脆弱性診断サービス導入事例『株式会社ニッセンホールディングス』様

他社のセキュリティ事故を知り、これまでの脆弱性診断に不安をもちました

いつから脆弱性診断の取り組みをはじめて、どのような診断をしていたのでしょうか？

弊社のECサイトが立ち上がったのは2000年末で、診断をはじめたのは2005年ぐらいです。あのころはまだツールの診断はなく、恐らく当時依頼していたベンダーに手動で診断していただいていたと思います。 SQLインジェクションやクロスサイトスクリプティングなどが流行り出した時期だったので、そこをメインに診断してもらっていたはずです。あとは「このバージョンまで入れないとだめですよ」「パッチ当てないといけないですよ」というような問診のようなかたちでした。それほど予算もなかったので、予算をいくらか決めた状態で、可能な範囲で依頼をしていたのですが、そこからセキュリティへの意識が大きく変わったのは、某社でSQLインジェクション事件があったころです。弊社サイトも「本当に大丈夫なのかな」と思い、改めて診断の方法や依頼先のベンダーを再検討しました。

コストが安いだけじゃない。「品質」も高く、そのパフォーマンスにとても満足しています。

2016年よりSHIFT SECURITYに診断を依頼いただいておりますが、どういったポイントで依頼先を変更されたのでしょうか。

依頼先を変更しようと思った理由は、ずっと同じベンダー１社で診断を行っていたからでした。途中から診断結果が「問題なし、問題なし」とつづいており、本当に大丈夫なのかなという不安が募り、新たにSHIFT SECURITYさんにお願いした経緯があります。

当時SHIFT SECURITYは設立まもない会社でしたが、依頼することに不安はありませんでしたか？

セキュリティの技術は歴史のある会社だから優れているというわけではありません。最初、SHIFT SECURITYさんにご提案いただいたときに、どういう診断方法で何をするのかお伺いしました。特にツールで診断した後、手動でどうやって診断していくのか詳細にお聞きした記憶があります。そのなかで、当時依頼していたベンダーと比べて、診断方法や診断後のサポートなどが優れていると判断して依頼したため、会社の規模や歴史などは気にしませんでした。

実際にSHIFT SECURITYに依頼して他社との違いはありましたか？

以前のベンダーの脆弱性診断は、「こういうことが起こりました」という報告のみで終わっており、診断内容を教えてもらえず、「こういう施策をうちましょう」などの指南はもちろんありませんでした。 SHIFT SECURITYさんは脆弱性の指摘に加えて、改善方法まで教えてくださり、大変助かっています。加えて、ほかのベンダーのときは、スケジュール通りにしか診断してもらえず、それが当たり前だと思っていました。しかし、SHIFT SECURITYさんは「診断の予定を少し早められますよ」など柔軟に対応してくれ、それは大きな付加価値だと感じています。

特にSHIFT SECURITYに満足しているところはどこですか？

優れたコストパフォーマンスです。他のベンダーは人手不足もあり、価格が高騰しています。しかし、SHIFT SECURITYさんの場合、診断員が豊富にいらっしゃるので安定していますし、コストが安いだけじゃない。「品質」も高く、そのパフォーマンスにとても満足しています。

脆弱性だけにとどまらず、いっしょに強固なセキュリティを実現していけることを期待しています。

今後、SHIFT SECURITYに期待してることをお聞かせください

弊社では、個人情報を保持した通販サイトを多く運営していることもあり、今後もセキュリティに関する取り組みは不可欠です。サイトの脆弱性に関してはSHIFT SECURITYさんに引き続き診断していただきたいと思っています。ここ5、6年、総合通販サイトはアカウントクラッキングをうけつづけている状態です。 SHIFT SECURITYさんと次のステップでは、それをどうやって防ぐのがよいのか、攻撃者にどう対応すべきか、脆弱性だけにとどまらず、あらゆるセキュリティ攻撃の事例についてお伺いし、いっしょに強固なセキュリティを実現していけることを期待しています。