企業向けCMS「はてなブログMedia」の脆弱性診断の実施し、安全・安心なサービスの維持を目指す。

画像

株式会社はてな
磯和様 

株式会社はてな様は、「人力検索はてな」や「はてなブログ」といったUGCサービスを展開しており、800万以上の会員数を持つ企業です。
企業向けCMS「はてなブログMedia」を担当する磯和様は、昨今のセキュリティ意識の高まりにより、企業からのセキュリティチェックシート提出要請が増えたことを受け、弊社に脆弱性診断をご依頼されました。
セキュリティチェックシートには「外部からの脆弱性診断」の項目が含まれることが多く、取引条件として外部診断の実施が求められることが増えているためです。
弊社が実施した脆弱性診断の結果を基に、受注につながる具体的な成果を得ることができたとお話しいただきました。

課題

これまでの課題

  • セキュリティ意識の高まりにより、新規取引の際にセキュリティチェックシートの提出を求められるケースが増加。
  • セキュリティチェックシートには「外部からの脆弱性診断」の項目が含まれることが多くなった。
  • 社内でのセキュリティ基準は設けていたが、外部の第三者による脆弱性診断の実施が必要とされるようになった。
  • 新規取引や既存取引の継続には外部の脆弱性診断が必須と認識されるようになった。
成果

導入後の成果

  • 脆弱性診断の実施が受注につながる具体的な成果を生む。
  • セキュリティ対策をアピールポイントにし、顧客に積極的に実施状況を伝えられるようになった。
  • 社内で懸念されていた軽微な問題点を改めて確認し、対応のロードマップを描きやすくなった。
  • 年1回の定期的な脆弱性診断の実施を計画し、安全・安心なサービスの維持を目指す。

はてな「はてなブログMedia」について

レオンテクノロジー

はじめに会社と担当されているサービスの概要について教えて下さい

画像

はてな 磯和様

はてなは、「人力検索はてな」などから始まって「はてなブログ」のようなユーザー自身が作ったコンテンツを発信・拡散できるUGCサービスをメインに発展し、会員数はトータルで800万以上となっています。また、さまざまな技術やユーザーコミュニティを活かした事業を個人ユーザー様向けだけでなく、企業様向けにも展開しております。
私は、「はてなブログ」をベースにして企業様のコンテンツマーケティングを支援するために拡張されたCMS(コンテンツ管理システム)である「 はてなブログMedia 」を担当しています。CMSにはWordPressなどさまざまな種類がありますが、「はてなブログMedia」はインフラなどを気にせずに、「書くことに集中できるCMS」をコンセプトに使いやすい仕様を目指したつくりにしています。
その甲斐もあり、利用いただいている企業様も、楽天株式会社様、エン・ジャパン株式会社様、株式会社リクルートライフスタイル様など大企業をはじめとして多くの会社、団体様にご利用いただいています。

顧客企業からの高まるセキュリティ対策への要望

画像

レオンテクノロジー

脆弱性診断を実施することになったきっかけはなんだったのでしょうか?

はてな 磯和様

導入事例が増えていく中、昨今のセキュリティへの意識の高まりもあり、ここ1,2年くらいで新しい取引を開始する際に「セキュリティチェックシート」の提出を企業様から求められることが非常に増えました。チェックシートの項目の中には、『脆弱性診断を外部から受けていますか』という項目が入るケースもたびたび見られるようになりました。

弊社は多数のエンジニアが在籍している会社ということもあり、外部からの脆弱性診断を実施する前から、自分たちでセキュリティに関する内部基準を設けてそれを徹底しておりましたし、セキュリティチェックシートでも以前はその様な回答をしていました。しかし最近は「外部の第三者からの脆弱性診断実施」を発注の前提条件とする会社も増えてきています。
こういった状況を踏まえ、今後も大手企業様との取引を獲得、継続するには、外部からの脆弱性診断の実施は必須だという認識を持つに至り、社内の承認を経て脆弱性診断を実施することになりました。

レオンテクノロジーへの依頼経緯

画像

レオンテクノロジー

なぜ弊社(レオンテクノロジー)に診断の実施を依頼いただけたのでしょうか?

はてな 磯和様

私の前職時代、クライアント様向けにWordPressのサイト構築を多数経験し、その中で、WordPressのコアプログラムやプラグインには大小の脆弱性が発生し、そして、それらは放置されがちであるというのも把握しておりました。WordPressは手軽に使えるのが売りなので、セキュリティ診断などにそこまで費用もかけられないケースも多いのが実情かと思うのですが、レオンテクノロジーさんがWordPress向けのセキュリティ診断を安価にご提供されているのを知り、採用させてもらったケースがあったのを覚えていました。

WordPressでも対応できるなら、メディア系のCMSに必要な診断項目もよく把握されているだろうということがレオンテクノロジーさんに診断をお願いしようと思った理由の1つです。
ただ、実際には社内でも相談して、脆弱性診断のメニューを掲げている数社から見積もりを取りました。非常に高額な見積もりを提示する会社や、見積もりを立てるために長大なヒアリングがまず必要、といった会社もある中で、1番金額の中身が明快で、レスポンスが早かったのがレオンテクノロジーさんでした。

脆弱性診断実施後の状況

画像

レオンテクノロジー

診断の実施を受けていかがでしたか?

はてな 磯和様

脆弱性診断の実施が受注につながった案件が実際に出ています。これはまず実施した具体的な成果です。
我々の「はてなブログMedia」は、先ほどもお伝えしたように、インフラなどを気にせずに手軽に使えますよというのを売りにしておりますので、当然こちら側でセキュリティを担保しなければなりません。弊社としてはセキュリティ対策をきちんとしている点は今後もアピールポイントにしていきたいと考えています。また、今回脆弱性診断を実施させて頂いたことで、お客様により積極的に弊社のセキュリティ対策の実施状況をお伝えできるようになりましたし、軽微なものとはいえ自社のエンジニア内でも懸念点と考えていた点を改めてご指摘頂けたことで、改めて社内で対応のロードマップを描きやすくなったのが良かったと思います。
まずは1回の実施と考えていた脆弱性診断ですが、クライアント様からの要望や社内でのメリットも踏まえ、安全・安心なサービスの維持を目指して今後も年1回のペースで定期的に実施していきたいと考えています。

はてなブログMediaの今後とセキュリティ対策

画像

レオンテクノロジー

はてなブログMediaの今後についてはどう考えていますか?

はてな 磯和様

今後については、「書くツール」としての使いやすさの追求はもちろん、「はてなブログMedia」を使っていたからこそオウンドメディアの発展やコンテンツマーケティングの実践が実現できた、と言われるようなプロダクトを目指したいと考えています。そのために、データの可視化に関する機能は強化したいですし、MAやサブスクリプションといった外部ツールとの連携のニーズも高まっているので、そこは積極的に対応していきたいと考えています。
もちろん、セキュリティやパフォーマンスの担保というところについてクライアント側では気にする必要がない、というSaaSとしての良さはこれまで以上にアピールしていきたいと考えていますし、「安心・安全なCMS」としてのブランディングも確立できればと考えています。

お客様の業界や固有の課題に対応した事例や支援をご提案いたします。
ご相談はお気軽にどうぞ。

弊社では、サービス提供後のフォローにも力を入れています。お客様が安心してサービスを利用できるように、問題が発生した際の迅速な対応はもちろん、定期的なフォローアップや最新情報の提供を通じてお客様をサポートいたします。