きっかけは取引先での利用。2016年から続く信頼関係

開発事業においてはSESを主軸としてきたHLC様にとって、初の自社開発・自社提供となるクラウドサービス「gryPhone」。コールセンター向けのCRMパッケージとして、社外はもちろん社内的にもインパクトのあるサービスとなる一方、サービス提供者としてセキュリティに対する責任も格段に高まります。
「お客様に安心してご利用いただくために、万全の状態でリリースしたい」。その強い想いを実現するため、診断実績とクオリティを高く評価していたセキュアスカイへ脆弱性診断をご依頼くださいました。

HLC様とセキュアスカイとのお付き合いは、2016年に遡ります。当時、HLC様の社員が出向されていた取引先でセキュアスカイの診断サービスが利用されており、その担当者からの推薦を受けて、セキュアスカイに問い合わせをされたのがきっかけでした。

複数の診断事業者から資料請求や見積もりを取得し比較検討した結果、「トータルコストが当社の予算感に合っていたこと、そして検出された脆弱性に対する再診断が無償であったことが、セキュアスカイさんにお願いする決め手となりました」と話されました。以降、継続的にセキュアスカイの脆弱性診断サービスをご利用いただいています。

「速報サマリ」の活用で、迅速かつ効率的な改修を実現

「gryPhone」はリリースまでのスケジュールが限られているため、診断結果を可能な限り早期に把握し、修正対応の方針を検討する時間を確保することが重要課題でした。
今回の診断では、危険度の高い脆弱性が検出された場合、即座に結果が通知される「速報サマリ」も役に立ったと言います。サマリには必要な情報が十分に記載されており、内容に関する問い合わせや確認といったコミュニケーションコストを最小限に抑えることができました。

その結果、開発チームは迅速に改修作業に注力することができたと評価されています。また、セキュアスカイの報告書には、脆弱性の危険度だけでなく再現手順や改修方法も具体的に記載されているため、開発担当者にとって非常に分かりやすく、効率的に修正作業を進めることができたと話されました。改修時の人的リソースも半分程度に下げることができ、限られた時間の中で効率的に対応できたことで「タイムパフォーマンスとコストパフォーマンスに優れた診断と改修」が実現できたとご評価いただきました。

脆弱性診断の効果的な活用に関する詳細については、SST公式サイト「セキュアスカイプラス」の事例インタビューもご確認ください。

ツールだけでは得られない「プロの手動診断による安心感」

セキュアスカイの脆弱性診断では、自動診断ツールだけでは見落とされがちな脆弱性も、経験豊富な専門家による手動診断によって網羅的かつ実践的に洗い出すことが可能です。

特に、大規模あるいは複雑なシステムでは、アクセス制御や権限設定の不備が重大なセキュリティリスクとなることがあります。こうした設定ミスは、定型的なチェックを行う自動ツールでは検出が難しく、実際のユーザー操作や攻撃手法を模倣する手動診断だからこそ発見できる脆弱性が存在します。

HLC様は、この「専門家による手動診断」を単なる技術的なリスク対策ではなく、サービス利用者に対して“安心感”を届けるための重要な取り組みと位置づけています。今後も、自社サービス「gryPhone」の信頼性と安定性を維持するために、定期的な診断を継続的に実施していく予定です。