今回、FOLIOは、プロダクト開発・運用環境のセキュリティレベルをチェックするために、ペネトレーションテストを実施しました。実施の背景や感想について、同社CTOの海津研さんにお話を伺いました。

スリーラインディフェンスによるセキュリティ対策を進める

ーーFOLIOでは、どのような方針でセキュリティ施策を進めていますか？

弊社は証券会社ということもあり、内部統制やセキュリティについては一定のレベルを担保するよう心がけています。社内外からの攻撃を未然に防ぎ、お客様の資産を守るため、ペネトレーションテストやセキュリティ診断によるセキュリティチェックを定期的に実施しています。

ーーこれまで、どのような体制でセキュリティ施策を進めてきましたか？

弊社では、スリーラインディフェンスによる内部統制があり、その中でセキュリティ対策を進めています。1線は、セキュリティに関する仕組みづくりや障害対応に当たるエンジニアです。2線は、リスク管理部やコンプライアンスのメンバーで、主にリスクマネジメントを担当しています。3線は内部監査部門であり、1線及び2線の評価を担当しています。

1線と2線それぞれから選任されたメンバーがセキュリティチームに参加し、ペネトレーションテストやセキュリティ診断のハンドリングを行っています。チームでは1線として対応すべき課題、2線として対応すべき課題のそれぞれを議論した上で、優先順位を決めて課題の対応を進めています。3線の方も、アドバイザーとしてセキュリティチームの定例には参加いただいています。

ーーこれまで、どのような形でペネトレーションテストを実施してきましたか？

前回、2020年に実施したペネトレーションテストでは、弊社が重要資産と位置づけて管理している情報の管理状況をチェックしました。

管理状況に対する客観的な評価をいただき、課題を洗い出せたのに加え、それを踏まえてどのようなアクションを取っていくべきか、社内で具体的な議論ができたのが良かったです。スタートアップとしてプロダクト開発のスピードは意識しつつも、証券会社として、守るべき情報をしっかり守っていくための体制づくりには時間がかかっても取り組んでいく必要があります。セキュリティを担保する体制づくりやその強化に向けた議論を進めることができたのが、前回の成果だと捉えています。

セキュリティ診断を通じて感じた信頼感が依頼の決め手に

ーー今回のペネトレーションテスト実施の背景について教えてください。

前回の実施より一定の時間が経ち、組織や事業にも変化が起きています。前回見つかった課題がきちんと解消されているのか、確認する必要があるのはもちろんですが、今の組織や事業に必要なセキュリティ対策が行えているかをチェックしたいという思いがありました。

組織の面で言うと、開発チームの拡大や細分化が進んでいます。前回実施時はバックエンドやフロントエンドなど、特定領域を担うエンジニアは在籍しているものの、チームが組成されていないような状況でしたが、今は担当領域ごとにチームが組まれています。

また、事業についても、前回実施時はtoCのサービスのみ提供しているような状況でしたが、今やtoBのサービスもあり、多種多様なサービス展開を進めています。

社内でセキュリティ対策を進める仕組みも整った今、ペネトレーションテストを実施することで、セキュリティ体制を再点検したいと考えました。

ーーどのような体制でペネトレーションテストを実施しましたか？

今回は、2線のメンバーがプロジェクトリーダーとなって実施しました。プロジェクトを始める前に、セキュリティチームでどのようなメンバーで実施するか話し合い、チームの中から担当者をアサインしていきました。

プロジェクトチームは4人体制でした。2線メンバーのリーダーのほか、1線の担当としてCTOでエンジニアである私と、インフラエンジニア、コーポレートITのメンバーが動いていました。

プロジェクトチームでは2週間に1回、定例MTGを開き、テストの対象となる情報の選定や対象範囲などについて議論を重ねました。メンバー全員が兼務という形での実施になったため、準備開始から実施までには4ヶ月ほどを要しました。

ーー最終的にFlatt Securityに依頼した決め手は何でしたか？

ペネトレーションテストを実施する前に、Flatt Securityさんには何回かWebアプリケーション診断を実施いただいていました。その実績が一番大きかったように思います。

診断を実施いただく診断員の方とのコミュニケーションの取りやすさや、診断レポートの明瞭さなどが社内でも非常に好評でした。検出結果についても逐次ご報告いただけたので、そういった細かなコミュニケーションに対して信頼感を持っていました。

情報が整理され、わかりやすい報告書が対応方針の参考に

ーー今回はどのような内容でペネトレーションテストを実施しましたか？

診断員の方々に業務端末を貸与した上で、社内の重要資産の管理状況をチェックしていただきました。社内で開発・運用している各サービス上の重要資産に対して不正なアクセスができてしまわないか、確認いただいた形です。

ーー実際にペネトレーションテストを実施されてみて、いかがでしたか？

準備段階では、事前に必要な情報を整理してお伝えいただいていたので、大変やりやすかったです。私たちの方でも計画的に準備を進めることができました。

準備から実施まで、一貫して良いコミュニケーションが取れていたように感じています。実施段階で急遽生じた変更に対しても、柔軟にご対応いただきありがたかったです。

ーー期待されていた成果は得られましたか？

弊社側では想定していなかった指摘事項もあり、想定していた成果を得られたように感じます。前回のペネトレーションテストの結果を受けて修正した箇所も念入りに確認いただけました。

また、SSHDのファームウェアの更新状況など、細かい環境も見ていただけたのでありがたかったです。

ーー報告書の内容はいかがでしたか？

まず最初に全体評価があり、その後に指摘事項が重要度別に掲載されているという構成で、情報が整理されていて非常にわかりやすかったです。社内で対応方針の判断をする上でも大変参考になりました。セキュリティ診断を通して感じていた信頼感を再確認しました。

ーー最後に、Flatt Securityに期待していることがあれば、教えてください。

今後も、サービスがさらに拡充されていくことに期待しています。Flatt Securityさんでは、Shisho Cloudなど、弊社が利用したセキュリティ診断やペネトレーションテスト以外のサービスも提供されています。「Flatt Securityの様々なサービスを導入することで、会社や事業にまつわるありとあらゆるセキュリティ領域をカバーできる」というような方向に進化していただけると非常に嬉しいです。

ーー海津さん、本日はありがとうございました！

＜Flatt Securityのペネトレーションテストに関するお問い合わせはこちらから＞