製品を導入することになった背景

アールスリーインスティテュートが開発している「gusuku」というサービスは、2018年3月にプレビューリリースされ、多くのお客様からの支持を受けて、ほぼ毎週のサービスアップデートを実施していました。このサービスは「gusuku Customine / gusuku Deploit」という2つの異なるサービスの基盤となる重要なプラットフォームです。サービスが大きく成長する中、社内から「すべてを見直し、現状を確認する必要があるのでは?」という意見が出てきました。この背景から、外部の専門家の目でサービスの脆弱性を診断してもらうことを決定しました。

導入前に企業が抱えていた課題

アールスリーインスティテュートは、脆弱性診断を受けるのが初めてで、診断を受けるための準備や手続きについての不安がありました。特に、小規模の開発チームにとって、診断のための特別な工数や対応が必要となると、それが大きな負担となる可能性が考えられました。また、サービスのアップデート頻度が高いため、「どのバージョンに対して診断を受けるべきか?」という問題も懸念されていました。

導入前の課題に対する解決策

アールスリーインスティテュートは、イエラエセキュリティを脆弱性診断のパートナーとして選定しました。イエラエセキュリティの従業員との過去の交流や、同社の技術力と文化的な側面がアールスリーインスティテュートと合致していたため、この選定がなされました。具体的には、イエラエセキュリティが提供する脆弱性診断サービスを利用し、API一覧を提供するだけで、診断を進めてもらうことができました。また、ステージング環境をそのまま診断に利用することで、バージョンの問題も解決されました。

製品の導入により改善した業務

脆弱性診断の結果、アールスリーインスティテュートはサービス内のAPIを整理することができました。100近くのAPIの中に、未実装や未使用のAPIが存在していたが、これらを廃止することができました。また、APIの設計に関する問題点も発見され、これを改善することでサービスの品質向上が図られました。さらに、サービスに対する攻撃のアラートを通じて、新たな知見を得ることができ、今後のサービス開発に活かすことができました。