今回ローンチした「イークラウド」は、ベンチャー企業など非上場企業が株式の発行により、多くの人から少額ずつ資金を集めるプラットフォームです。今までベンチャー企業に投資することができるのは、銀行やベンチャーキャピタル、エンジェル投資家など限定的でした。「イークラウド」を利用することで、起業家に“一般投資家からの支援”という新たな資金調達の手段を提供しています。

今回Flatt Securityは「イークラウド」を正式ローンチするにあたり、Webアプリケーション診断を担当させていただきました。イークラウド株式会社様がセキュリティ診断を実施するのは初めてとのこと。実際にセキュリティ診断を受けた感想やその後の効果などを開発部部長の鈴木究さんに伺いました。

金融機関としてセキュリティの質を担保するため、第三者機関でセキュリティ診断を実施することに

――今回はなぜ、セキュリティ診断が必要になったのでしょうか？

イークラウドの開発チームは私を含めて3名で、他のFintech企業と比べると少数精鋭という特徴があります。組織づくりにあたっては各人の専門に特化したスペシャリスト集団というより、全員がサービスを横断的に理解して柔軟に活躍できるチームを目指し、最新の技術を学びトレンドを取り入れるよう心がけています。

もちろんセキュリティに関しても意識高く開発を進めていましたが、専門の技術者をチームに擁しているわけではありませんので、やはり最後は個人のスキルに属人化してしまうという懸念はありました。 とはいえ弊社はお客様の重要な情報をお預かりする金融機関ですから、情報の漏洩は絶対にあってはならず、セキュリティ面での不安を残したままリリースはできません。

そこで、信頼のできる第三者機関でセキュリティ診断を実施することにしました。

――Flatt Securityを選んでいただいた決め手は何だったのでしょうか。

イークラウドがセキュリティ診断を受けるのは初めてだったので、まずは私とチームのエンジニアで、いろいろなセキュリティ診断会社の導入事例の調査を行いました。

最終的にFlatt Securityさんに依頼しようと思った決め手は、どのポイントにセキュリティ診断をすると最も効果的かという提案をいただけたことです。

もちろん、証券会社としてリスク対策の重要性は全社的に理解されてはいましたが、「セキュリティ診断」というものが弊社にとって初めてでしたので、費用対効果や金額感の妥当性に関して判断が難しく、社内合意を取るのが少々難しい局面もありました。

懸念点を正直にお話した際、「現状のサービス規模に最適なスコープを絞って診断を行えば、リスク対策は行いつつも費用を抑えられる」と、3パターンの見積もりを提案いただきました。提案内容を元に社内でも議論して無事理解を得られ、ぜひFlatt Securityさんにお願いしようということになったんです。

セキュリティ診断を受け、特に懸念していた認証周りの不安を解消することができた

――実際に、セキュリティ診断を受けた感想を教えてください。

コロナ禍でお会いできなかったのですが、コミュニケーション面で特に困ることはなかったです。FacebookメッセンジャーやSlackで都度対応していただき、スムーズに進めることができました。

診断結果は、当初から危惧していた部分を外部の視点で確認できたのがよかったです。特に 認証のセキュリティには不安が残っていたため、セキュリティ診断を実施したおかげでその不安を解消することができました。

また、セキュリティ診断がきっかけで、開発チーム内では「ユーザビリティと堅牢なセキュリティを両立するためには、どのような実装をすべきか」という議論が巻き起こり、セキュリティ意識の高まるいい機会になりました。

――最後に、「イークラウド」の今後の展開について教えてください。

短期的には利用する個人投資家のUX向上のために、機能拡充や案件増加に向けた対応を検討しており、中長期的には業界初のスキームやクラウドファンディング以外の新規事業に挑戦する可能性を模索中です。

いずれにせよ今後もセキュリティ対策に注力していく事が、お客様に安心と安全を提供できると考えており、新たに機能を追加したりアップデートをするときはもちろん、事業規模の拡大に応じて改めてセキュリティ診断をお願いしたいと思っています。

――ありがとうございました！

Flatt SecurityではWebアプリケーション・スマートフォンアプリケーション・スマートフォンゲーム・プラットフォームに関してセキュリティ診断サービスを提供しております。 ご興味のある方はお問い合わせフォームよりお気軽にご連絡ください。