展望についてお聞かせください。

先に述べたとおり、現在、WAFやIPS／IDSといったセキュリティ対策ツールの導入を進めています。こうしたツールにより、外部からの攻撃やウイルスなどの脅威に対し、より一層安全性を高めてまいります。

ツールの導入に加え、検出された項目に対していかに対応していくかも重要です。運用面の知識も増やしていき、ソフト・ハードともにセキュリティを強化していきたいと考えています。

――最後に、Sreake Securityを利用した感想や、今後期待することがあればお聞かせください。

診断開始までのヒアリングが少なかったので、担当者として負担が少なく済みました。ヒトマワリのサービスをよく理解した上で対応してくださったと思います。ただ、もう少しやり取りがあっても良かったかもしれません。ある程度質問してもらった方が、診断員がどこに注目しているかわかるので。

――貴重なご意見をありがとうございます。引き続きサービス向上に励んでまいります。
　　長谷部さん、本日はありがとうございました！

written by　三谷 恵里佳（ https://writing.tokyo-merrydsn.com/ ）

Sreake Security(現Securify脆弱性診断サービス)の事例となります