セキュリティ診断事例インタビュー

CVEの実績を信頼し、グローバルに展開されるPOSサービスアプリケーションのセキュリティ診断を依頼

1918年創業のグローリー株式会社は国産初の硬貨計数機を開発した企業。現在はレジで代金のつり銭を自動的に払い出す「つり銭機」や売場の売上金をバックヤードで一括して入金し、集計・収納を行う「売上金入金機」等、金融、流通・交通業界など幅広い市場に事業を展開しています。

また、米国や欧州、中国の金融市場や流通市場にも事業を展開。海外の主力製品は金融機関の窓口での紙幣入出金を自動化し、セキュリティを向上させる「窓口用紙幣入出金機」、高性能の読み取りセンサーで複数の金種が混ざった状態の紙幣を正確に分類・計数処理する「紙幣整理機」。国内外で様々な業界の業務を効率化させるための製品を開発・販売しています。

今回Flatt Securityは、海外向けに展開しているPOSレジサービスのアプリケーション診断を担当しました。セキュリティ診断を実施した背景とその感想を、海外開発・品証本部システム開統括流通システム開発/部長の森澤淳さんに聞きました。

海外向け製品は高いセキュリティレベルを求められるので、定期的・継続的に対策を実施している

image1

海外開発・品証本部システム開統括流通システム開発/部長の森澤淳さん

――セキュリティについて、どのような考え方や意識を持っているのでしょうか。

森澤淳さん(以下、森澤さん):海外展開する上で、製品のセキュリティ強化は欠かせません。

グローリーは世界100か国以上で製品を販売するグローバル企業のため、従業員が海外に赴任することも多々あります。私はドイツでの勤務経験があり、今回Flatt Securityさんの窓口となった、同じくシステム開発部で働く上司の植田はアメリカ・中国での勤務経験があります。 特に植田はアメリカや中国向けの製品開発に長年携わってきたので、業界や自社製品のセキュリティについて知見があります。

海外ではサイバー攻撃が多数起きていることもあり、セキュリティに対してとても敏感で、厳しい要件を課せられることが多いです。アメリカやオーストラリアなどでは、我々の製品を導入した企業が製品に対して、セキュリティ診断やペネストレーションテストを実施する場合もあります。

このような背景もあり、システム開発部に長年従事し、セキュリティに詳しい植田を中心に、セキュリティの重要性を社内に周知したり、各々が独学で学んだりしています。

――Flatt Securityを知っていただいた経緯を教えてください。

森澤さん:国内で新規事業開発を統括するメンバーからの紹介です。システム開発部による海外向け製品のセキュリティ対策の実施体制に合致しそうだったので、興味を持ちました。

――どのような体制でセキュリティ対策を行なっているのでしょうか。

森澤さん:私たちはまず、接続するネットワークや採用するサードパーティ製品など、セキュリティデザインや仕様を決めてから開発します。

開発が完了したらリリースまでにセキュリティ診断やペネトレーションテスト、ポートスキャンなどを実施します。ここで、社外に第三者評価を依頼をします。また、製品の販売後も定期的に診断を実施し、脆弱性が発見されれば速やかに対処するなどのメンテナンスを行っています。今回ご依頼したような粒度の診断は、メジャーリリースの前には必ず実施していますね。

「脆弱性リサーチプロジェクト」で公開されているCVE実績を知り、技術力に期待

――Flatt Securityへ依頼するにあたり、懸念点はありませんでしたか。

森澤さん:御社のコーポレートサイトをくまなくチェックし、「脆弱性リサーチプロジェクト」(※)のページも見ました。その上で、技術力の高さを確認することができました。

※編集注:「脆弱性リサーチプロジェクト」は、インターネット上で利用可能な様々なソフトウェア、ハードウェアの脆弱性を調査するプロジェクトです。こちらで活動実績を公開しています。

また、これは後日談ですが、御社のセキュアコーディング学習のeラーニング「KENRO」のトライアルを利用させていただいた際には、その内容からもやはり技術力を実感しましたね。

今回診断対象となる製品は、外部のネットワークを使用してPOSと連携する特殊な仕様の製品です。打ち合わせの初期段階で、このような仕様を理解するためにセキュリティエンジニアも交えコミュニケーションを積極的にとっていただけたことも、評価のポイントとなりました。報告書のサンプルも共有いただいたので、アウトプットのイメージができたのも良かったです。

開発着手時のセキュリティデザインや継続的なセキュリティ対策にも携わっていただけたら

image3

グローリー様のコーポレートサイトより

――セキュリティ診断の感想を教えてください。

森澤さん:想定以上の内容で満足しています。

報告書の内容も明瞭で理解しやすかったです。報告内容の再現も記載の手順に沿うだけで誰でも簡単にできるので助かりました。セキュリティの知識がなくとも読むことができるのは、これまでに体験したことのない精度のドキュメントだと感じました。自分だけでなく、チームのメンバー全員からも好評でしたね。

――診断中のコミュニケーションはいかがでしたか。

森澤さん:今まで海外の診断会社に依頼することが多く、コミュニケーションに苦労したことがありました。今回は日本語での丁寧な対応と丁寧なドキュメンテーションでやりとりしていただいたおかげで、スムーズに診断を進行することができました。

――弊社が提供するWebエンジニア向けのセキュリティeラーニング「KENRO」のトライアルを受講していただいていると思いますが、所感はいかがだったのでしょうか。

森澤さん:システム開発部のマネージャーやセキュリティ担当者数名で受講させていただきました。実践的な演習ができるので、プログラミングを組むエンジニアにとってはとても参考になりそうだと感じています。国内向け製品の開発部門など、他部門にも紹介中です。

――Flatt Securityに期待すること・要望することなどあれば教えてください。

森澤さん:今回のセキュリティ診断はもちろん、開発に着手する前後のセキュリティデザインや、継続的なセキュリティ対策をするためのアドバイスやサポートなどもぜひ相談させていただきたいです。

Internet Explorerをお使いの場合など、お問い合わせフォームが表示されない場合は別ページからお問い合わせください。