セキュリティ診断事例インタビュー

オンライン生体認証を金融業界に提供する企業が選択したセキュリティ診断サービスとは?
本記事はITmedia様に当社のセキュリティ診断について取材していただいた文章を、サービス名の表記などの細部を除いて改変を加えずそのまま掲載しております。

近年のシステム開発では、かつて一般的だったウォーターフォール型でなく、アジャイル開発手法を採用するケースが増えてきている。アジャイル開発は仕様変更や機能追加を頻繁に行えるため、ビジネス環境の変化やユーザーのニーズを見極めつつ改良し続けていくようなシステムに効果的だ。 しかし一方で、アジャイル開発ならではの頻繁なリリースがもたらす課題もある。その1つがセキュリティの維持だ。あるオンラインサービスにおける事例から、その課題と対策について見ていこう。

セキュリティ診断事例インタビュー 株式会社Liquid様

今回診断を実施された企業様

株式会社Liquid

https://liquidinc.asia/

生体認証技術による本人確認サービス提供に向けアジャイル開発とセキュリティの両立が課題に

2013年12月に設立された株式会社Liquidは、「1IDで世界と繋がる」というビジョンを掲げ、生体認証エンジンの研究・開発などを手掛けるベンチャーだ。 「生体情報のインデックス化」「深層学習による高速検索」「独自開発の生体真贋判定システム」といったコア技術を軸として、「本人であることが本人を証明する手段になるという当たり前の世界」をつくることを目指している。 同社が2019年7月から提供しているのが、「LIQUID eKYC」というオンライン本人確認サービスだ。2018年11月30日付けで施行された犯罪収益移転防止法施行規則では、銀行口座開設などの際に必要な本人確認をオンラインで完結することが可能となった。 これまで、本人確認の手続きには必要書類を郵送するなどの必要があったが、オンラインで完結できれば業務効率化やコスト削減、そして手続き完了までの大幅なスピードアップが期待できる。 このオンラインで完結する本人確認手続方法やそれを可能にするシステムが、「eKYC」(electronic Know Your Customer)と呼ばれるものだ。LIQUID eKYC は、Liquidが持つコア技術をベースにASPサービスとして構築されており、顔画像照合や真贋確認を高い精度で実現、導入も容易といった特長を持つ。

Liquid eKYCのサービス概要

「LIQUID eKYCは、すでに銀行や証券会社など多くの事業者にご採用いただいており、その多くが金融系です。なお、法的要件に基づき照合済みデータ等を保存する必要がありますし、事業者と合意の上でそれらのデータを技術向上のため活用しています。そのため、本サービスには通常より高いセキュリティを実現しなければなりません」と、Liquid事業推進部セキュリティマネージャーの吉原和男氏は説明する。 一方、このLIQUID eKYCのシステムはアジャイル開発手法で構築されている。テクノロジーの進歩が著しく、ビジネス環境が変化する可能性も考えられるため、アジャイル開発のスピード感が適しているのは間違いないだろう。とはいえサービス提供に向けては、要求される高い水準のセキュリティと、アジャイル開発手法との両立が課題となった。 「金融機関にも使っていただくサービスですから、セキュリティ診断は欠かせません。APIを1つ追加するにも、そこにセキュリティの穴があっては困りますから。LIQUID eKYCには、アジャイル開発に特有の小規模な追加にも対応でき、かつ金融系ユーザーの信頼に足るセキュリティ品質を実現できるようなセキュリティ診断サービスが不可欠なのです」(吉原氏)

優秀なエンジニアによる高品質のセキュリティ診断を柔軟に提供するFlatt Security

Liquidが以前から利用していたセキュリティ診断サービスでは、同社が期待する小規模なセキュリティ診断には対応が難しいといわれ、アジャイル開発にも対応できそうで、かつ高水準の診断サービスを探し求めた。そうして辿り着いたのは、Webアプリケーションやモバイルアプリケーションのセキュリティ診断などを手掛ける、東京大学発のサイバーセキュリティ企業、Flatt Securityのサービスだ。 「セキュリティ診断では、診断ツールだけでなく、担当するセキュリティエンジニアの力量によって結果が大きく左右されます。Flatt Securityは、非常にレベルの高いエンジニアが在籍しており、高品質な診断が期待できると判断しました。実際に他の診断サービスと比較してみると、その差は歴然でしたね。また、料金体系も分かりやすく適切な範囲で、細かな仕様変更を行ったときなどの小規模な診断ニーズにも、柔軟に対応してもらえます。こうした柔軟な対応は、他のサービスではほとんどみられません」と、吉原氏は評価している。 Flatt Securityは、競合に比べると組織の規模こそ小さいが、それゆえに柔軟性も高く、Liquidのように小規模なセキュリティ診断を必要とするニーズにも対応が可能だ。例えば、ある期間分の診断枠を事前にまとめ買いし、システムの更新分を都度気軽に診断できる「チケットシステム」という料金体系も提供している。またFlatt Securityではエンジニアのリクルーティングにも独特の工夫がある。 CTFなどコンテストで好成績を残すような、優れたセンスや地頭を持つ若手と、経験豊富なベテランの両方を採用し、それぞれの長所を組み合わせることによって高い品質を実現しているとのことだ。 こういった評価に基づきLiquidはFlatt Securityのセキュリティ診断サービスを採用、LIQUID eKYCのサービス開始前からセキュリティ品質向上に寄与している。 吉原氏は「診断は期待通り非常にスムーズで、レポートも非常に高い品質の内容です。今後も、現在のような高い品質のサービスで支援していただき、総合的なセキュリティレベル向上を図りたいと考えています。さらには、開発のヒントになるような情報の提供や最新トレンドとなっているセキュリティ診断なども受けられればうれしいですね」と語るなど、今後のFlatt Securityにも期待を寄せている。


負けられない挑戦に、確かなセキュリティを。

Flatt SecurityではWebアプリケーション・スマートフォンアプリケーション・スマートフォンゲーム・プラットフォーム・IoTに関するセキュリティ診断サービスとペネトレーションテストを提供しております。 ご興味のある方はお問い合わせフォームよりお気軽にご連絡ください。