セキュリティ専門集団による脆弱性診断は、競合他社との差別化になる

株式会社ニューズピックス

ソフトウェア・エンジニア 武藤雅幸様

国内外100以上のメディアから厳選した経済ニュースを専門家のコメント付きで読める「NewsPicks」。著名人も利用する話題のソーシャル経済メディアを運営するにあたり、株式会社ニューズピックスではサイトの安全性を維持するべくイー・ガーディアングループのサイバーセキュリティ事業を担うEGセキュアソリューションズ株式会社に「Webアプリケーション脆弱性診断」と「スマートフォンアプリケーション脆弱性診断」を依頼。その詳しい経緯や診断後のご感想をエンジニアの武藤様にうかがいました。

導入の背景

著名人をはじめとする自社メディアのユーザーに安全性をアピールしたい

弊社で運営する「NewsPicks」は、「経済を、もっとおもしろく。」をミッションに掲げるソーシャル経済メディアです。2013年スタートと比較的新しいサービスですが、2017年には海外展開をスタート。国内有料会員も10万人を超えるなど、順調に裾野を広げてきました。
「NewsPicks」の差別化ポイントは有名企業社長や大学教授、研究者など経済の専門家の投稿するコメントが読める点にありますが、こうした著名人をはじめとするユーザーの方々が安心してご利用いただける基盤をつくり、万全のセキュリティを維持するのが私の所属するCoreDevチームの仕事です。
「NewsPicks」がセキュアなサイトであることを確認するため、チーム内でもセキュリティ診断を定期的に行っていますが、ユーザーのみなさまに安全性をアピールするには、第三者機関による診断を受けることが有効だと判断。数年前より更新時に脆弱性診断を第三者機関に依頼しています。その担当を私が引き継いだタイミングでEGセキュアソリューションズさんを候補に挙げさせていただいたのは、診断ツールによる自動診断ではなく、プロのエンジニアが手動で行う脆弱性診断に興味があったからです。最終的にはEGセキュアソリューションズさんを含む2社で比較検討しましたが、グループの中核であるイー・ガーディアンさんには別の業務でもお世話になっていましたし、EGセキュアソリューションズ社長の徳丸浩さんのお名前は社内でも浸透していましたので、人の手による診断に賭けてみたいという私の希望はすんなりと叶いました。

武藤様

手動による脆弱性診断で問題が検出されなかったことが安心材料に

アプリイメージ

EGセキュアソリューションズさんとのやりとりは比較的スームズに進んだと思います。緊急性の高い脆弱性が発見されたときに届くという「アテンション」というメールを一度だけいただきましたが、社内でも把握済みの問題だったので対応に困ることもありませんでしたね。診断終了後に届いたレポートでは「こういう設定にした方がより安全です」といったポイントをいくつかご指摘いただき、とても参考になりました。
最終的に、緊急性の高いセキュリティ上の脆弱性は検出されませんでした。しかし、手動で診断していただいた結果、問題がないことが確認できたことこそ最大の成果だと思いますので、EGセキュアソリューションズさんの診断結果にはとても満足しています。

脆弱性診断は保険のようなもの。健康診断感覚で定期的に実施したい

ソーシャルメディアの運営会社にとって、脆弱性診断はある種の保険。健康診断のような感覚で、今後も定期的に実施していきたいですね。理想は年に一度。更新のタイミングでじっくりチェックしたいと考えています。
今回ご依頼したスタンダードプランではサイト内を網羅的に診断していただきましたが、ログインまわりやセッションまわりといったセキュリティ上重要な部分は深掘りし、それ以外の部分はライトプランでさらっとチェックしていただくといった複合プランがあると活用の幅も広がると思いました。

ニューズピックス公式サイトはこちら

CASE STUDIES導入事例

セキュリティ教育(Security Campus)

株式会社ヌーラボ

Backlogの未来を見据えた、ヌーラボ社の選択。

投稿監視サービス(有人監視)

株式会社Asobica

日本×ベトナムによる高品質かつ柔軟な監視体制で安全なコミュニティ運営を実現

広告審査代行 広告出稿先サイトチェック

ソニーネットワークコミュニケーションズ株式会社

膨大なコンテンツチェックを広告審査のプロに安心してお任せ!「リスクヘッジ」と「訴求力最大化」の両立を実現