セキュリティ診断事例インタビュー

課題を感じていたAWSもスマホアプリと合わせて診断を実施。膨大な設定項目を専門家のノウハウでセキュアに

タメニー株式会社様は2006年に創業し、「あなたと一緒に1年以内の結婚を目指す婚活支援のエージェントです」をコンセプトに、結婚情報サービス事業を展開。2015年10月に東京証券取引所マザーズ市場に株式を上場しました。現在は成婚コンシェルジュサービスの運営をする婚活事業やアプリ完結型の結婚相談所「スマ婚縁結び」、結婚式の適正価格を追求した「スマ婚」を運営するウェディング事業などを展開しています。

今回、Flatt Securityは「スマ婚縁結び」の

  • スマートフォンアプリケーション診断
  • 一部機能のホワイトボックス診断
  • クラウドプラットフォーム診断(AWS)

を担当させていただきました。

アプリ完結型の結婚相談所「スマ婚縁結び」

image1

「スマ婚縁結び」は結婚相談所のサービスと業界屈指のマッチングプールを活用したアプリ完結型の結婚相談所です。 同社が運営する婚活事業者間の会員相互紹介プラットフォーム「CONNECT-ship」の登録会員3万人の検索と婚活コンシェルジュのオンライン活動サポートによって、お見合いの機会をつくり、成婚を実現します。

「スマ婚縁結び」の詳細はこちら https://smakon-enmusubi.com

タメニー株式会社様がFlatt Securityのセキュリティ診断を利用するに至った経緯と診断を受けた感想をコーポレート本部 ネットビジネス推進部 ネットプロダクトグループ Developmentチームの兼子泰徳さん、エンジニアのイスハグ・オマールさんに伺いました。

社内に知見のないAWSのセキュリティに課題に感じていた

image5

左上:Flatt Securityの橋本、右上:タメニー株式会社の兼子さん、右下:タメニー株式会社のオマールさん、Flatt Securityの齋藤

――セキュリティ診断が必要になった経緯を教えてください。

兼子さん:サービスローンチ前の開発メンバーが機能追加に集中しているときこそ、外部によるセキュリティ診断が必要だと判断したからです。弊社は結婚や婚活など業界の特性上センシティブな情報を扱っていることもあり、危機管理の優先度は高いです。必要なセキュリティ診断なら、予算を割いてでもお願いする予定でした。また、エンジニアの採用基準にも、セキュリティ意識・能力の高さを含めています。

「スマ婚縁結び」に関しては、事業の部長がセキュリティ診断の経験がありその重要度を理解していたこともあり、セキュリティに対する優先度は特に高めでした。

――Flatt Security以外の診断会社にもご相談されたとのことですが、最終的に弊社を選んだ決め手は何だったのでしょうか。

兼子さん:セキュリティ診断の方向性を早くから提示していただいた点です。というのも、弊社がセキュリティ診断を内部で行うのではなく、第三者機関に依頼するのは今回が初めてでした。だからまだ売り上げの立っていない新規事業にどれくらい予算を組めばいいのか、見当がついていなかったんです。

複数の診断会社に問い合わせをしたところ、他の会社は低価格で提案してくれましたが、内容については「(エンジニアによる手動診断が含まれない)自動テストしかやらないのかな?」といった疑問はこちらから問い合わせないといけないなどと提供いただく情報量について不安に感じました。そのようななか、予算を松竹梅の3パターンとメリット・デメリット含めた内容を提示してくれたのはFlatt Securityさんだけでした。さらに、「どのような診断をすべきか」の議論を主体的に進め、診断対象の範囲も必要に合わせてカスタマイズして提案していただけたのもありがたかったです。

ーーカスタマイズした内容はどのような点を評価していただけたのでしょうか。

兼子さん:課題になっていたAWSの診断も盛り込んでいただいた点です。

AWSの構築はもともと、エンジニアメンバーの間でレビューしながら進めていました。しかし設定項目が膨大なため、エンティティの権限昇格といったノウハウがなければ気づかないような部分まではカバーしきれていませんでした。

Flatt Securityさんは打ち合わせの序盤からセキュリティエンジニアの方も同席していただき、具体的な診断内容の例を交えながらAWS診断のご提案をいただけたので、信頼できるチームだなと感じ「ぜひお願いできたら」と依頼するにいたりました。

解決方法やリファレンスも丁寧に記載され、優先度がわかりやすい報告書

image3

タメニー株式会社の兼子さん

――実際に、Flatt Securityのセキュリティ診断を受けた感想を教えてください。

兼子さん:懸念していたAWS診断については、私たちの実装でも直接脆弱性につながるものがなかったということがわかり安心できました。それに加えていただいた指摘事項に対応することで、もし壁を一つ突破されたとしても重大な情報は守れる二重、三重の安全性を持った設計ができたと思います。

また、報告書の内容が作り込まれていてとてもわかりやすかったです。危険度だけでなく、データの損失を防ぐためのベストプラクティスや参考リンクなどのリファレンスに加えて、Flatt Securityさんならではのご説明も丁寧に記載されてたので、優先度を管理しスムーズに修正作業を進めることが出来ました。

――今後、セキュリティに対してどのような取り組みをしていく予定ですか?

オマールさん:ユーザー数が増えるにつれて攻撃者の目に晒される可能性が増えるため、セキュリティリスクも高まります。だから今回だけでなく、今後も定期的にセキュリティ診断は実施していきたいと思っています。徹底的なホワイトボックス診断をはじめ、より高度な診断を受けられるように、サービスを大きくし売り上げを伸ばせるようがんばっていきたいですね。

今後は設計段階からセキュリティの伴走をしてもらいたい

image4

タメニー株式会社のオマールさん

――ありがとうございます!最後に、Flatt Securityに期待することがあれば教えてください。

オマールさん:診断に限らない継続的な取り組みについてご相談できたらと思います。今後、新しい機能を追加する際につい意識が向くのはユーザー体験で、セキュリティは2番手、3番手になりがちです。

そうならずに開発をスピーディーに進めるためにも、設計の段階でセキュリティについて伴走してもらえる取り組みができたら嬉しいです。

  • シェア
  • このエントリーをはてなブックマークに追加
    • セキュリティ診断サービス詳細はこちら
    全ての事例を見る

    Internet Explorerをお使いの場合など、お問い合わせフォームが表示されない場合は別ページからお問い合わせください。

    会社情報

    会社概要採用情報ニュース技術ブログ#FlattSecurityMagazine脆弱性リサーチプロジェクト

    サービス紹介

    Shisho Cloud(シショウ クラウド)KENRO(ケンロー)

    お問い合わせ

    お問い合わせフォーム採用お問い合わせフォームプライバシーポリシー