セキュリティ診断事例インタビュー
株式会社教育測定研究所(JIEM)は、東証一部上場のEduLab(エデュラボ)のグループ会社です。教育分野における教育測定技術(テスティング)の研究開発や、その成果である正しいテスト法の流布・流通を通して、「英検Jr.」「TEAP CBT」「CASEC」など、多くの教育系事業を展開しています。
また、教育機関などに向けて、システム・コンテンツ開発の受託やテスト分析・コンサルティングサービスなども提供しています。
JIEMは2021年6月に、総合学習支援の窓口プラットフォーム「スタギア」をリリースしました。スタギアは「受験」「学習」「情報」の3つのサービスが連携して学習者を支援し、進学の可能性を最大限に広げる総合学習支援プラットフォームです。AIを活用することで、それぞれの学習者に適した学習サービスや入試関連情報などをリコメンドし、より多くの学習者に、安価で質の高い学習機会を提供します。
総合学習支援の窓口プラットフォーム「スタギア」 https://studygear.evidus.com/
今回、Flatt Securityは「スタギア」のAWS・GCP・Azure診断(Amazon Cognitoの診断もオプションとして追加)を担当しました。セキュリティ診断の感想や診断依頼に至った背景を、システム本部運用部インフラグループ グループ長の渡邊裕太様に聞きました。
※以下Amazon CognitoはCognitoと表記します。
渡邊裕太(以下、渡邉さん):TwitterでFlatt Securityさんの技術ブログ「AWS 診断を事例としたクラウドセキュリティ。サーバーレス環境の不備や見落としがちな Cognito の穴による危険性」を見かけたことがきっかけです。Cognitoを用いた認証まわりのセキュリティについて詳しく書いてあったので興味を持ちました。というのも「スタギア」ではCognitoを採用しており、その部分も含めたセキュリティ診断の実施を検討していたんです。
今までほかの診断会社でパブリッククラウドを対象にした診断を受けたことはありましたが、AWSを診断するメニューであっても対象にCognitoまで書いてあるところはあまり見当たりませんでした。御社のブログはCognito利用時のリスクについてきちんと理解している人が書いていると感じたので、問い合わせさせていただきました。
渡邉さん:ブログに書かれていた内容が信頼できたので、不安はありませんでしたね。 特に良かったのが、Cognito利用時のセキュリティに関してどのようにチェックしていくか細かく書かれていたことです。今まで関わってきた診断会社の中で、セキュリティ診断の診断内容について詳しく公開しているところはあまりありませんでした。秘伝のタレというか、他社に知られたくないことだと思うんです。
一方で今回のブログには、Cognitoの不適切な利用への攻撃手法やその対策について詳しく書いてありました。依頼する側としては、診断内容のイメージが湧き、大変参考になりました。当初はAWSに対する診断への予算は正式に立てていなかったのですが、ブログを通じて診断の重要性も十分に理解することができましたし、予算は正式に立てていなかったのですが、ブログを通じて診断の重要性も十分に理解することができたので、予算外でも社内の承認を得ました。
渡邉さん:診断プランを提案していただいた点もありがたかったです。もともとCognitoはAWS・GCP・Azure診断の通常のホワイトボックス診断プランには含まれていないとのことでしたが、こちらの意図を汲み取ってオプションで追加していただき、必要としていた箇所の診断を依頼することができました。
渡邉さん:診断内容に関しては、不安に思うような脆弱性が見つからなくてホッとしました。社内にはCognitoのナレッジが十分にはなかったので、Flatt Securityさんに依頼して本当に良かったです。
また、報告書の内容がとてもわかりやすかったです。報告書はエンジニアだけでなく、企画側(PM)に共有することもあります。これまでそういった場合は内容を理解してもらうのに少々苦労したのですが、今回いただいた報告書は小難しい表現はなく、エンジニア以外の人でも理解できるユーザーフレンドリーな内容でした。
コミュニケーション面でも特に問題はありませんでしたね。これまで他社の診断ではテンプレート化されたヒアリングシートやQ&Aシートの提出を求められ、そこに大きな工数がかかってしまったことがありました。しかしFlatt Securityさんは煩雑なやり取りはなく必要最低限な資料のやり取りのみだったので、スムーズに進められて、リリースにも間に合わせることができました。
渡邉さん:開発工程に組み込めるようなセキュリティチェックツールがあるとうれしいですね。AWS Security Hubでログは取れているのですが、使いこなせていないのが実情です。セキュリティ診断だけでなくチェックツールも並行することで、サイバー攻撃への耐性を強化できるのではと期待しています。
Internet Explorerをお使いの場合など、お問い合わせフォームが表示されない場合は別ページからお問い合わせください。