freee株式会社｜セキュリティ診断導入事例

国内シェアNo.1のクラウド会計・給与計算ソフトに対し，セキュリティ診断を実施。

クラウド会計・給与計算ソフトを提供しているfreee(株)は，「誰もが創造的な活動ができる社会」と「スモールビジネスが強く、かっこよく活躍する社会」を目指し，スモールビジネスに不可欠なビジネスプラットフォームを提供しています。 "会計業務を圧倒的に効率化する"事を目指す『会計freee』では70万を超える事業所で利用されており，"給与計算から労務管理まで誰でもラクに・間違いなく行える"事を目指す『給与計算freee』と共に，40%を超えるシェアを獲得しています。

70万を超える事業所の会計情報を守るために

既存の考え方にとらわれないテクノロジーとサービスでスモールビジネスをサポートしているfreee（株）ですが，そのビジネスの性質上，お客様の事業所情報やその会計情報・給与情報という非常にセンシティブな情報を取り扱う必要があります。
70万を超える事業所の情報を守るため，freee(株)のCSIRTチームではサービス・自社内のセキュリティ活動に日々取り組んでいます。

大切な情報を守るためには診断も高度な物を

お客様の情報を守るための活動の一環として，自社内での静的解析は随時実施しています。 しかし，攻撃者の手法は日々進化しており，最新の攻撃からお客様の情報を守るためには一般的なセキュリティ対策では十分と言えず，専門家によるセキュリティ診断が必要と考えます。 そこで，実際の攻撃者と同様な手法を，攻撃者の思考を持って実施するサイバーディフェンス研究所へ診断を依頼しました。

攻撃者の視点を活かした実効的な診断

サイバーディフェンス研究所との事前協議の中で実際の攻撃者が狙いそうな機能を想定し，その箇所に対し重点的な診断を行ったり，機能は異なっても構造面から同様の問題を孕んでいる事が分かる箇所を除外する事でリソースの重複を避ける等，密なコミュニケーションを取る事によって非常にスピーディ且つ効率的に診断を実施する事ができ，また，作業前後のfreee(株)側の作業負荷も高くなく実施する事ができました。

セキュリティ診断をセキュアーな開発に活かす

診断結果の報告では，攻撃手法そのものの説明も受ける事で，社内エンジニアにおける具体的な脅威に対する理解が深まり，今後の開発に活かせる事も大きな成果と考えます。 将来的には，自社エンジニアのセキュリティ教育を強化しエキスパートを育て，今以上にセキュリティを効率良く実現させると共に，新規機能のリリースなどのタイミングでは専門家に協力をして貰いながら，スモールビジネスに不可欠なビジネスプラットフォームを提供し続けていきたいと考えています。