セキュリティ診断事例インタビュー

大手クライアント案件も任せられる技術力を見込んでリピート依頼。Fintechの高難度な要求に応える診断を実施

株式会社Finatext(フィナテキスト)ホールディングス様は、2013年に設立されたFintechベンチャー企業です。金融業界およびDX推進が求められる各業界において、事業計画から開発・グロースまで幅広く対応できることを強みとし、金融に関するデジタル技術とデータ解析力を駆使し、スピード感のあるフィンテックソリューションを提供しています。

今回診断を実施された企業様

株式会社Finatextホールディングス 従業員数: 167名(2021年2月現在、グループ全体) https://hd.finatext.com/

Flatt Securityは

  • 株式会社Finatextホールディングス様の子会社である株式会社スマートプラス様とANAグループ様が連携し開発したスマートフォン投資サービス「Wealth Wing」
  • 株式会社Finatext様が開発した保険サービスプラットフォーム「Inspire」

の2つを対象として「API診断(Webアプリケーション診断)」を担当させていただきました。 Finatextホールディングス様がFlatt Securityのセキュリティ診断のリピートでのご利用に至った経緯と診断を受けた感想をリードエンジニアの田島悟史さんに伺いました。

CTFの実績やセキュリティ・キャンプの運営など、技術レベルの高いセキュリティエンジニアが所属しているところがポイントに

finatext1

(リードエンジニアの田島悟史さん)

――まずはFlatt Securityを知っていただいた経緯を教えてください。

Flatt Securityさんが発信しているTwitterやブログです。僕自身、前職でセキュリティ診断に携わった経験があるため、最新のセキュリティに関する情報をキャッチアップするようにしています。その中で、SNS経由で御社を見つけました。「新しくて勢いのある会社があるな」という印象でしたね。

――ありがとうございます。どのような点で“新しくて勢いのある”と感じていただけたのでしょうか。

CTF(※1)で実績があったり、セキュリティ・キャンプ(※2)の運営メンバーが在籍したりしている点です。若くて精力的に活動している方が多いので、モダンな技術や最新のWebセキュリティトレンドに精通していそうだなと思いました。セキュリティエンジニアの方が取り組んでいる「脆弱性リサーチプロジェクト」も能力の高さが伺えますよね。

先日出版された米内貴志さん(※3)の書籍『Webブラウザセキュリティ Webアプリケーションの安全性を支える仕組みを整理する』も拝見しましたが、やはり優秀な方が多い会社なんだな、と改めて思いました。

※1 CTF…「Capture The Flag(旗取りゲーム)」の略で、サイバーセキュリティに関する技術や能力を競うオンライン競技のこと。

※2 セキュリティ・キャンプ…IPA(情報処理推進機構)が運営する「学生に対して情報セキュリティに関する高度な技術教育を実施し、次代を担う情報セキュリティ人材を発掘・育成する事業」のこと。

「情報処理推進機構」より https://www.ipa.go.jp/jinzai/camp/index.html

※3 米内貴志…弊社セキュリティエンジニア

――前職からセキュリティに携わり、現在も複数のセキュリティ会社様とお取り引きがある中で、Flatt Securityを選んでいただいた決め手はなんだったのでしょうか。

まず前提として、今まで依頼していたせキュリティ診断企業に不満があったわけではありません。僕は「このセキュリティ会社はこの分野が得意そうだから、このサービスのセキュリティ診断を依頼しよう」というように、企業とサービスの相性で判断しています。

Flatt SecurityさんはCTFで結果を出しているメンバーがおり高クオリティを期待できることと、コスト面でも折り合いがついたので、ぜひお願いしようという決断に至りました。

セキュリティ意識の高い大手クライアント様も納得していただける技術力とコミュニケーション力

finatext3

ーー実際に、Flatt Securityのセキュリティ診断を受けた感想を教えてください。

診断のレポートを見たら検知の難易度が高い脆弱性をしっかり指摘していただいたので、期待通りでした。(現職ではなく過去に取引のあった)他社さんでは対応不要なINFOレベルの指摘が大量に入ったレポートを提出されることがあります。しかし、Flatt Securityさんから提供頂いたレポートはそういったノイズが少なく、大幅に修正対応の時間を短縮できました。修正方針の相談にも乗っていただけて助かりました。

また、診断中に気になることがあれば短い時間でもオンラインミーティングを設定していただいたり、Slackですぐにお返事をいただけたりしたのもありがたかったですね。コロナ禍で一度もお会いできていませんが、特に問題なくスムーズにコミュニケーションを取ることができました。

ーーその後、二度目のセキュリティ診断を依頼していただいた経緯を教えてください。

弊社のクライアントは大手企業が多く、セキュリティに対して高い意識を持っています。一度目のセキュリティ診断の結果やコミュニケーションなどを総合的に見て、弊社のクライアントも納得していただけるだろうと判断し、二度目の依頼をすることにしました。

また、二度目の診断が終わったあと、次回以降の診断をよりスムーズに実施するため、御社のエンジニアさんとセールス担当者さんと「KPT」する場を設けていただけたのも大きいですね。こういう提案に応じてくれるセキュリティ会社さんってなかなかないと思うので、ふだんはこういう提案はしないのですが、診断完了までに感じたFlatt Securityさんの柔軟さと、今後中長期的にお付き合いをしていきたいという思いから、このような場を設けさせていただきました。

このKPTで連携方法やレポートフォーマットをさらによくするためのすり合わせができたので、三回目以降も安心して中長期的にお付き合いできると思っています。

ーー最後に、今後セキュリティで重要視していきたいことがあれば教えてください。

弊社はフィンテックということもあり、セキュリティは常に大事だと思っています。しかし、セキュリティといっても範囲が広いですよね。一部分だけセキュリティ対策ができているのではなく、総合的なセキュリティを重要視したいですし、そのためのコストもかけるべきだと思っています。

今まではWebアプリケーション診断しか依頼していませんが、今後はペネトレーションテスト等もぜひご相談できれば思っているので、引き続きよろしくお願いいたします!

ーーありがとうございました!

Flatt SecurityではWebアプリケーション・スマートフォンアプリケーション・スマートフォンゲーム・プラットフォームに関してセキュリティ診断サービスを提供しております。 ご興味のある方はお問い合わせフォームよりお気軽にご連絡ください。

セキュリティのお悩みについてFlatt Securityのセキュリティエンジニアに相談しませんか?

本記事ではセキュリティ診断の事例を紹介しましたが、セキュリティ診断は詳細や会社ごとの違い・特徴が分かりづらく検討しづらいサービスだと思われるのではないでしょうか。そこで、Flatt Securityでは無料のセキュリティ相談会を受け付けております。 セキュリティ診断に直接関係がなくとも、開発にまつわるセキュリティのお悩みに弊社のエンジニアが回答させていただきます。カレンダーより簡単に予約可能ですので、是非ご利用ください。

Internet Explorerをお使いの場合など、お問い合わせフォームが表示されない場合は別ページからお問い合わせください。