株式会社ディーバ様
Webアプリケーション診断
株式会社ディーバのご紹介
事業概要:連結会計システム「DivaSystem LCA」および関連製品の開発のほか、連結決算業務・単体決算業務などのアウトソーシング事業を手掛け、情報開示を通じた企業の価値創造プロセスを総合的に支援
株式会社ディーバ(以下、ディーバ様)は、『連結決算開示』に特化したソフトウェアベンダーであり、1997年の創業以来、連結会計システム「DivaSystem」の提供を通じて大手上場企業を中心としたお客様のグループ経営体制を支えてきました。現在は「企業価値向上に役立つ連結決算開示を普及させる」をミッションに掲げ、「グループ経営を支えるソフトウェアのデファクトスタンダードに」をビジョンに、専門分野に特化したソフトウェア製品とBPOサービスを提供しています。
- パッケージからクラウドへの移行に伴うセキュリティ範囲の拡大により、セキュリティ対策の更なる強化が求められた
- 自社が定期的に行っている自動ツール診断の限界や、認証・認可の部分など複雑なロジックに対する高度な手動診断の必要性がある
- 確かな技術力と高いサポート力を持つサービスを受けることができた
- 複雑な設計に対する丁寧できめ細かい事前調査により、スムーズで的確な診断実施が実現した
- 手動診断の細かさと高い調査力により、精度の高い診断結果が得られた
脆弱性診断の準備から活用ポイント
診断環境の円滑な整備の裏側
脆弱性診断を効果的に行うためには、開発者と診断員を結びつけ、円滑な診断環境を整える役割が重要です。SSTの脆弱性診断サービスでは、診断員とお客様を繋ぐ専門の調整担当がその役割を担っています。調整担当は、各案件ごとにスケジュールの調整、診断対象の選定のための事前調査、診断環境の準備、診断中の緊急連絡や終了までの窓口を担当します。一方、お客様の担当者は多岐にわたりますが、ディーバ様では、脆弱性診断の準備から改修までを円滑に行うための窓口として、技術開発統括部のセキュリティグループが責任を担っています。
ディーバ様のセキュリティグループにご用意いただいた、脆弱性診断に必要なテストデータやアカウントを元に、SSTの調整担当が画面遷移を確認する事前調査を実施し、予算内で効果的な診断を行うための画面遷移図を作成します。このように、限られたスケジュールと予算内で意義ある脆弱性診断を実施するには、関係者全員の協力が不可欠です。
脆弱性診断結果の検証と改修における共同作業
脆弱性診断を実施するお客様にとっては、脆弱性診断が終了しても終わりではありません。脆弱性診断の結果を受けて、改修を行う必要があります。
ディーバ様では、セキュリティグループと開発部とのコミュニケーションを通じて、改修が必要な脆弱性の特定や修正内容の検討を行い、その後改修作業が開始されます。さらに、セキュリティグループは報告された改修内容を検証し、要件が満たされているかを確認しています。セキュリティグループ担当者と開発部の密な連携により、セキュアな設計の構築が実現され、製品のセキュリティが向上しています。
脆弱性診断の効果的な活用に関する詳細については、SST公式サイト「セキュアスカイプラス」の事例インタビューもご確認ください。
SSTの脆弱性診断に対する満足点
コミュニケーションの迅速性と丁寧さ
SSTでは、お客様の要望に迅速に対応するために、Slack等を活用してコミュニケーションを行うことがあります。診断対象が複雑で階層的なシステムであるため、相互間の確認が頻繁に発生しましたが、丁寧な対応を心がけました。その結果、高いサポート力があり、安心して依頼できる点が満足度を高めたと評価いただきました。
脆弱性診断の報告書(レポート)の精度の高さ
脆弱性診断後に提供される報告書(レポート)は、診断会社によって形式が異なります。なかには、自動ツールによる診断結果が記載されるだけのものもありますが、SSTの脆弱性診断報告書では、お客様が問題箇所を再現し、適切な改修を行えることに重点を置いています。再現が難しい場合などには、QAサポートも提供し、お客様の改修を支援しています。ディーバ様からは、脆弱性を再現する具体的な手順が記載されており、調査力の高さが伝わったと高評価をいただいています。
