セキュリティ診断事例インタビュー

上場を機にセキュリティ診断を実施。品質の高さに満足し短期間で計4回の診断を実施しリスクを洗い出した

2015年に創業された株式会社ワンキャリアは「データをテクノロジーによって可視化し、透明性のある社会を創る」をビジョンに、採用DX支援サービス事業を展開しています。

新卒採用支援メディア「ONE CAREER」、中途採用支援メディア「ONE CAREER PLUS」、採用DX推進を支援する人事向けサービス「ONE CAREER CLOUD」など、採用市場を変革するサービスを開発・運用しています。2021年9月2日には東京証券取引所に上場承認され、2021年10月7日にIPO(新規上場)しました。

新卒採用支援メディア「ONE CAREER」とは

image2

新卒入社までの最初のキャリア選択をサポートするサービスです。企業の採用活動に関する45万件を超える就職活動の体験情報を集め、1万社を超える企業のキャリアデータを蓄積しています。新卒領域において、就職活動の情報収集・分析ツールとして多くの学生に支持され、2人に1人以上の学生が利用しています。

「ONE CAREER」の詳細はこちら。 https://www.onecareer.jp/

中途採用支援メディア「ONE CAREER PLUS」とは

「すべてのキャリアをオープンに。」をコンセプトに、キャリアにおけるデータのオープン化を通じて、中長期的なキャリア形成をサポートする転職サービスです。「どこからどこへ転職したのか」「どのような軸で転職をしたのか」などキャリアに関する様々なデータを公開することで、はたらくすべての人が、データをもとに自らキャリア選択ができる世の中を目指します。

「ONE CAREER PLUS」の詳細はこちら。 https://plus.onecareer.jp/

採用DXを推進する「ONE CAREER CLOUD」とは

企業人事向けサービスとして、「キャリアデータプラットフォーム」を活用して採用活動を支援するワンキャリアクラウドシリーズを提供しています。新卒採用支援メディア「ONE CAREER」に会社情報や求人広告を掲載することができる求人掲載機能やオンライン説明会をはじめとした高品質なデジタルコンテンツで採用ブランドをデザインする動画サービス機能、採用活動計画を立案する際に必要なマーケティングデータを提供する採用計画機能を有しています。

今後、採用計画の立案から求職者の募集、選考活動の管理に至るまで、企業の採用活動を通貫して支えるデジタルツールとして提供することで、企業の採用活動のDXを推進することを目指していきます。

「ONE CAREER CLOUD」の詳細はこちら。 https://onecareercloud.jp/

今回Flatt Securityは「ONE CAREER」を対象に、学生向け画面のWebアプリケーション診断(リスクフォーカス型プラン)を実施しました。さらに追加で発注していただき「ONE CAREER」の企業向け画面、「ワンキャリアクラウド」、「ONE CAREER PLUS」計4回の診断を担当させていただきました。

株式会社ワンキャリア様がWebアプリケーション診断を実施した背景や追加で発注していただいた理由を執行役員/CTOの田中晋太朗さんに伺いました。

上場のタイミングで第三者視点によるセキュリティ診断が必要だと判断

Frame 417

執行役員/CTOの田中晋太朗さん

――今回はなぜ、セキュリティ診断が必要になったのでしょうか。

田中晋太朗さん(以下、田中さん):2021年10月に上場すると決まったとき、いい意味でも悪い意味でも、サービスが大きく注目されるだろうと思いました。後者の場合、悪意あるユーザーから攻撃の対象になる可能性があります。想定されるリスクには可能な限り事前に対処したかったので、第三者視点でセキュリティ診断を実施することにしました。

――今まで、セキュリティに対してどのような課題を持っていたのでしょうか。

田中さん:私が入社した3年前は、業務委託のエンジニアが1〜2名在籍しており、正社員は私のみでした。人手が足りなかったため、どうしても目先の開発が最優先となり、セキュリティ対応は後回しになっていました。その後もRuby on Railsで使用しているgemに既知の脆弱性がないかCVE情報と照らし合わせたりなどはしていたのですが、包括的なセキュリティ診断は実施できていませんでした。やりたいとは思っていたのですが、診断を実施したところで、改修工数が大きくて対応できないだろうと思い、実施を見送ってきました。

現在は正社員が5名、業務委託も含めると40名規模の開発組織になり、やっと社内で改修工数を確保できる見込みが立ったのも診断実施の理由の一つです。

田中さんがワンキャリア技術開発部の歩みを振り返るブログはこちら。 https://note.com/dev_onecareer/n/n05dc7fb38b99

――Flatt Security以外の診断会社も検討されたのでしょうか。

田中さん:Flatt Securityを含め、価格表を参考に検討した企業は3社です。ホームページに書かれている診断内容やセキュリティエンジニアの経歴などをチェックして、そのうち2社に見積もりを依頼しました。

何社か検討した中で、Flatt Securityがもっともスピーディーで準備工数も少なかった

――最終的にFlatt Securityを選んでいただいた決め手を教えてください。

田中さん:他社の場合はヒアリング項目が多く、事前準備にかなり時間がかかりそうでした。IPO関連の注目を集める前に対策をある程度終えられることを重視していたため、準備に時間を掛けすぎずに速やかに診断実施に進めることが鍵となりました。

一方で、Flatt Securityさんは問い合わせから提案までがスピーディーかつ、準備工数も少なかったです。また、初めてセキュリティ診断を実施することに配慮いただき、対象サービスの開発画面を一緒に確認しながら「診断対象をどうするか」という、初期段階から話し合うことができました。

社内にセキュリティの専門知識がなく、診断範囲を決めきれない中、打ち合わせの内容をもとに診断対象を絞ったリスクフォーカス型プラン(※)を提案していただいたことも、決め手の一つです。

(※)定められた期間内に可能な限りビジネスリスクの高い脆弱性を探す診断手法。アプリの仕様などを鑑み、より深刻度の高い脆弱性がありそうな箇所から優先付けを行い診断を行ないます。網羅性を求める際には不向きですが、より深刻な脆弱性を見つける上で一般的な診断よりもコストパフォーマンス(時間・費用)が圧倒的に高く、短期間で結果を得ることで次のアクションを策定しやすくなります。

――Flatt Securityを利用するにあたって、懸念点はなかったのでしょうか。

田中さん:アサインされるセキュリティエンジニアの力量は、発注してみないと分からないので少し不安でした。今回はリスクフォーカス型プランということもあり、特に診断の質がどこまで担保されるのか分かりにくいと思いました。しかし、セキュリティエンジニアの方が最初のほうから打ち合わせに同席しており、レベルの高さを垣間見れたので、実際にはそこまで大きな懸念はありませんでした。

報告書が分かりやすく、セキュリティ知識の少ないエンジニアも理解できた

image3

ワンキャリアのオフィス風景

――実際に診断を受けた感想を教えてください。

田中さん:いただいた報告書は「何が問題なのか」「何ができてしまう」「何を対策すればいいのか」などの必要事項がシンプルにまとまっているので、とても分かりやすかったです。

頂いた報告をもとにした対策を進めたのは、1年半前に未経験で弊社に入社したエンジニアとインターン生エンジニアです。彼らは特段のセキュリティに関する専門性を持ち合わせているわけではないですが、私の補足もほとんどない状態で報告書の内容を理解することができました。おかげで、脆弱性診断の実施から対策完了まで非常にスムーズに進めることができました。

先ほど、セキュリティ診断は対応工数が大きいと思っていたから実施できていなかったという話をしましたが、ここまで報告書がわかりやすく対応工数が少ないのであればもっと早く実施できたなと思いました。かなり満足度の高い報告書です。

――1度目のセキュリティ診断実施後、追加で発注していただいた背景を教えてください。

田中さん:タイトなスケジュールの中、短期間で優先度の高い部分を重点的に診断していただき、想像以上の結果が得られたからです。自分たちでこれらの診断をしたら、きっと途方もない時間がかかっていたと思います。

技術面だけでなく報告書の内容も申し分なかったので、追加で3回分、発注させていただきました。Flatt Securityさんなら安心して任せられると思い、2回目以降の診断範囲も、リスクフォーカス型プランにしました。

――今後、Flatt Securityについて期待することや要望することなどあれば教えてください。

田中さん:今回は複数回・複数のプロダクトの診断をFlatt Securityさんにご依頼させていただいたのですが、弊社の開発環境や体制面に配慮いただきながら丁寧なご提案をいただけたので大変助かりました。

個社に寄り添った姿勢やその後の対策までのサポートも手厚く、今後もこのような高品質なサービスを続けていただけることを期待したいです。ワンキャリアではセキュリティへの取組の一環として今後も定期的に第三者によるセキュリティ診断等の実施をしていく予定ですが、次回以降もぜひお取り組みを検討させていただければと思っています。

Internet Explorerをお使いの場合など、お問い合わせフォームが表示されない場合は別ページからお問い合わせください。