全国共通のプリペイドカード「QUOカード」を発行している株式会社クオカードは、2019年よりスマートフォンで使えるデジタルギフト「QUOカードPay」の発行を開始。オンラインサイトや決済システム自体の安全性を保つため、EGセキュアソリューションズ株式会社(以下、EGセキュアソリューションズ)に「脆弱性診断」を依頼。
導入した経緯や成果について、デジタルイノベーションラボ プロダクトグループの齋藤健一様に語っていただきました。
導入の背景
システムの安全性を保つために脆弱性診断を毎年実施
- 弊社では、スマートフォンで使えるデジタルギフト「QUOカードPay」を提供しており、多くの企業様にセールスプロモーションなどで広くご利用いただいております。
- ”ギフト”ではあるものの実態は決済系サービスに近い側面があり、比較的攻撃のターゲットになりやすいため、攻撃者に”攻撃しやすそう”と思わせないようセキュリティ対策をかなり重視しております。またサービスの性質上1度インシデントが発生するとビジネスにかなり影響がでてしまうので、毎年必ず脆弱性診断を実施するようにしています。
- EGセキュアソリューションズさんに初めて依頼したのは2019年。私自身20年程エンジニアをしていて、徳丸さんのことはもちろんEGセキュアソリューションズさんのことも存じておりましたので、診断内容に対しての不安は全くありませんでしたし、連絡のやり取りも非常にスムーズだったので安心してお任せできました。
クイックで柔軟な対応が決め手となり2度目の依頼
- 1度目の依頼の際はシステム内に大きなリスクは発見されませんでしたが、実は診断以外の部分でシステムに関するご相談もさせていただいておりました。他社さんだと診断以外の相談は契約外で対応が難しかったり、診断関連の質問でも回答までに時間がかかっていたりしたところをEGセキュアソリューションズさんは迅速且つ柔軟にご回答いただけて大変助かりました。 クイックなやり取りと柔軟なご対応を評価し2021年に2度目の診断依頼をしました。今回は中程度のリスクが見つかったものの大きな問題が発生することなく、その後の改修・再診断含めスムーズに進行出来ました。
- ベンダーさんによって診断の項目やツールが代わる可能性があるので毎年別のベンダーさんに依頼しているのですが、2回お願いをしたのは恐らくEGセキュアソリューションズさんが初めてかなと思います。
今後はコンサルティングでのサポートにも期待
- 今後はシステム周りにおける内製での対応範囲を広げていこうと考えております。ただシステム設計をする際、内部の人間だけではどうしても見逃してしまう部分が発生するため、第三者の観点で見ても問題がないかご相談したいと考えております。今後は、脆弱性診断だけでなくコンサルティングの部分でもご相談させていただければと考えています。