提供サービスを安心してご利用いただくために取り組んだ脆弱性診断は、社内に気づきと変化をもたらす大きな契機となりました

当社は、店舗経営を支える世界的なインフラを創ることをミッションに、店舗の情報発信や顧客接点の最適化を支援するSaaSプラットフォーム「カンリー」を提供しています。
私が所属するエンジニア本部のプラットフォーム部では、複数のプロダクトを横断的に支援しながら、全社的なのセキュリティ強化を推進しています。

エンタープライズ企業からの導入相談が増える中、セキュリティ対策は避けて通れないと感じていました。そうした中で、お客様から「脆弱性診断を受けているかどうか」を確認される機会が増え、信頼性の高いサービス提供に向けて、第三者による診断の必要性を再認識したことがきっかけです。

社内でもスキャンツールを用いた診断は継続的に行なっていましたが、ツールでは検出が難しい脆弱性も存在することを認識しており、そうした領域をカバーする必要性を感じていました。
一方で、機能開発を優先してきた経緯もあり、セキュリティ対応はどうしても後回しになる傾向がありました。
しかし、顧客基盤の拡大や導入企業の多様化に伴って、より高い信頼性が求められるようになってきたことで、セキュリティを“品質の一部”として捉える意識への転換が必要だと感じていました。

脆弱性診断の実施にあたっては、複数の事業者を比較検討しました。
最終的にCSCのWebアプリケーション脆弱性診断を選んだ理由は、コスト面での優位性と、セッション管理に強みを持つ診断体制でした。

セッションIDの発行や管理に不備や脆弱性があると、ログイン中の利用者のセッションIDが不正に取得され、“なりすまし”アクセスを許してしまうなどの恐れがあります。こうしたセッション管理の脆弱性は、大きなリスクにつながると考えています。
CSCの診断メニューは、このセッション管理に関するチェック項目が特に充実しており、今回も当該パートで得られた指摘や示唆は、実装の見直しに大いに役立ちました。

また、もともと当社では以前よりCSCのAWS WAF自動運用サービス「WafCharm（ワフチャーム）」を導入しており、WafCharmを通じて得ていた誠実な対応の印象が、今回の選定においても安心材料となりました。

診断対象サイトがリニューアル初期段階だったため、進行への影響を懸念していましたが、事前のすり合わせやスケジュール調整もスムーズでした。開発スケジュールに合わせて柔軟かつ迅速にご対応いただけたことが印象的でした。

社内の複数部署との調整が必要な中でも、滞りなく診断が進み、予定していたプロジェクトの進行にも影響を与えることなく完了することができました。丁寧な対応と進行管理のおかげで、初めての第三者診断でも安心して取り組めました。

脆弱性診断を通じて、特にセッション管理など、取り上げられた項目の網羅性や深さには社内でも高い評価がありました。
セキュリティリスクへの理解が深まり、開発段階からリスクを意識した設計・実装を見直す良い契機となり、他プロダクトやチームへのナレッジ共有も進められるようになりました。
また、AWS環境における設定面でも、「こういった部分への対応が必要だ」といった新たな気づきが得られ、大きな収穫となりました。

今回の診断で得た知見は、今後のクラウドインフラ運用におけるセキュリティ強化にも活用していきたいと考えています。

今回、スケジュール面でも柔軟かつ迅速にご対応いただいたことで、プロジェクトの進行に支障をきたすことなく診断を完了することができました。
また、診断前にページ数のカウントを追加費用なしで対応いただけた点や、修正後の再診断が無料で受けられるサポートが含まれていることも、万が一の際の安心感につながりました。こうした柔軟な対応も含め、費用対効果を十分に実感できる取り組みとなりました。
今後は、他プロダクトにも範囲を広げながら、定期的な脆弱性診断を実施していき、さらなるセキュリティ強化を進めたいと考えています。