普段から高いレベルでセキュリティを実践するPCI DSS取得企業としても、満足できる体験の診断だった

セキュリティ診断事例インタビュー

2019年に設立された株式会社スマートバンクは、2021年より家計簿アプリ「B/43（ビーヨンサン）」の開発・提供をするFinTech企業です。スマートバンク代表の堀井翔太氏は、後に楽天株式会社（当時）に買収され、「ラクマ」と統合されたフリマアプリ「フリル」を開発した株式会社Fablicの設立者です。2021年7月、スマートバンクは2020年に10億円の資金調達を実施したことを発表しました。

家計簿アプリ「B/43（ビーヨンサン）」とは

「B/43」は、Visaプリペイドカードと家計簿アプリがセットになった支出管理サービスです。毎月の予算をカードにチャージして日々の支払いをすることで、自動で記録され、見える化されるので、手軽に支出管理を継続することができます。

また、ポケットというサブ口座に目的別のお金を分けておくだけの「ポケット家計管理」でより、ズボラに支出管理をすることもできます。

「B/43」の詳細はこちら。 https://b43.jp/

今回、Flatt Securityは「B/43」のAPI診断、スマートフォンアプリ診断、プラットフォーム診断を担当しました。セキュリティ診断の感想や診断依頼に至った背景をエンジニアの三谷昌平さんに聞きました。

金融機関と接続される部分は高いセキュリティ基準が要求されるので、個別で診断を実施することに

一番右がエンジニアの三谷昌平さん

――なぜ今回、セキュリティ診断が必要になったのでしょうか。

三谷昌平さん（以下、三谷さん）：「B/43」の入金手段を増やすための機能開発では、他社と連携することがあります。取引先には金融機関などもあり、当然ながら厳しいセキュリティ基準を課せられるため、機能導入前にセキュリティ診断を実施する必要がありました。

我々は「PCI DSS」（※）を取得していますが、取得時の監査機関に相談して診断内容を検討しました。

※編集注：「PCI DSS」とは、加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。 Payment Card Industry Data Security Standardの頭文字をとったもので、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって運用、管理されています。

「日本カード情報セキュリティ協議会」より https://www.jcdsc.org/pci_dss.php

――今まで、セキュリティに対してどのような取り組みをしていたのでしょうか。

三谷さん：PCIDSSを取得するために、別の診断会社に診断を依頼したことはあります。その他、CIにツールを組み込んで日常的なチェックも実施しています。

FinTechサービスということもあり、前提として、開発者のセキュアコーディングへの意識は高いです。ひと通りの知識があり、かつ独学で勉強もしています。

私自身も、大企業に所属していた時は社内のセキュリティエンジニアにプロダクトのセキュリティ診断を依頼する業務を担当していたため、セキュリティの基礎知識はあります。

仕様等が書かれたNotionを共有するだけで見積もりが完了したのは、過去の準備が大変だった他社の診断とは別の体験だった

スマートバンクのオフィス風景

――Flatt Security以外の診断会社も検討されたのでしょうか。

三谷さん：知り合いの企業を含め、4～5社に見積もりを取りました。

――最終的にFlatt Securityを選んでいただいた決め手を教えてください。

三谷さん：金額面での折り合いがついたことが大きかったです。また、打ち合わせの初期段階で詳細な診断項目表を見せていただき、どのような診断ができるのかを丁寧に説明していただいたのも決め手のひとつでした。

――実際に診断を受けた感想を教えてください。

三谷さん：スマートバンク入社以前に、他社でセキュリティ診断を実施したときは、与えられたフォーマットに合わせてAPIの仕様書を用意するなど、事前の準備に1〜2週間かかって大変だったことがありました。今回は、仕様などが書かれたNotionのPDFを提供しただけで見積もりが完了したので、こちらの負担が最大限少なくなるよう考慮していただいたのだと思いました。スケジュールも厳守していただいたので、結果には満足しています。