セキュリティ診断事例インタビュー

セキュリティベンダー出身のエンジニア目線でも信頼できる技術力。円滑なコミュニケーションと柔軟な診断プランの対応も決め手に

STORES 株式会社(旧ヘイ株式会社)は、2018年に設立されました。「Just for Fun」をミッションに掲げ、ネットショップ開設、POSレジ、キャッシュレス決済、オンライン予約システム、店舗アプリ作成など、お店のデジタル化を支援する「STORES」ブランドの展開を通じて、誰もがこだわりをもっと自由に発揮できる社会を目指しています。

オンライン予約システム「STORES 予約」とは

stores reserve img

「STORES 予約」は、無料ではじめられるオンライン予約システムです。ネット予約・決済はもちろん、回数券月謝や顧客管理などを一気通貫して提供しており、専門知識がなくてもかんたんに予約管理がはじめられるサービスとなっています。

「STORES 予約」の詳細はこちら。 https://stores.jp/reserve

今回Flatt Securityは「STORES 予約」を対象に、Webアプリケーション診断を実施しました。

STORES 様がセキュリティ診断を利用した経緯と感想をセキュリティ本部の横山昌事さんにお伺いしました。

機密性の高い情報を扱うサービスなので、よりセキュアな開発のために実績あるベンダーによる診断を検討していた

stores yokoyama-san

セキュリティ本部の横山昌事さん

――まず最初に、Flatt Securityを知っていただいた経緯を教えてください。

横山昌事さん(以下、横山さん):私個人としては、過去にセキュリティベンダーに勤めていたこともありFlatt Securityさんのことは存じていましたし、一読者として御社の技術ブログなどは楽しく読ませていただいていました。

特に印象に残っているのは開発者が知っておきたい「XSSの発生原理以外」の話Webサービスの認可制御の不備によって起こる仕様の脆弱性と対策の二つですね。

XSSについての記事はセキュリティエンジニアとして共感できるものでした。セキュリティエンジニアはXSSによるリスクを十分に把握していますが、開発者が皆そうであるわけではないので、開発者にとってわかりやすい記事になっていると思いました。弊社の社内勉強会でも参照させていただいていますよ(笑)。

また、認可制御の記事は、実際にどこまでFlatt Securityさんが診断されているのかという普通知りえない内容まで触れられているので大変面白かったです。

――セキュリティ診断が必要になったきっかけを教えてください。

横山さん:サービスを展開していく上で、オーナー様や利用者様の個人情報などの機密性の高い情報を取り扱うため、情報漏えいなどのインシデントが発生しないよう厳格に管理する必要があると考えています。

弊社には自分のようなセキュリティエンジニアが在籍しており、これまでも定期的な診断は社内で実施してきました。

ですが、よりセキュアなサービスを提供していくために第三者の異なる視点も取り入れたく、実績あるセキュリティベンダーさんに診断を依頼しようかと検討していました。

――これまでの内部的な定期診断はどのような頻度で実施されてきたのでしょうか。

横山さん:定期診断は年に一回、すべての動的リクエストに対して実施し、新規機能のリリース前にも別で診断を実施しています。実施内容はいわゆるWebアプリケーション診断とプラットフォーム診断です。

ブログから伝わる高い技術力と診断プランの柔軟な対応が決め手に

――最終的にFlatt Securityを選んでいただいた決め手があれば教えてください。

横山さん:以前から技術ブログを拝見していたこともあり、技術力に関しては信頼感がありましたが、加えてコミュニケーションのスムーズさが決め手になりました。

お問い合わせの段階でもヒアリングが丁寧で対応も迅速だったので、実際に診断を依頼するときに円滑なコミュニケーションが取れそうだなという期待を持てました。

また、細かな要望にも柔軟に対応をしていただきました。

機能豊富なサービスにもかかわらず質疑が少なく、工数を削減できた

――実際にセキュリティ診断を実施した感想を教えてください。

横山さん:コミュニケーションに関しては、診断を依頼する前から期待していた通り、Slackで共有チャンネルを作っていただけたり一切ストレスなくやり取りができたのが良かったです。

また「STORES 予約」は様々な機能を提供しているため、機能仕様や利用方法などの点で質疑があるかと想定していましたが、さすが技術力のあるエンジニアの方だからか、そういった工数がかからずに診断をできたのはありがたかったです。

報告書もとても読みやすい仕様になっているなと感じました。

指摘事項に対して「深刻度」だけではなく「攻撃成立の可能性」についても評価している点がわかりやすかったです。開発チームに共有する時に参考になります。

また、診断結果はGitHubでIssue化して管理しているため、PDFに加えてコピー&ペーストが容易なMarkdown形式でも提出していただけるのはありがたかったです。

――既に次回のスマートフォンアプリ診断のお話をいただいておりますが、今後、Flatt Securityについて期待することや要望することなどあれば教えてください。

横山さん:今回「STORES 予約」のWebアプリケーション診断をしていただいたので、サービスの特徴や機能をご理解していただいていると思います。その上で網羅的に客観性をもって診断をお願いしたいです。

  • シェア
  • このエントリーをはてなブックマークに追加
    • セキュリティ診断サービス詳細はこちら
    全ての事例を見る

    Internet Explorerをお使いの場合など、お問い合わせフォームが表示されない場合は別ページからお問い合わせください。

    会社情報

    会社概要採用情報ニュース技術ブログ#FlattSecurityMagazine脆弱性リサーチプロジェクト

    サービス紹介

    Shisho Cloud(シショウ クラウド)KENRO(ケンロー)

    お問い合わせ

    お問い合わせフォーム採用お問い合わせフォームプライバシーポリシー