手動診断の安心感とツール診断の効率性を両立しながら、セキュリティ対策コストを65%削減・リードタイムを1ヶ月短縮できたワケとは。

導入企業紹介

「”できっこない”に挑み続ける」ことを掲げ、一般ユーザー向けの会員制ファンコミュニティプラットフォーム「Fanicon」の提供や、デジタルマーケティング事業を手掛けるTHECOO株式会社。

2014年の創業以来、失敗を恐れず、成功するまで続けることを信念に成長を続け、2021年には東証グロース市場(旧東証マザーズ)への新規上場を果たしました。

この度、SecurifyとEGセキュアソリューションズ株式会社の手動診断を取り入れた「Securify マニュアル脆弱性診断」サービスをご契約いただいた経緯を情報システム部 部長の佐藤 強(さとう つよし)さんにうかがいました。

診断サービス

• Webアプリケーション診断

課題と効果

――はじめに、御社の事業内容を教えてください。

THECOO株式会社は、2014年1月に設立された企業で、「”できっこない”に挑み続ける」ことを掲げ、主に以下の事業を展開しています。

・ファンビジネスプラットフォーム事業
会員制ファンコミュニティアプリ「Fanicon」の開発・運営を行っています。このプラットフォームは、物販やチケット販売など、従来型のファンクラブの機能を搭載しつつ、チャットやライブ配信・オンラインくじなど、独自の機能を提供しています。

・デジタルマーケティング事業
YouTuberやインスタグラマーなどを活用したマーケティング支援をおこなう「インフルエンサーセールス事業」、運用型広告のコンサルティングを行う「デジタル広告事業」を提供しています。

――佐藤さんご自身のご経歴について教えてください。

私は約15年間にわたりコーポレートITの領域でキャリアを築き、社内SEやコーポレートエンジニアとして企業のIT基盤を支える業務に幅広く携わってきました。
キャリアのスタートは携帯電話会社での開発業務でしたが、リーマンショックを機に、より広い分野へ挑戦することを決意し、その一環として情報システムの領域に軸足を移しました。

最初は、国内大手グループ企業で本格的に情報システムのキャリアを積み、全社情報基盤のインフラ構築や、サーバ・ネットワーク機器のリプレイス業務を担当しました。クラウド環境の普及に伴い、オンプレミスからクラウドへの移行プロジェクトを多数手がけ、システムのモダナイズを推進してきました。加えて、情報セキュリティ規程やガイドラインの策定・変更管理、事業部のシステム運用ガイドラインの策定、新規チームの立ち上げなど、多岐にわたる業務を経験しました。

その後、より多様な環境で自身のスキルを活かすためグローバル企業へ転職。日本国内のみならず海外拠点を含めた情報システム全体の企画・プロジェクト推進・運用などを担当し、加えて、ISMSや内部統制にも従事しました。その後、メガベンチャー企業へ移り、テックリードとして技術領域にフォーカスした業務を担い、エンジニアリング面での知見を深めました。

そして、2023年10月にTHECOO株式会社へ入社しました。

――現在はどのような業務を担当していますか？

業務内容は、システム運用からIT戦略まで幅広く、特に近年はサイバー攻撃の増加や手口の高度化が進む中、その脅威に対応するため、EDR製品の見直し、IDPの導入、ゼロトラストネットワークの推進など、セキュリティ強化に注力しています。また、上場企業として求められるIT統制や社内規程の策定にも携わっています。

さらに、各部門が抱える個別課題への対応や、社内システムの適切な運用支援、業務フローの最適化を進めています。内部統制の一環として、ITGC(IT全般統制)やITAC(IT業務処理統制)、JSOX対応の強化を推進し、システムの安定運用と業務の円滑化をはかっています。加えて、個別プロジェクトの企画・推進を担い、全社共通課題の解決にも取り組んでいます。

――今回、Securifyで診断したWebアプリケーションの概要を教えてください。

会員制ファンコミュニティアプリ「Fanicon」が診断対象です。

現行の手動診断に感じていた課題

――セキュリティ対策について、御社ではどのように取り組んでいましたか？

以前は、外部のセキュリティ会社に依頼して手動の脆弱性診断を実施していました。
今回Securifyを契約したきっかけというのは、現状のセキュリティ対策について課題を感じていたからなんです。

――なるほど。どういった検討背景があったんでしょうか？

本件の検討背景には、主に以下の2点の課題がありました。

1. 脆弱性診断コストの高さ
脆弱性診断コストの高さです。毎年実施する脆弱性診断の内容に大きな変化がないにもかかわらず、高額な診断費用が継続的に発生していました。特に、手動診断のフルスキャンにかかるコストが常に発生することに対して疑問を感じており、社内でも「コストが高い」という共通認識がありました。このため、よりコストパフォーマンスの良い選択肢を検討する必要性があると感じていました。

2. 脆弱性修正後の診断プロセスの非効率性
脆弱性を修正した後に再診断をおこなう際、外部のセキュリティ会社と日程や診断内容の調整が必要となり、その過程で診断完了までのリードタイムが長期化していました。結果として、社内リソースや時間を圧迫し、スムーズな対応が難しくなっていました。

この取引先は、私が入社する前から利用されていたようですが、こうした課題を踏まえた時に、引き続き同社のサービスを利用することが最善の選択なのか疑問を抱くようになりました。取引自体は数年間続いていたものの、これらの課題を解決するために、他社のサービスを検討し始めたのが今回の背景となります。

――数ある脆弱性診断ツールの中から、Securifyを導入いただいた経緯を教えてください。

当社では、私が入社する以前からSecurifyの提案を受けていました。
その後、改めて話を聞く機会があり、導入を検討するきっかけとなりました。セキュリティ対策の見直しにあたっては、Securifyだけでなく、他のツールも含めて幅広く選択肢を検討し、最適なソリューションを選ぶために比較・評価を行いました。

自動のツール診断＋高精度な手動診断＝Webアプリケーションにおけるセキュリティを一層強化

――その中で、導入を決断いただいた理由は何ですか？

実は、今回はSecurifyのツール診断だけでなく、EGセキュアソリューションズ株式会社の手動診断を取り入れた「Securify マニュアル脆弱性診断」サービスを契約させていただきました。

手動診断の有効性は既存の対策で実感しており、特に個人情報を扱うソリューションであるため、AIツールと熟練エンジニアによる診断を組み合わせることで、より強固なセキュリティを確保できると考えました。ハイブリッドな診断を導入することで、より一層の安全性を確保できたと感じています。

決め手となったのは、圧倒的なコストパフォーマンスです。他社と比較しても価格面で優れており、従来の手動診断と比べて65%のコスト削減を実現できました。導入を検討するにあたり、Securifyの公式サイトに掲載されている導入事例や口コミを確認し、他社の評価も調査しました。

さらに、EGセキュアソリューションズのCTOがWebセキュリティの専門家であることも信頼性の大きな要素となり、総合的に判断して「Securify マニュアル脆弱性診断」の導入を決断しました。

――実際に導入してみて、Securifyの使い勝手はいかがですか？感想を教えてください。

1. 導入にあたり
1ヶ月のトライアルを経て、正式に契約しました。SecurifyのUIは直感的で分かりやすく、操作もスムーズにおこなえます。また、営業やカスタマーサクセスの担当者が手厚くサポートしてくれたおかげで、導入時に難しいと感じることはほとんどありませんでした。レスポンスも早く、導入に関する不安は特にありませんでした。

2. 導入後の効果
実際にSecurifyを使って診断を実施したところ、想定外の脆弱性が発見され、正直驚きました。
社内での修正もスムーズに進めることができ、Securifyのレポートが非常に分かりやすかったおかげで、開発チームにも内容をすぐに理解してもらえました。レポートには、発見された脆弱性の危険度や、その脆弱性によって起こりうる問題、具体的な修正方法の例示が記載されており、修正作業の参考になったと開発チームからも評価を受けました。

また、診断結果を外部に提出する必要があったのですが、Securifyのレポートがそのまま利用できたため、特別な追加対応をせずに済んだのも助かりました。

さらに、改修後の再診断に関しても、従来の方法と比べて大幅に負担が軽減されました。
以前は、再診断を依頼する際にヒアリングシートへの回答やメールのやりとりが必要で、場合によってはミーティングをおこない、複数の確認事項を持ち帰るといったプロセスが発生し、非常に手間がかかっていました。しかし、Securifyではボタン一つで再診断を開始でき、弊社の場合は約2時間ほどで完了しました。これまでの煩雑なフローと比べると、非常に効率的で手軽になったと感じています。

3. 導入の総評
Securifyは操作が簡単で、診断結果の分かりやすさや迅速なサポートも魅力的です。
特に、再診断の手軽さは、これまでのフローと比べても大きなメリットでした。導入後の業務負担が軽減され、効率的に脆弱性対応を進められるようになったことから、Securifyを導入して正解だったと実感しています。Securifyならボタン一つで再診断ができます。本当に簡単になりましたね。

当初の課題を改善し期待以上の効果へ

――Securifyの導入により、どのような効果を得られましたか？

脆弱性診断のコストを65%削減達成
脆弱性修正後のリードタイムを1ヶ月短縮

Securifyの導入と手動診断を組み合わせたハイブリッド診断により、脆弱性診断の精度が向上し、従来に比べて修正すべき脆弱性の発見量も増加しました。
特に、ツールだけでは検出しきれない部分については、専門のチームが手動診断で対応してくれるため非常に心強いです。実際に、手動診断によってツールでは検出できなかった脆弱性を発見することができました。

――最後に、セキュリティ対策における今後の展望などがあればお聞かせください。

現在は手動診断と同時にツール診断もおこなうフローをとっていますが、今後はもう少し頻度を上げた診断スケジュールも組んでいきたいと考えています。

――嬉しいお言葉をありがとうございます。佐藤さん、本日はありがとうございました！

導入０円、ワンストップで実現するセキュリティ対策「Securify」