株式会社アイテックジャパン 様

事業内容: 携帯SaaSシステムの開発 (OEM提供のみ)、 企業専用セキュアサーバ、帯域、
各種セキュリティシステム、ドメイン業務
ご利用プランSiteScan2.0

携帯アプリケーションの安全性を第三者の目で証明 セキュリティの要求が高い顧客も大満足

株式会社アイテックジャパン様は、国内最多規模を誇る携帯SaaSシステムの開発をはじめとして、企業専用セキュアサーバ、帯域などのインフラの管理まで、ワンストップで提供している。同社は従来からアプリケーションの安全性について力を入れてきたが、顧客のニーズに合わせて、第三者の視点でリスクを評価することを決断。アイティーエム(株)提供の脆弱性診断サービス 『SiteScan2.0』を活用して、これまでならば受注が難しかった案件を獲得することに成功した。同社の取り組みを追ってみた。

携帯用SaaS開発のトップランナー

国内普及台数1億台を突破した携帯電話は、いまや人にもっとも身近なデバイスであり、企業にとっても重要なマーケティングツールの一つとなっている。
株式会社アイテックジャパンはi-modeの黎明期からモバイル・マーケ ティングのアプリケーション開発を手掛け、つねに高い技術力を発揮し続けてきた。その進化形が、現在、携帯用SaaSの形で提供されている『KAM (ケータイ・アド・マーケティング)』だ。これは、自分で簡単に携帯サイトや高度なデータベースを作成できるCMSで、モバイルSaaS開発の独自のフ レームワーク『SAB(Smart Architecture Basement)』をベースに、高いカスタマイズ性や大規模案件への対応、高速での動作と安定性、専用セキュアサーバとの徹底的な親和性を実現していることが特徴だ。マーケティングに適した携帯用CMSをSaaSで展開するのは国内初で、現在も国内最多規模の開発数を誇っている。
ユーザから見ると、SaaSは自社でアプリケーションやサーバを直接持たずに、サービスだけを利用できることがメリットだ。ただ、データを外部に出すことになるため、なかにはセキュリティの観点からSaaSの活用に二の足を踏むユーザもいる。そこで同社は、アプリケーションの安全性を客観的に証明するために、アイティーエム(株)の脆弱性診断サービス『SiteScan2.0』を活用した。
飯田幸彦様

代表取締役 飯田幸彦 様


高いセキュリティレベルが求められる携帯検索システム

そもそものきっかけは、ある県庁から、子育て支援サービスのシステム開発を依頼されたことだった。この制度は、県が子供を持つ家庭にカードを発行して、子育て家庭は協賛企業にカードを提示すると優待サービスを受けられるというもの。県は民間を活用した形で子育て支援ができて、また子育て家庭は優待サービスを受けることができ、さらに協賛企業には集客効果も見込めるという三方よしの制度だが、これを利用しやすい形で実現するには、子育て世帯が外出中でも携帯電話で協賛企業を検索できる仕組みが必要だった。
県庁は同社にこの携帯システムについて打診したが、問題が一つあった。その県は庁内に立派なデータセンターがあり、セキュリティ上の問題からサーバを庁内に置くことを要望したのだ。しかし、開発後も24時間365日のサポートを責任持って行うためには、同社内での管理が必要不可欠。それを県側に伝えると、サーバやアプリケーションの安全性を証明することを条件に発注することになった。
代表取締役の飯田幸彦社長は、こう明かす。
「アプリケーションの脆弱性に関しては、以前から細心の注意を払って開発していたので、弊社としても自信を持っていました。ただ、自社の検査で保証をしても、お客さまには納得していただけません。誰の目にもわかる形で安全性を証明するには、第三者によるチェックが必要。そこで脆弱性診断サービスの検討を始めたのです」

アイティーエム(株)のスピード感を評価

脆弱性診断サービスを導入するにあたって、同社は3つのサービスを検討のテーブルにあげ、情報収集に動いた。選定の条件としてあげたのはコストとスピードだった。
とくに重視したのはスピードだ。県の担当者から脆弱性についての証明を求められたのは、08年1月。検索サービス開始に間に合わせるためには、その月のうちに選定を済ませて、翌月には検査を実施する必要があった。その点をクリアしたのがアイティーエム(株)だった。
「じつは弊社の別のお客さまが、ある会社の脆弱性診断サービスを受けたことがあったのですが、話を聞いてみると、かなりのコストがかかったうえに、問い合わせてから検査を実施するまでに予想以上の時間を要したとか。それではお客さまが要求するスピードに間に合いません。アイティーエム(株)さんはたまたま知人から紹介を受けたのですが、とにかくレスポンスが速いと聞いていたので、さっそくお話を聞いてみることにしました」
実際、アイティーエム(株)の対応は早く、コストの面でも満足がいくものだったため、ほぼ即断即決で導入を決定した。
「レスポンスが速いといっても、説明はおざなりではなく、とても丁寧。検査内容もしっかりしていたし、何よりこれまで多くの会社が採用してきた実績が心強かった。実績は、お客さまがもっとも気にされる部分ですからね。もうそれ以上、他のサービスを検討するのは時間の無駄だと判断して、アイティーエム(株)さんにお任せすることにしました」
渡邉文月様

カスタマーサポート
渡邉文月 様


脆弱性ゼロの診断に顧客も納得

アプリケーションを開発後、2月中旬には診断を実施した。診断する脆弱性は、SQLインジェクションとクロスサイト・スクリプリティング。脆弱性があればクリティカル・ハイ・ローの3段階で評価されるが、結果はどの項目もゼロだった。
それなりに対応している企業でもローと評価される脆弱性が複数見つかるケースが多いことを考えると、同社の脆弱性対策は、ほぼ完ぺきだったといえる。
「弊社のお客さまにはセキュリティ企業の方もいらっしゃるので、セキュリティホールには普段からしっかりと対応してきたつもりです。ただ、もしかしたら未対応のものがあるかも、という不安も拭えませんでした。それがこの検査で払拭できたのは大きい。脆弱性が数多く見つかれば受注そのものがなくなってしまう恐れもあっただけに、本当にホッとしました」
この結果を県庁の担当者に伝えて、正式受注が決定。さっそく子育て支援サービスで携帯検索システムを稼働させたところ、多い日には1日70~80万アクセスにのぼるほど広く利用されているという。


これからは個別案件のリスク評価が必要な時代に

今後は『SiteScan2.0』による定期的な診断も視野に入れている。
「1回の診断では、そのときの安全性しか証明されません。あくまでお客さまの要望次第ですが、今後、新たにセキュリティホールが見つかる可能性もあるので、できるかぎり定期的な検査を提案したいと考えています」
またこれからSaaSでアプリケーションを提供する他の顧客についても、脆弱性診断サービスの提案を積極的に行う考えだ。
「弊社はセキュリティ認証のプライバシーマークを取得して、さらに現在はISO27001(ISMS)取得に向けても動き出しています。それらの認証で『私たちの会社は安全です』というアピールはできます。ただ、セキュリティ認証を取得するのは、いまやあたりまえのこと。お客さまがベンダーに求めるハードルが年々高くなっていることを考えると、これからは『私たちの提供するアプリケーションは安全です』というように、個別の案件について安全性をアピールすることが必要な時代になるはずです。『SiteScan2.0』を活用してそれをこちらから提案できれば、他社との差別化にもなるのではないでしょうか」
最後に、飯田社長はアイティーエム(株)の印象について次のように語ってくれた。
「実はセキュリティ関連のベンダーには、融通の利かないイメージを持っていたんです。しかし、アイティーエム(株)さんはこちらのフトコロに飛び込んできて、事情をよく理解したうえで厳しく且つ柔軟な対応をしてくれた。その対応力は本当に頼りになる。セキュリティで何か課題が発生すれば、これからはまずアイティーエム(株)さんに相談したいですね」