この導入事例のポイント
- 個人・企業の重要なデータを扱うサービスのため、セキュリティが大きな課題だった
- 明瞭なチェック項目とわかりやすいサンプルレポートがある「イエラエ」を選択
- リスクレベルに応じて速報で情報を得られるため、社内リソースを確保しやすくなった
- 改善方法に関する説明がわかりやすく、対応に悩むことなく取り組むことができた
- 通常WAFを用いて攻撃を防御してたが、WAFを外しても安心できる状態になった
この導入事例のポイント
- 機微な個人情報を扱うため、セキュリティの強化をしたく、脆弱性診断の検討を開始した
- 実績件数の多さや品質の高さ、営業力が決め手となり「イエラエ」の導入を決定
- 緊急性の高い脆弱性を速報で知れるので、即座に改善することが可能となった
製品を導入することになった背景
株式会社アンビシャスは無人レンタルトランクルーム「収納ピット」を運営しており、自宅の収納が不足しているお客様や法人のお客様からの需要が高まっています。Webでの契約が増える中、入力される個人情報のセキュリティが非常に重要となりました。特に、上場準備を進める過程で、セキュリティの強化が必要と感じ、脆弱性診断の検討を始めることとなりました。導入前に企業が抱えていた課題
株式会社アンビシャスは、Webでの契約を容易にするサービスを提供しており、その結果、多くの機微な個人情報をデータベースに保管しています。このような状況下でのセキュリティの担保は、同社にとっての重要な課題となっていました。また、セキュリティに関する専門的な知識が不足していたため、自社のWEBサイトの品質に自信を持つことが難しく、脆弱性診断の必要性を強く感じていました。導入前の課題に対する解決策
株式会社アンビシャスは、脆弱性診断の専門家を探す過程で、11社の企業に声をかけ、その中からGMOサイバーセキュリティ byイエラエを選定しました。選定の理由として、イエラエの豊富な実績、技術力の高さ、そして営業対応の良さが挙げられます。特に、国際的なハッキングコンテストでの入賞実績や、クラスメソッドとの提携実績などが、セキュリティ技術の高さを信頼する材料となりました。製品の導入により改善した業務
GMOサイバーセキュリティ byイエラエの脆弱性診断を導入した結果、緊急性が高い脆弱性については速報で知らされ、迅速な改善が可能となりました。提供されたレポートには、脆弱性の指摘だけでなく、対策方法も詳しく記載されており、効率的な改善が進められました。この結果、システムのセキュリティ強化を進める上での強制力を持つことができ、全体としてのセキュリティレベルの向上を実感することができました。
この導入事例のポイント
- 重要な個人情報を取り扱うため、第三者視点でセキュリティ評価を行う必要があった
- イエラエに、住宅ローン申し込みプラットフォームサービスに関する診断を依頼
- 即時アラートにより落ち着いて判断ができ、スケジュール通りに開発することができた
- 診断によりセキュリティに関して、自信をもって顧客に提案できるようになった
製品を導入することになった背景
「ネット不動産」の普及を目指し、不動産業界や金融業界のDXを推進するRENOSY Xは、ネットでの不動産検索が一般的になってきましたが、内見から申し込み、契約までの過程がネット化されていないという課題を感じていました。しかし、宅地建物業法の改正により電子契約が解禁され、オンライン完結型の不動産取引が可能となりました。この変化を背景に、RENOSY Xはオンラインでの不動産取引をシームレスに進める世界を目指して活動を進めています。導入前に企業が抱えていた課題
RENOSY Xは「MORTGAGE GATEWAY by RENOSY」という住宅ローン申し込みプラットフォームサービスの運営を行っています。このサービスは不動産会社、金融機関、住宅ローン申込者をつなぐもので、多くの機微な情報を取り扱っています。そのため、セキュリティには非常に細心の注意を払う必要がありました。また、金融機関との取引において、第三者視点でのセキュリティ評価が必須となっていました。導入前の課題に対する解決策
セキュリティの専門家であるGMOサイバーセキュリティ byイエラエにセキュリティ診断を依頼することで、RENOSY Xはセキュリティの問題に対処しようとしました。導入する金融機関ごとにカスタマイズが必要であったため、都度セキュリティ診断を行うことが求められました。また、大規模なシステムのアジャイル開発の特性上、システムの理解や変動への対応、予算内での診断、リスク対応の早期化など、多くの懸念が存在していました。製品の導入により改善した業務
GMOサイバーセキュリティ byイエラエの診断により、RENOSY Xはセキュリティに関して自信を持ってサービスを提供することができるようになりました。特に、リスクが高い脆弱性に対して即時アラートを受け取ることができ、関係者間の判断を早めることができました。これにより、大きなスケジュールの遅れを防ぎ、期日通りにサービスのリリースを行うことができました。
この導入事例のポイント
- セキュリティ診断の価格の見直しとスケジュールの兼ね合いから、他社製品の導入を検討
- 納期やコスト面が魅力的で、品質も問題のないことから「イエラエ」を選定した
- 緊急度が高い脆弱性は発見されず、堅牢なシステムであることがわかり、安心した
- 指摘された脆弱性は、わかりやすいレポートにより即座に改善することができた
製品を導入することになった背景
複合現実製作所株式会社は、建設業向けのXRソリューションを提供しています。このサービスはクラウド上で提供され、設計データなどの重要な情報をアップロードする必要があります。これらのデータは企業のノウハウや案件情報が詰まっているため、非常に慎重な取り扱いが求められます。セキュリティ診断は半期に一度定期的に行っていましたが、価格の見直しやスケジュールの調整を考慮して、新たにセキュリティベンダーを探していました。導入前に企業が抱えていた課題
複合現実製作所株式会社は、NTTドコモの新規事業を検討する部署の活動を前身としており、自社のセキュリティ部が中心となってセキュリティ診断を受けていました。しかし、独立して子会社化された後、初めて外部のセキュリティベンダーを中心とした診断を受けることとなり、その際の選定基準や試験内容、品質などについての不安がありました。導入前の課題に対する解決策
客観性を保つために異なる企業に依頼することを考え、Webでの検索を通じてGMOサイバーセキュリティ byイエラエを発見しました。特に納期を重視して選定し、価格や診断項目、実績などから品質面でも問題がないと判断し、イエラエに診断を依頼することを決定しました。製品の導入により改善した業務
GMOサイバーセキュリティ byイエラエのサービスを利用することで、スピードとコストの面で大きな満足感を得ることができました。Slackを通じてリアルタイムでのコミュニケーションが可能であり、診断の進行がスムーズに行われました。また、緊急度が高い脆弱性は発見されなかったことから、システムの堅牢性が確認されました。指摘された脆弱性に関しても、レポートには再現手順や対策方法がわかりやすく記載されていたため、迅速に改善を行うことができました。
高度な知見が必要な脆弱性も見逃さない技術力の高い手動診断
※出典:高度な知見が必要な脆弱性も見逃さない技術力の高い手動診断 | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
この導入事例のポイント
- 自社でのセキュリティ診断が精度不足で、全ての操作に対するシナリオ作成が難しかった
- 高い技術力と詳細な報告書が信頼できると感じ、「イエラエ」の導入を決定した
- 外部の客観的な診断を加えたことで、セキュリティがより強化され、脆弱性に対処できた
製品を導入することになった背景
チームのコラボレーションを促進するサービスの開発・提供を行う株式会社ヌーラボは、セキュリティの強化を目指して外部の客観的なセキュリティ診断を受けることを決意しました。2018年当時、株式会社ヌーラボは本格的な外部診断を受けた経験がなく、どれほどのリソースやコストが必要か、また技術力を持つ信頼できる会社をどう選ぶかという課題に直面していました。そんな中、GMOサイバーセキュリティ byイエラエからの診断依頼がきっかけとなり、イエラエの技術力や報告内容を実際に確認する機会を得ました。導入前に企業が抱えていた課題
株式会社ヌーラボは、プロジェクト管理ツール「Backlog」やオンライン作図ツール「Cacoo」など、チームのコラボレーションを促進するサービスを提供しており、これらのサービスで多くの機微な情報を取り扱っています。そのため、サービスのセキュリティ強化は常に重要な課題として捉えられていました。2018年頃、自社で有償の脆弱性診断ツールを使用して診断を行っていましたが、その精度や範囲に限界を感じていました。導入前の課題に対する解決策
株式会社ヌーラボは、外部の専門家による客観的なセキュリティ診断の必要性を強く感じていました。イエラエからの診断依頼を受けた際、その報告内容からイエラエの高い技術力を実感しました。特に、手動での診断による詳細な報告や、マイナーなAPIに関する脆弱性の発見など、イエラエの技術力の高さを確認することができました。これらの経験を基に、株式会社ヌーラボはGMOサイバーセキュリティ byイエラエにセキュリティ診断を依頼することを決定しました。製品の導入により改善した業務
GMOサイバーセキュリティ byイエラエのセキュリティ診断を受けることで、株式会社ヌーラボは自社だけでは気づきづらい脆弱性にも対処することができるようになりました。特に、多機能な「Backlog」のようなサービスでは、自社だけでの網羅的なテストが難しいと感じていましたが、イエラエの専門家の知見を取り入れることで、より高度なセキュリティ対策を実施することが可能となりました。今後も、このような外部の専門家の知見を活用し、セキュリティの強化を続けていく予定です。
この導入事例のポイント
- デジタル化されたデータ管理の重要性が増し、サイバー攻撃の脅威に直面していた
- 評判と信頼性、そしてCEOとのフィーリングが決め手となり、当製品を導入
- 運用管理が不十分だったドメイン情報、既知の脆弱性やポート開放の状況などが明らかに
- Web診断結果の詳細な整理や個別トレーニングにより、チームの成熟度が高まった
- 事前・事後対策のヒントやデータ侵害など、サイバーリスク軽減につなげることができた
製品を導入することになった背景
「ヘルスケアの進化をデザインする」というミッションを掲げる医療機器メーカー、シスメックス株式会社(本社・神戸市)は、世界190か国以上で臨床検査機器、試薬、ソフトウェアなどの事業を展開しています。近年、血液データだけでなく遺伝子データも取り扱うようになり、デジタル化されたデータ管理の重要性が増してきました。コロナウイルスの感染拡大とともに、ワクチン開発メーカーへのサイバー攻撃が増加し、シスメックスもその攻撃対象となる可能性を日々感じています。このような背景から、Webセキュリティの対策状況を見直すこととなりました。導入前に企業が抱えていた課題
シスメックス株式会社は、ヘルスケア企業として、医療機器の販売だけでなく、患者さんの血液検査サービスも提供してきました。データのデジタル化が進む中で、機微なデータの取り扱い頻度が増加しました。特に、遺伝子データの取り扱いが始まったことで、データ管理の重要性が一層増してきました。また、クラウド環境でのサービス提供も始まり、インシデント対応体制の構築が喫緊の課題となっていました。導入前の課題に対する解決策
シスメックス株式会社は、外部のサイバーセキュリティ専門家にWebセキュリティの対策状況を評価してもらうことを決定しました。その中で、GMOサイバーセキュリティ by イエラエが選ばれました。理由としては、GMOサイバーセキュリティが業界での評判が高く、国際的なハッキングコンテストでの入賞実績など、高い技術力を持つ組織であると確信していたからです。また、牧田社長との情報共有や意見交換を通じて、信頼関係が築かれていました。製品の導入により改善した業務
GMOサイバーセキュリティ by イエラエのサービスを利用することで、シスメックス株式会社は多くの課題を明らかにし、それに対する対策を進めることができました。具体的には、運用管理できていなかったドメイン情報や、既知の脆弱性、ポート開放の状況などが明らかになりました。これらの情報をもとに、リスクレベルを客観的に評価し、対策を進めることができました。また、Web診断業務だけでなく、御社メンバーによる個別トレーニングも受けることができ、技術力の向上やサイバー攻撃者との戦い方を学ぶことができました。
この導入事例のポイント
- AWS上のグループウェアで購買データ・個人情報を扱うためセキュリティが課題だった
- リスクアセスメントサービスを導入し、システムへの脅威・攻撃のリスクを可視化した
- 既存インフラ設定を見直し、セキュリティ対策が社内で理解され、推進されるようになった
製品を導入することになった背景
株式会社リゾームは、商業施設向けのグループウェアにおいて、顧客の購買データや個人情報を取り扱っており、セキュリティは非常に重要な課題となっていました。特に、主要な顧客としてセキュリティ意識の高い大手デベロッパー企業が多く、そのニーズに応えるための取り組みが求められていました。導入前に企業が抱えていた課題
Amazon Guard Dutyで緊急度の高いインシデントを検知したことがきっかけとなり、セキュリティ対策の必要性が浮き彫りとなりました。検知内容を調査した結果、問題はなかったものの、稼働中のシステムでのセキュリティインシデント発生時の対応や、フォレンジック調査に関する専門的な知識や対策が不足していると感じられました。導入前の課題に対する解決策
セキュリティの専門家としてGMOサイバーセキュリティ byイエラエにリスクアセスメント(脅威モデリング)を依頼することとなりました。このサービスを通じて、システムがどのような脅威にさらされ、攻撃される可能性があるかを洗い出すことが目的とされました。製品の導入により改善した業務
リスクアセスメントを通じて得られた資料を基に、セキュリティ対策の改善やインフラ設定の見直しを行うことができました。具体的には、セキュリティ対策の推進や、検証環境でも本番環境と同等のセキュリティ意識を持って開発を進めるなどの取り組みが実施され、会社全体としてのセキュリティ強化が進められるようになりました。
この導入事例のポイント
- ふるさと納税の管理システムに対する、セキュリティ診断の必要性を感じていた
- 楽天からの紹介と、診断内容や対策についての丁寧な説明が、選定の決め手となった
- 報告書がわかりやすく該当箇所をすぐに見つけて簡単に改修でき、期日通りに改修が完了
製品を導入することになった背景
シフトプラス株式会社は、各都道府県などの自治体を中心に総合プラットフォームサービスやコンサルティングサービスを提供しており、行政の情報化を推進しています。特に、ふるさと納税の管理システムの導入自治体数が増加しており、このシステムを通じて寄附者の情報や寄附金額などのセンシティブな情報を一元管理しています。脆弱性診断の必要性は以前から感じていましたが、取引先からの依頼も受け、今回の診断を実施することとなりました。導入前に企業が抱えていた課題
シフトプラス株式会社が提供するふるさと納税の管理システムは、寄附者の個人情報や寄附金額などのセンシティブな情報を取り扱っています。このような大切な情報を安全に管理するためのセキュリティ対策が求められていました。また、システムは外部のふるさと納税サイトや返礼品事業者のシステムとも連携しており、その連携部分におけるセキュリティの不備も懸念されていました。導入前の課題に対する解決策
シフトプラス株式会社は、外部の専門家による脆弱性診断を初めて依頼することとなりました。楽天からの紹介を受け、イエラエ社を選定しました。イエラエ社は業界での実績が豊富で、品質が高いとの評価を受けていました。また、診断内容や対策方法についても丁寧に説明を受けることができ、安心して診断を依頼することができました。製品の導入により改善した業務
イエラエ社による脆弱性診断の結果、非常にわかりやすい報告書を受け取ることができました。この報告書をもとに、該当箇所の改修を迅速に行うことができました。具体的には、報告書内での脆弱性の詳細な説明や改修方法の提案により、シフトプラス株式会社のシステムのセキュリティを向上させることができました。この結果、システムの安全性が向上し、取引先や利用者からの信頼も高まりました。
システム全体の流れを理解したエンジニアによる信頼のおける診断
※出典:システム全体の流れを理解したエンジニアによる信頼のおける診断 | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
この導入事例のポイント
- 大量のパーソナルデータを扱うため、セキュリティの担保が重要な課題となっていた
- 過去の実績やエンジニアとの直接会話から感じた技術力を重視し、当製品を選定した
- 診断対象全体を見てコメントを頂け、タイムリーで納得感のある回答が得られた
製品を導入することになった背景
株式会社Liquidは「認証を空気化し、滑らかな社会を作る」というビジョンのもと、オンラインでの本人確認(eKYC)時に利用されるプロダクトであるLIQUID eKYCを提供しています。eKYCの性質上、免許証などの本人確認書類の画像や本人の顔容貌画像などの重要なパーソナルデータを扱っており、金融機関や通信業界、Webサービス業界での利用が増加しています。このような背景から、セキュリティの担保が非常に重要となり、外部の専門機関からの脆弱性診断の導入が考えられました。導入前に企業が抱えていた課題
株式会社Liquidは大量のパーソナルデータを取り扱っているため、セキュリティの担保は極めて重要であり、その実現が大きな課題となっていました。開発時には自社でもセキュリティを意識していましたが、第三者の視点からの脆弱性診断が必要と感じていました。特に、新しいアプリのリリースや大幅な機能追加の際には、適切な脆弱性診断を行うことが求められていました。導入前の課題に対する解決策
株式会社Liquidは、GMOサイバーセキュリティ byイエラエを脆弱性診断のパートナーとして選定しました。イエラエの技術力や過去の実績、セキュリティ関連イベントでの評価などが選定の理由となりました。特に、スマートフォンアプリケーション、Webアプリケーション、APIのセキュリティに長けている点を重視し、イエラエのサービスを利用することとなりました。製品の導入により改善した業務
GMOサイバーセキュリティ byイエラエの脆弱性診断の導入により、株式会社Liquidはセキュリティ品質の向上を実現しました。診断結果をもとに、危険な脆弱性の発見や改善点の提案が行われ、全体的なセキュリティレベルの向上が図られました。また、報告書に記載されていない部分に関する質問にも迅速に回答が得られ、診断対象全体を見てのコメントやアドバイスが非常に役立ちました。これにより、株式会社Liquidは信頼できるセキュリティ診断を受けることができ、ビジョンの実現に向けた一歩を進めることができました。
この導入事例のポイント
- お客様からの、セキュリティソリューションに関する相談や要望が増えてきたため
- 診断スキルの可視化や、診断要件の定義支援などが決め手となり、製品の導入を決意
- 診断品質向上とスピードアップ・再診断のスムーズな調整、高い管理水準による安心感
製品を導入することになった背景
シンプレクス株式会社は、ビジネス戦略の立案力と先端テクノロジーの高度な実装力を活かし、公的機関や金融機関、各業界をリードする企業のDX推進を支援しています。このような背景のもと、サイバー攻撃の多様化・複雑化に対応するため、セキュリティ意識の向上が求められていました。特に、エンドユーザからのアクセスがある一般投資家向け取引システムなどでは、セキュリティ品質の担保が必要とされており、外部ベンダによる脆弱性診断の導入が検討されました。導入前に企業が抱えていた課題
シンプレクス株式会社は、金融機関などのミッションクリティカルなシステムを提供しており、お客様のセキュリティ意識は年々高まっていました。そのため、セキュリティソリューションに関する相談や要望が増加していました。特に、エンドユーザからのアクセスがあるシステムでは、セキュリティ品質の担保が必要とされていたのですが、適切な脆弱性診断を行う外部ベンダの選定や、診断の品質とコストのバランスが課題となっていました。導入前の課題に対する解決策
シンプレクス株式会社は、GMOサイバーセキュリティ by イエラエをセキュリティ診断のパートナーとして選定しました。イエラエの診断スキルの可視化や診断内容の公開、プリセールス段階での診断要件の定義支援、柔軟なコミュニケーション手段などが評価されました。特に、イエラエは各種ハッキングコンテストの受賞歴や診断項目の公開により、高品質なセキュリティ診断を提供しており、これによりシンプレクス株式会社は適切な予算で必要なセキュリティ診断を選択することができました。製品の導入により改善した業務
GMOサイバーセキュリティ by イエラエのセキュリティ診断の導入により、シンプレクス株式会社はセキュリティ品質の向上を実現しました。速報対象の脆弱性検出時の迅速な対応や、再診断のスムーズな調整などが行われ、セキュリティ品質改善のスピードが向上しました。また、金融機関などの主要なお客様は、診断の品質面だけでなく管理面も重視しており、イエラエはこれらの要望に応える高いマネジメント能力を持っていたため、シンプレクス株式会社は安心して継続的な依頼を行うことができました。
この導入事例のポイント
- 機密性の高い情報を取り扱うため、厳格に情報を管理する仕組みが必要だった
- 丁寧なヒアリングと迅速な対応、実績が豊富にある点を評価し、同社のサービスを導入
- 外部エンジニアにゼロベースで診断してもらったことで、「みるべき観点」を学べた
製品を導入することになった背景
ヘイ株式会社は、商売のデジタル化を支援する「STORES プラットフォーム」をサービスとして展開しています。このサービスの展開を進める中で、オーナーや利用者の個人情報や購入情報など、機密性の高い情報を取り扱う必要が生じました。そのため、情報漏えいなどのリスクを避けるための厳格な管理が求められました。また、サービスの安定供給も重要であり、社内にセキュリティエンジニアが在籍しているものの、第三者の視点を取り入れることでよりセキュアなサービス開発を目指すこととなりました。導入前に企業が抱えていた課題
ヘイ株式会社は、セキュリティ対策の内製化を進めていましたが、セキュリティエンジニアの採用が難しく、コストとスピードの観点から外部の専門家による脆弱性診断を検討することとなりました。社内のセキュリティエンジニアだけでは、既知のサービスに対して先入観を持ち、網羅的な診断が難しいという課題がありました。導入前の課題に対する解決策
ヘイ株式会社は、外部の視点を取り入れるために、脆弱性診断サービスを提供している実績のある企業を検討しました。その中で、GMOサイバーセキュリティ byイエラエが丁寧なヒアリングや迅速な対応を提供してくれることから、同社を選定しました。また、他社が対応できない複雑な診断内容にも対応可能であり、技術力の高さを評価しました。製品の導入により改善した業務
GMOサイバーセキュリティ byイエラエの脆弱性診断を利用することで、社内のセキュリティエンジニアだけでは見落としてしまう可能性のある観点からの診断が可能となりました。今回の診断では、全く想定していなかった脆弱性は見つかりませんでしたが、外部のセキュリティエンジニアによる客観的な診断を受けることで、サービスのセキュリティ向上に寄与しました。特に、スマホ診断に関する知見が社内になかった部分も、診断を通じて学ぶことができました。
根拠のあるリスクレベルの解説がセキュリティ水準の維持につながる
※出典:根拠のあるリスクレベルの解説がセキュリティ水準の維持につながる | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
この導入事例のポイント
- 個人情報のデータ量が年々増加していたため、セキュリティ水準を高めたいと考えていた
- 開発スケジュールに対して柔軟に対応してもらえる点を評価し、同社のサービスを導入
- 第三者の診断により、安全な水準を満たしていることを改めて確認することができた
製品を導入することになった背景
株式会社EventHubは、ビジネスイベントに特化したイベントプラットフォーム「Eventhub」を運営しています。このプラットフォームでは、イベント情報を登録することで、イベントの開催だけでなく、過去のイベントに関連したデータやログデータを蓄積し、顧客に合わせた情報提供を行うことが可能です。多くのお客様からの導入実績とともに、参加者のプロフィールデータやイベントの行動履歴などの機微な個人情報のデータ量が増加してきました。このような背景から、セキュリティ水準を高める必要性を感じ、外部の専門家による脆弱性診断を受けることを決意しました。導入前に企業が抱えていた課題
株式会社EventHubは、累計300社、600件以上のイベントで「Eventhub」を利用していただいており、導入実績が増えるにつれて、参加者のプロフィールデータやイベントの行動履歴などの機微な個人情報のデータ量も増加していました。特にBtoBのお客様からは、セキュリティチェックシートへの回答を求められるケースが増えてきており、セキュリティの確保が急募となっていました。導入前の課題に対する解決策
脆弱性診断の実施にあたり、株式会社EventHubは複数の企業から相見積もりを取得し、検討を行いました。診断の質、過去の実績、社内工数、見積費用、スケジュールの柔軟性などの観点から、イエラエさんを選定しました。また、他の利用者からの推薦や、イエラエさんの詳細な調査と高品質な報告書が評価され、選定の決め手となりました。製品の導入により改善した業務
イエラエの脆弱性診断を受けた結果、株式会社EventHubは自社のシステムが安全な水準を満たしていることを再確認することができました。また、開発時に注意すべきポイントや、リスクレベルが低い脆弱性に対するアプローチ方法など、多くの有益な情報を得ることができました。これにより、セキュリティ基準を担保したままの開発が可能となり、非常に満足しています。
この導入事例のポイント
- 機微情報を取り扱っているため、より強固なセキュリティ対応は自社の課題でもあった
- セキュリティに関する高い専門性と実績の高さを評価し、同社のサービスを導入
- 不安のあった認証・認可に関する脆弱性への対応を行い、セキュリティを強化できた
製品を導入することになった背景
Instituiton for a Global Society 株式会社は「人を幸せにする評価と教育で、幸せを作る人、をつくる。」というビジョンのもと、GROWというサービスシリーズを展開しています。このサービスでは、AI搭載エンジンを使用して、人の気質やコンピテンシー、スキルを可視化することができます。特に、コンピテンシーや気質に関する情報は、学力テストでは計測できないため、多くの企業や教育機関からの高い評価を受けています。しかし、このサービスでは、アカウントに関連する個人情報や評価に関する機微情報を扱っているため、セキュリティが非常に重要な課題となっています。導入前に企業が抱えていた課題
Instituiton for a Global Society 株式会社のサービスは、セキュリティ意識の高い金融機関や大手企業、教育機関のお客様にも利用されています。そのため、セキュリティは経営上の重要な課題となっていました。特に、アカウントに関連する個人情報や評価に関する機微情報を扱うサービスであるため、これらの情報の漏洩は大きなリスクとなります。導入前の課題に対する解決策
過去にも他社でセキュリティ診断を実施した経験がありましたが、ツールを中心とした診断では、網羅的なスキャンを行うだけで、ツールだけでは検出できない脅威に対する不安が残っていました。今回、イエラエを選定した理由は、手動での診断を重視し、認証認可に関する脆弱性や複雑な操作手順での脆弱性を確認することができるセキュリティエンジニアによる診断を期待していたからです。また、イエラエがAWS構築で著名なクラスメソッドのセキュリティパートナーであることも、選定の決め手となりました。製品の導入により改善した業務
イエラエのセキュリティ診断を利用することで、認証・認可に関する脆弱性の対策方法を学び、セキュリティを強化することができました。また、複数のブラウザから同時にログインすることで発生する挙動など、一つのブラウザでは検出できない脆弱性も調査してもらうことができました。この結果、過去の診断と比較して、より深く診断を受けることができ、コストやスピード感にも大きな変化はなかったため、非常に満足しています。
システム全体の流れを理解したエンジニアによる信頼のおける診断
※出典:システム全体の流れを理解したエンジニアによる信頼のおける診断 | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
この導入事例のポイント
- 大量のパーソナルデータを取り扱っているため、セキュリティの担保は重要な課題だった
- 過去実績と直接会話をした際のエンジニアの技術力の高さを評価し同社のサービスを導入
- 今後どういったところに脆弱性が生まれそうか、といった観点を確認することができた
製品を導入することになった背景
株式会社Liquidは「認証を空気化し、滑らかな社会を作る」というビジョンを掲げ、オンラインでの本人確認(eKYC)時に利用されるプロダクト、LIQUID eKYCを提供しています。このプロダクトはeKYCの性質上、免許証などの本人確認書類の画像や本人の顔容貌画像などの重要なパーソナルデータを扱うため、セキュリティの担保が非常に重要であると認識しています。そのため、開発時には自社でもセキュリティを意識しているものの、第三者の専門機関からの指摘も重視しています。導入前に企業が抱えていた課題
株式会社Liquidは金融機関や通信業界、Webサービス業界での大量のパーソナルデータの取り扱いがあり、セキュリティの担保はビジョンの実現において重要な課題として捉えていました。特に、新しいアプリのリリースや大幅な機能追加のタイミングでのセキュリティの確保が必要であり、リリース以外の時期でも定期的なセキュリティ診断が求められていました。導入前の課題に対する解決策
セキュリティの確保のために、株式会社Liquidはイエラエさんに脆弱性診断を依頼することを決定しました。サービス資料のスペックだけでは診断の質の違いがわかりづらい中、過去の実績やエンジニアとの直接の会話から感じた技術力を重視してイエラエさんを選定しました。特に、スマートフォンアプリケーション、Webアプリケーション、APIのセキュリティに長けている点を評価しました。製品の導入により改善した業務
イエラエさんによる脆弱性診断の結果、危険な脆弱性は発見されませんでしたが、今後の脆弱性のリスクやプロダクト全体のセキュリティ状況についての詳細なコメントを受け取ることができました。報告書に記載されていない部分に関する質問にもタイムリーに回答が得られ、全体の処理の流れを理解したエンジニアが診断を行っていると感じ、その結果、株式会社Liquidはイエラエさんのサービスに対する信頼を深めることができました。
Webサービスの堅牢性をソースコードレベルで設計の観点まで深堀して診断
※出典:Webサービスの堅牢性をソースコードレベルで設計の観点まで深堀して診断 | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
この導入事例のポイント
- 自社の機密情報が外部に流出しないようにセキュリティ対策を重要視していた
- 複数社との比較の結果、診断内容の細かさと価格の両面から同社のサービスを導入
- 第三者目線でのチェックを通したことで、自社サービスの品質に自信が持てた
製品を導入することになった背景
労働力不足問題解決のリーディングカンパニーとして、複数のSaaSを展開する株式会社うるるは、サービスの大規模リニューアルを予定していました。この大規模リニューアルに伴い、セキュリティ診断の必要性を強く感じ、特にソースコード診断を重視することとなりました。社内規定として、大規模リリース時や定期的なタイミングで第三者機関による脆弱性診断を実施することが定められており、今回のリニューアルもその対象となりました。導入前に企業が抱えていた課題
株式会社うるるが展開する入札情報速報サービスNJSSは、全国の入札情報を収集しデータベース化するサービスで、約2000万件の入札情報を蓄積してきました。この情報は有償で提供されるため、ノウハウの外部流出を防ぐためのセキュリティが非常に重要でした。また、個人情報の流出に関しても細心の注意が必要でした。そのため、セキュリティの堅牢性を確保することが大きな課題となっていました。導入前の課題に対する解決策
セキュリティの課題に対処するため、株式会社うるるは外部の専門機関にセキュリティ診断を依頼することを決定しました。特に、ソースコードレベルでの診断を重視し、複数の診断会社から見積もりを取得しました。その結果、GMOサイバーセキュリティ by イエラエが診断内容の細かさと価格の両面で優れていると判断され、依頼が決定されました。イエラエの手動での診断サービスに魅力を感じ、ツールによる機械的なチェックではなく、手動での診断を選択しました。製品の導入により改善した業務
GMOサイバーセキュリティ by イエラエの専門のエンジニアによる診断を受けた結果、ソースレベルでの改善ポイントまで詳細に指摘を受けることができました。報告書は非常にわかりやすく、具体的な再現方法や影響度、推奨される対策方法などが詳細にまとめられていたため、迅速に対策を実施することができました。この結果、大規模リリースを安心して行うことができ、品質に自信を持ってリリースを実施することができました。
セキュリティの不安を取り除く、説得力ある専門家からのアドバイス
※出典:セキュリティの不安を取り除く、説得力ある専門家からのアドバイス | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
この導入事例のポイント
- 顧客からセキュリティへのエビデンスの要望があり、社外の脆弱性診断が必要だと感じた
- コストが安く、また見積根拠が分かりやすい点を評価し、同社のサービスを導入
- 自分たちでは気づけない脆弱性を指摘してもらい、セキュリティ状況の把握ができた
製品を導入することになった背景
株式会社ACCESSは、顧客からセキュリティに関するエビデンスの要望を受け、社外の脆弱性診断を依頼することとなりました。しかし、診断を受けることで、セキュリティの専門家からの指摘には説得力があることを実感しました。特に、セキュリティの専門家は、実績と裏付けのある体系的な診断を行うことが強みであると感じられました。導入前に企業が抱えていた課題
株式会社ACCESSは、予測される攻撃や攻撃発生時の被害拡大防止手法の情報不足を感じていました。また、セキュリティの専門家が社内にいないため、専門的な情報が不足している場合や、特定の対応が難しい場面が存在していました。設計時にはセキュリティを考慮しているものの、悪意を持ったユーザからの予期しないアタックへの懸念が常にありました。導入前の課題に対する解決策
脆弱性診断を受ける前のイメージとして、診断が始まるまでに多くの手間がかかるのではないかとの懸念がありました。しかし、実際には大きな工数をかけずに診断を受けることができました。また、診断中に開発に影響が出るようなアクセスや、指摘が大量に検出されることへの懸念もありました。GMOサイバーセキュリティ byイエラエを選定した理由としては、コストの面での利点や、内容の明確さ、IoTなどの分野での診断が可能である点、取引実績の存在、直接のサービス説明の説得力、そしてコンテストでの優勝実績などが挙げられます。製品の導入により改善した業務
脆弱性診断を受けた結果、特に問題は検出されなかったことで、診断前の予想が裏付けられました。しかし、攻撃手法は日々高度化しているため、定期的にセキュリティの専門家に診断を受ける必要性を感じています。アプリ側では、エンジニアが気づかなかった脆弱性を指摘してもらい、その結果として問題がないという確証を得ることができました。
スタートアップ企業のスピード感あるアジャイル開発には、定期的なセキュリティ診断が不可欠
※出典:スタートアップ企業のスピード感あるアジャイル開発には、定期的なセキュリティ診断が不可欠 | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
この導入事例のポイント
- 品質を担保するサービスのため、脆弱性診断サービスを定期的に受けたいと考えていた
- コストなど、見積もり内容が納得いくものであった同社の脆弱性診断サービスを導入
- 脆弱性診断サービスを利用したことにより、エンジニアのセキュリティ意識が向上した
製品を導入することになった背景
Autify, Inc.(オーティファイ株式会社)は、米国サンフランシスコを拠点に、AIを活用したソフトウェアのテスト自動化プラットフォーム「Autify」の開発・販売を手掛けるスタートアップ企業として注目を浴びています。2019年には米国のトップアクセラレーター、Alchemist Acceleratorを日本人チームとして初めて卒業。その後、同年10月には約3.2億円を調達しました。このような背景から、品質を担保する製品としての「Autify」のセキュリティ診断の重要性が増してきました。特に、大企業様を中心にお客様が増加してきたことから、脆弱性診断を定期的に受けることで、品質を確保する方針を固めました。導入前に企業が抱えていた課題
「Autify」は、ウェブアプリケーションのテスト自動化を目的としたサービスで、従来は手作業で行われていたテストを自動化することが可能です。しかし、このテスト工程はメンテナンスコストが高く、非常に課題を抱えていました。特に、アジャイル開発を採用しているサービスでは、UIやデザインの変更が頻繁に行われるため、テストスクリプトが容易に壊れる問題がありました。導入前の課題に対する解決策
「Autify」の導入により、2つの主要な特徴を活用して課題を解決しました。第一の特徴は、コードを書くことなく、簡単にテストを自動化できる点です。ユーザーは「Autify」にサインインし、テスト手順を操作するだけで、その手順が記録され、テストとして再生可能な形になります。第二の特徴は、AIを活用してテストのシナリオのメンテナンスを行う点です。例えば、UIの変更によりボタンの位置が変わった場合でも、AIがその変更を認識し、テストを継続的に実行することができます。製品の導入により改善した業務
「Autify」の導入により、開発者のセキュリティ意識が向上しました。特に、脆弱性診断を受けたことで、開発者間でのセキュリティに関する共通認識が形成され、コードのリファクタリングが進められるようになりました。また、エンジニアからは、潜在的な脆弱性に関するアイディアが積極的に提案されるようになりました。これにより、セキュリティの向上だけでなく、サービスの品質全体が向上し、お客様からの信頼も高まりました。
専門家によるセキュリティ診断が開発者への開発ナレッジ蓄積に貢献
※出典:専門家によるセキュリティ診断が開発者への開発ナレッジ蓄積に貢献 | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
この導入事例のポイント
- 扱う情報がセンシティブなため、サービスのセキュリティ対策を厳重にする必要があった
- レスポンスもよく、診断内容を気軽に相談できる点を評価し同社のサービスを導入
- セキュリティ診断をした結果、ナレッジが蓄積され今後の開発に活かせるようになった
製品を導入することになった背景
「経営リスクと戦う法務プロフェッショナルに、パートナーとなる“AI”を」という方針のもと、専門性が高くコストや手間のかかる契約書のリスクチェックを、法務に特化した人工知能をサポーターとして自動化するサービスを展開する株式会社LegalForce。わずか1秒で不利な条文や欠落条項を指摘するこのリーガルテックサービスは、昨年から今年にかけてシリーズAラウンドで5億円を調達するなど、注目を浴びる存在となりました。導入前に企業が抱えていた課題
株式会社LegalForceのサービスはリーガル系であり、扱う情報が非常にセンシティブ。大企業が多いお客様からのセキュリティ対策に関する厳しいチェックがある環境にありました。リリース前には、セキュリティにきちんと力を入れていることを契約社様方に対して可視化する必要があったと感じていました。導入前の課題に対する解決策
セキュリティインシデントのニュースが増え、どのような攻撃や経路で行われているかの予測はついても、具体的な対応や脆弱性になるコードの確認は難しい状況でした。そのため、専門家にセキュリティ診断を依頼することを決意。いくつかの会社にお見積もりを依頼した中で、イエラエセキュリティが最も丁寧に対応してくれ、安心して依頼することができました。製品の導入により改善した業務
イエラエセキュリティによるウェブアプリケーション診断の結果、認証ロジックの診断結果をもとに修正や追加を行い、再度診断を受けることで、多くの点での指摘を受け取りました。これにより、社内開発者にとってはナレッジの蓄積となり、非常に勉強になったと感じています。今後も開発する際には、これらの指摘を思い出しながら進めることができると考えています。
更新頻度の高いSaaSの脆弱性診断を最小限のコストで実施
※出典:更新頻度の高いSaaSの脆弱性診断を最小限のコストで実施 | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
この導入事例のポイント
- サービス基盤のメジャーアップデートを控え、外部診断してもらおうと考えていた
- 自社の対応にかかる工数、コストを抑えられる点を評価し、同社のツールを選定
- 実施した結果、サービス内にある100近くのAPIを整理することができた
製品を導入することになった背景
アールスリーインスティテュートが開発している「gusuku」というサービスは、2018年3月にプレビューリリースされ、多くのお客様からの支持を受けて、ほぼ毎週のサービスアップデートを実施していました。このサービスは「gusuku Customine / gusuku Deploit」という2つの異なるサービスの基盤となる重要なプラットフォームです。サービスが大きく成長する中、社内から「すべてを見直し、現状を確認する必要があるのでは?」という意見が出てきました。この背景から、外部の専門家の目でサービスの脆弱性を診断してもらうことを決定しました。導入前に企業が抱えていた課題
アールスリーインスティテュートは、脆弱性診断を受けるのが初めてで、診断を受けるための準備や手続きについての不安がありました。特に、小規模の開発チームにとって、診断のための特別な工数や対応が必要となると、それが大きな負担となる可能性が考えられました。また、サービスのアップデート頻度が高いため、「どのバージョンに対して診断を受けるべきか?」という問題も懸念されていました。導入前の課題に対する解決策
アールスリーインスティテュートは、イエラエセキュリティを脆弱性診断のパートナーとして選定しました。イエラエセキュリティの従業員との過去の交流や、同社の技術力と文化的な側面がアールスリーインスティテュートと合致していたため、この選定がなされました。具体的には、イエラエセキュリティが提供する脆弱性診断サービスを利用し、API一覧を提供するだけで、診断を進めてもらうことができました。また、ステージング環境をそのまま診断に利用することで、バージョンの問題も解決されました。製品の導入により改善した業務
脆弱性診断の結果、アールスリーインスティテュートはサービス内のAPIを整理することができました。100近くのAPIの中に、未実装や未使用のAPIが存在していたが、これらを廃止することができました。また、APIの設計に関する問題点も発見され、これを改善することでサービスの品質向上が図られました。さらに、サービスに対する攻撃のアラートを通じて、新たな知見を得ることができ、今後のサービス開発に活かすことができました。
見積準備からはじまるスピーディなコミュニケーションでTimeTree社の作業負担を軽減
※出典:見積準備からはじまるスピーディなコミュニケーションでTimeTree社の作業負担を軽減 | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
この導入事例のポイント
- センシティブな情報を扱うことが多く、情報セキュリティの維持が重要なテーマだった
- コミュニケーションコストをうまく抑えることができる点を評価し同社ツールを選定
- 実施した結果、今後のアプリケーション開発に活きる発展的なノウハウを蓄積できた
製品を導入することになった背景
テレビコマーシャルでもお馴染みとなったカレンダーシェアアプリ「TimeTree」は、登録ユーザー数が2,000万を突破しました。このような背景から、アプリケーションのセキュリティを確保するための脆弱性診断の必要性が高まりました。特に、TimeTree社は世界展開しているサービスであり、非常にセンシティブな個人情報を扱っています。導入前に企業が抱えていた課題
株式会社TimeTreeは、予定という非常にセンシティブな個人情報を扱うサービスを提供しています。そのため、情報セキュリティの維持や行動が非常に重要なテーマとなっていました。アプリケーションの開発を継続していく中で、意図しない脆弱性が出てしまう可能性が考えられ、そのようなリスクを最小限に抑えるための対策が求められていました。導入前の課題に対する解決策
脆弱性診断の必要性は認識していたものの、外部の診断会社に作業を依頼することには時間やコミュニケーションコストがかかるという懸念がありました。そこで、イエラエセキュリティを選定した理由として、コミュニケーションコストをうまく抑えることができる点が挙げられます。具体的には、アプリケーションのリクエスト数をイエラエセキュリティの診断士が直接調べてくれたことや、Slackを通じたスムーズなコミュニケーションが可能であったためです。製品の導入により改善した業務
脆弱性診断を実施した結果、株式会社TimeTreeのアプリケーションが意図通り堅牢に稼働していることが確認されました。また、診断レポートからは、システム構成上の見えない部分に関する発展的な指摘を受け取ることができ、これがエンジニアのノウハウの蓄積や今後の設計に活かされることとなりました。このような客観的な評価を受けることで、エンジニアの自信やモチベーションの向上にも寄与しました。
高い技術力と柔軟な提案で新たな学びや気付きを得られる診断
※出典:高い技術力と柔軟な提案で新たな学びや気付きを得られる診断 | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
この導入事例のポイント
- 顧客から「脆弱性診断実施有無」のお問い合わせがあり対応の必要性を感じていた
- コストの安さ、技術力が高さ、スピーディに対応する点を評価し、同社のツールを選定
- 脆弱性診断を実施したおかげで、診断の有無を気にしていた顧客への導入が決まった
製品を導入することになった背景
株式会社ウィルグループは、秘匿性が高いデータを扱うサービスを提供しており、情報流出などのインシデントは許されません。このような背景から、第三者の脆弱性診断は必須と考えていました。また、導入を検討しているお客様から「脆弱性診断実施有無」に関する問い合わせが増えてきたことも、診断の実施が急募となった大きな要因でした。導入前に企業が抱えていた課題
株式会社ウィルグループは、セキュリティを重要なテーマとして位置づけており、アーキテクチャ設計やアプリケーション設計時にもセキュリティに関する注意を払っていました。しかし、構築後や実装後のセキュリティ対策の正当性や網羅性を確認するのには限界があると感じていました。導入前の課題に対する解決策
株式会社ウィルグループは、高い技術力と柔軟な提案力を持つGMOサイバーセキュリティを選定しました。特に「Positive Hack Days」などのハッキングコンテストでの受賞歴や、技術力の確かさ、そして価格面での満足度が選定の大きなポイントとなりました。また、同社の提案は常に柔軟でスピーディーであり、株式会社ウィルグループの抱える課題や相談内容に対しても複数の提案を受けることができました。製品の導入により改善した業務
脆弱性診断を実施した結果、診断を気にしていたお客様の導入が決定しました。また、診断内容や結果、対策が詳しく整理されており、エンジニアが自らのセキュリティ認識を客観的に見直す良い機会となりました。さらに、新たな学びや気づきを得ることができ、今回の診断対象でないサービスにも学んだ知識を適用するなど、セキュリティの観点を強化して業務に取り組むことができるようになりました。
初めてでも安心、丁寧な営業対応で必要最小限の適切な診断を実施
※出典:初めてでも安心、丁寧な営業対応で必要最小限の適切な診断を実施 | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
この導入事例のポイント
- 個人情報を取り扱っている為、定期的に外部診断を受けることが重要だと考えていた
- 開発パートナーに相談したところイエラエ社のツールを推薦され、同社のツールを選定
- 報告内容も分かりやすいため、導入後は安心してサービスを運営できるようになった
製品を導入することになった背景
「Kids Public」は、小児科と産婦人科に特化したオンライン医療相談サービスを提供しており、会員の相談履歴をデータベースに蓄積し、出産から成長する過程をサポートしています。機微な個人情報を取り扱うため、情報の安全性を確保することが重要であり、特に大企業や自治体の福利厚生サービスとして導入される際には、厳格なセキュリティ要件の遵守が求められました。これらの要件を満たすために、外部の専門機関による脆弱性診断の実施が必要となりました。導入前に企業が抱えていた課題
「Kids Public」は、会員の健康に関する相談履歴や写真などの個人情報を取り扱っていたため、データの安全性とプライバシーの保護が大きな課題でした。また、サービスが大企業の福利厚生プログラムとして採用される際、それらの企業から求められるセキュリティ基準を満たす必要がありました。さらに、外部SaaSサービスとの連携により、データの受け渡しに関する新たなセキュリティリスクが生じ、これらの課題に対処するための専門的な知識と対策が必要でした。導入前の課題に対する解決策
これらの課題に対処するため、「Kids Public」は脆弱性診断サービスを導入することを決定しました。イエラエセキュリティは、その丁寧な営業対応と、必要な対策をピンポイントで提案してくれるアプローチが評価され、選定されました。特に、外部SaaSサービスとのデータ連携部分のセキュリティ強化に注力し、リスクの高い部分については手動での診断を行い、迅速なフィードバックと対策の実施が可能となりました。製品の導入により改善した業務
脆弱性診断サービスの導入により、「Kids Public」は、セキュリティリスクの早期発見と迅速な対応が可能となりました。特に、リスクレベルが高い部分については速報を受け取ることができ、最終報告前に対策を講じることができるようになりました。これにより、サービスの安全性が向上し、顧客からの信頼も得られるようになりました。また、定期的な診断の実施により、継続的なセキュリティの確保と、サービスの安心した運営が可能となりました。
要配慮個人情報を保持するアプリに安心を与えるセキュリティ診断
※出典:要配慮個人情報を保持するアプリに安心を与えるセキュリティ診断 | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
この導入事例のポイント
- 新機能で要配慮個人情報を保持しており、より強固なセキュリティ対策が必要だった
- 予算感、診断項目、診断方法、スケジュールの点から同社の診断ツールを選定
- 第三者の客観的な評価に基づいた現状把握と改善対応を進められるようになった
