株式会社ネクスウェイ様
Webアプリケーション診断 プラットフォーム診断
株式会社ネクスウェイ様のご紹介
事業概要:
・情報通信サービス:FAX・メール一斉送信サービス、クラウド印刷発送サービス、SMS配信サービス
・業務支援サービス:BtoB帳票支援サービス、多店舗運営コミュニケーションサービス、薬局・薬剤師向け情報提供サービス、本人確認サービス
株式会社ネクスウェイ(以下、ネクスウェイ様)は、デジタルとアナログをつなぐ通信サービスとSaaSを提供する会社です。情報の多くがクラウド上で処理される現在においてもなお、私たちの生活はリアルな社会で営まれており、デジタルとアナログを結び付けることはますます重要になってきています。
提供するサービスを通じて情報を日本のすみずみまで届け、あらゆる人々が自分らしく働ける世界の実現を目指します。
- サービス提供企業としてセキュリティは重要であり、セキュリティポリシーの更新をし続ける必要がある
- 新サービス提供時の脆弱性診断は必須なため、継続的でかつ柔軟に対応してもらえる信頼できるベンダーにお願いしたい
- 継続的な脆弱性診断の実施によってセキュリティポリシーのアップデートを実現できている
- スケジュールの変更や緊急な対応に柔軟に対応してくれるため、ビジネスの運営に合わせた脆弱性診断が可能
脆弱性診断を重ねることで見える洞察
自動化ツールだけでは不十分な権限周りのチェックは高度な手動診断が欠かせない
近年、自動化ツールの利用も浸透しつつありますが、権限周りなど特定領域の脆弱性診断においては、ツールだけでは十分な対応が難しい場合も少なくありません。SSTの脆弱性診断は、自社開発の自動診断ツールに加えて、ツールだけでは検出しきれない権限周りの問題にも焦点を当て、プロフェッショナルなセキュリティエンジニアが手動診断を実施しています。ツール診断と高度な手動診断との併用によって、包括的かつ効果的な脆弱性診断を実現し、セキュリティリスクを最小限に抑えることに役立ちます。
診断を実施するタイミングや事前準備など、社内ノウハウを蓄積
長期にわたり脆弱性診断を継続的に実施しているネクスウェイ様は、診断に関連する社内ノウハウをドキュメント化しています。脆弱性診断に関するノウハウの共有により、診断の実施準備を効率的に行えるだけでなく、部署全体のセキュリティ知識や経験値の向上にもつながっています。
具体的には、新サービスのローンチ前には直前まで修正が入り、診断に必要な情報収集や環境構築などの準備が、脆弱性診断のスケジュールに間に合わないことがよくあります。例えば、タイトなスケジュールの中で、診断結果にクリティカルな脆弱性が検出されると、その後のリリーススケジュールにも大きな影響を及ぼします。ネクスウェイ様は、こうした状況に対処するため、検出されやすい脆弱性や診断を受ける前に確認すべき点などのドキュメント化を行い、診断準備をスムーズに行う工夫をしています。また、過去のプロダクトに関する脆弱性についての知見もドキュメントに蓄積されており、これまでのノウハウをベースに確認し、事前に対処するようにしています。これにより診断プロセスをスムーズに進めるのと同時に、セキュリティポリシーのアップデートへの対応にも寄与しています。
脆弱性診断の効果的な活用に関する詳細については、SST公式サイト「セキュアスカイプラス」の事例インタビューもご確認ください。
SSTの脆弱性診断に対する満足点
柔軟なスケジュール対応と調整力
スケジュールの変更の相談や緊急を要する依頼にも、SSTは柔軟に対応いたします。これにより、サービスローンチなどの経営視点のスケジュールを滞らせることなく、ビジネスの運営に合わせたセキュリティを担保するために必要な脆弱性診断を実現しています。
脆弱性診断の報告書(レポート)の情報量の豊富さ
脆弱性診断実施後に提供される報告書は、診断会社ごとに独自性があります。SSTの脆弱性診断報告書について、ネクスウェイ様は、「単なる診断結果の提示に留まらず、エンドユーザー視点に立ったもので、次に取るべきアクションにつながる判断材料として役に立ちます」と話されています。また、指摘された問題を手元で再現できるように、詳細な確認フローが丁寧に解説されている点についても評価をいただいています。