企業概要
従来は富裕層向けとされていた資産運用を、テクノロジーの活用によって広く一般に開かれたサービスとして提供するFinTech企業。NISAに対応した10万円※1から始められるロボアドバイザーによる資産運用サービス THEO [テオ]をはじめ、THEOと同じ資産運用のプロが監修した投資信託で老後の資産形成を行うことができる個人型確定拠出型年金iDeCoサービス、THEOのiDeCo MYDC [マイディーシー] など高品質で付加価値の高い資産運用サービスを展開している。
※1 THEO [テオ]の最低投資金額は10万円、THEO+ [プラス]の最低投資金額は1万円。
事業開発部 プロダクト開発担当部長 兼 保守開発グループ長
徳竹 聡 氏
- 新機能のリリースに伴い、Web申し込みからマイページに至る全体のセキュリティ状態を改めて見直す必要があった。
- 過去に依頼していた脆弱性診断ベンダーの継続利用が最適かを見極めるため、診断体制そのものを見直す必要があった。
- 不正アクセスの増加を背景に、第三者視点でのセキュリティ評価と、社内説明に活用できる客観的な根拠が求められていた。
- クリティカルな脆弱性がないことを第三者の立場から確認できたことで、経営層を含めた社内全体の安心感につながった。
- 軽微な脆弱性に対しても、優先度や対応方針が整理され、今後の改修計画に有効な示唆を得ることができた。
- 柔軟なスケジュール対応と適正な費用感により、将来的な診断体制の整備に向けた前向きな検討がしやすくなった。
外部評価による信頼性の担保が重要であると感じていました
はじめに、御社の事業について教えてください。
当社は、これまでの富裕層に限られていた高度な資産運用を、テクノロジーの力で誰もが利用できるサービスへと転換しました。2016年にTHEOをリリースして以来、約13万人※2のお客様にご利用いただき、現在は運用資産額2,660億円※2にまで成長しています。サービスの開発・運用は社内の開発部門が担っており、私がその責任者として日々の運用保守や新機能の開発を行っています。
※2 2025年1月末時点の数値(金額は万円、人数は万人以下を四捨五入)
脆弱性診断を実施したきっかけをお聞かせください。
2025年3月に、NISA制度の税制メリットを活かした新機能「NISA調整機能」のリリースを予定していました。これを機に、Web申し込みからマイページに至るまで、サービス全体のセキュリティ状況を改めて確認する必要があると考え、脆弱性診断の実施を決定しました。併せて、これまで利用していた診断体制が最適かどうかを見直すため、業者選定も一から行いました。
実施前に感じていたセキュリティ課題について教えてください。
以前にも他社に脆弱性診断を依頼したことはありましたが、それが本当に自社にとって最適だったのかは判断しきれず、いったん立ち止まってゼロベースで見直してみようという考えに至りました。サービスや環境の変化に合わせて、体制もアップデートする必要性を感じていたのです。
また、社内にも一定のチェック体制は整えていますが、やはり専門的な第三者の視点による評価は不可欠だと考えていました。特に近年は不正アクセスの被害が増加しており、顧客の資産を預かる企業として、外部評価による信頼性の担保がより一層重要であると再認識していました。
診断結果は、サービス継続に向けた安心材料となっただけでなく、今後の改善を進めるための後押しにもなりました
サイバーセキュリティクラウド(以下、CSC)の脆弱性診断を選んだ決め手は何でしょう?
ツール診断だけでなく、専門家による手動診断を組み合わせた「ハイブリッド診断」に大きな魅力を感じました。単にツールで自動的に検出された脆弱性を報告するだけでなく、専門家の視点でシステム全体を客観的に評価していただける点に、非常に大きな安心感がありました。
自社でのセルフチェックやツール診断には限界があると認識していたため、第三者の判断が加わることで、社内への説明にも説得力を持たせられると考えました。
また、費用面も重要な検討ポイントでした。当社ではさまざまな施策を同時並行で進めており、限られた予算の中で最適な選択を迫られていました。CSCの脆弱性診断サービスは、無理なく導入できる価格帯で社内の承認も得やすい金額感だったことが、決め手の一つとなりました。複数社を比較検討した中でも、価格とサービス内容のバランスにおいて、CSCの提案が最も納得感のあるものでした。
さらに、説明時の対応や情報提供の丁寧さも印象に残っています。こちらの懸念や状況をしっかりとくみ取ったうえでの提案だったため、導入後のサポートも含めて信頼できると感じました。
CSCの脆弱性診断を受けた感想をお聞かせください。
期末で非常に慌ただしいタイミングだったにもかかわらず、CSCの皆さまには当社のスケジュール感を汲み取って柔軟にご対応いただき、速報・正式報告ともに予定どおり納品していただきました。こちらの都合でタイトになったスケジュールにも、丁寧かつスピーディーに対応していただいたおかげで、社内報告や対応方針の決定もスムーズに進めることができました。
また、単なる指摘にとどまらず、「こう直すとより良くなる」といったプラスアルファの提案も含まれており、今後の改善に向けたヒントとして非常に参考になりました。再診断についても、事前に「無料で対応可能」と案内いただいていたため、今後の対応を進めるうえでの安心材料になっています。
脆弱性診断の実施によって得られた成果はありますか?
クリティカルな脆弱性がなかったことは、大きな安心材料となりました。社内でも「問題があるかもしれない」と懸念していた箇所について、第三者の視点で「重大なリスクは見受けられない」と評価されたことは、サービスを継続提供するうえでの自信につながりました。
一方で、軽微ではあるものの改善余地のある項目がいくつか指摘され、それらについては今後の優先順位付けや改修スケジュールの設計における具体的な判断材料として活用できています。
また、今回の診断で触れられた項目の中には、社内でも以前から改善の必要性を感じていた部分も含まれており、外部の視点から改めて指摘を受けたことで、社内的にも改修の必要性が認識され、具体的な対応計画を進める後押しにもなりました。
今後の展望をお聞かせください。
今後は、定期的に脆弱性診断を実施する体制を整えていきたいと考えています。特に大きな機能リリース前には診断を必ず実施し、サービスの安全性と信頼性を担保することをルール化して定着させていきたいと考えています。
また、今後はWebアプリケーションにとどまらず、AWSなどのクラウドプラットフォームに対する診断についても検討していく予定です。
脆弱性診断サービスを検討されている企業のご担当者様へひとことお願いします。
脆弱性診断サービスはさまざまな会社が提供していますが、その中から自社に合ったものを見つけるのは決して簡単ではないと感じています。価格や知名度といった表面的な要素だけで判断するのではなく、サービスの規模感や運用体制に本当にフィットするかどうかを軸に、複数社を比較・検討することが重要だと実感しました。
単純な価格差だけでなく、「その金額に対してどこまでの価値が得られるか」という観点も含めて比較することで、自社にとって本当に納得できる選択肢が見えてくると思います。ぜひ視野を広げて検討してみることをおすすめします。