この事例は、顧客体験（CX）コンサルティングパートナーである企業が提供する中小企業向けのDX（デジタルトランスフォーメーション）プラットフォーム製品に対し、新機能のリリース前にセキュリティ上の安全性を確保するために実施した「ホワイトボックスペネトレーションテスト」に関するものです。

プラットフォーム製品について：

このプラットフォームは、ホームページ作成、メール配信、名刺管理、ファイル共有、社内申請の承認フロー（ワークフロー）など、中小企業が必要とする様々な業務デジタル化の機能を一つのツールにまとめた製品です。この製品を導入することで、複数のツールを使い分ける手間がなくなり、業務効率化とデータ活用をサポートします。

ホワイトボックスペネトレーションテストとは：

お客様のシステムの設計図やプログラムの設計図（ソースコード）など、通常は外部に公開されない情報をすべて共有してもらった上で、セキュリティ専門家がシステムの弱点（脆弱性）を探し出し、実際に侵入を試みる（ペネトレーション）ことで、セキュリティの安全性を検証する、最も徹底的で詳細な診断手法です。

Tokyo Techiesは、このテストを通じて潜在的なリスクを特定し、その対策を推奨した詳細な報告書を約1ヶ月半で提出。プラットフォームの新機能が安全にリリースされるよう支援しました。

‍

‍

‍

‍

Tokyo Techiesによるホワイトボックスでの徹底的なセキュリティ検証

Tokyo Techiesは、ご依頼に対し、新機能の安全性を確実にするため、以下のプロセスで「ホワイトボックスペネトレーションテスト」を実施しました。

1. システムとリスク領域の特定

• システム分析と脅威モデリングの構築： システムの設計図（システムアーキテクチャ）やアプリケーションの構成を詳細に分析しました。これにより、潜在的なリスク領域（攻撃者が狙いやすい、またはセキュリティ上の弱点がある可能性が高い部分）を特定し、どのような攻撃が想定されるか（脅威モデリング）を構築しました。

2. 徹底的な診断と脆弱性の検出

• 多角的なセキュリティ監査の実施：
  
  • 脆弱性スキャン： 自動ツールも活用し、システム全体に既知のセキュリティ上の問題がないかをスキャンしました。
  • ソースコードレビュー： 通常の診断では見つけられない、プログラムの設計図（ソースコード）レベルの深い部分に潜むセキュリティ上の弱点（潜在的な脆弱性）を専門家が手作業で発見しました。
• 詳細な報告書の作成： 検出されたすべての問題点に対し、問題の深刻度、実際に攻撃が成功するかを試した検証コード、そして開発部門がすぐに修正に取り掛かれるよう具体的な対策推奨を含む詳細な報告書を作成・提出しました。

3. 修正の確認と安全性の確保

• 最終確認（再検証）： 開発側で脆弱性の修正が完了した後、その修正が適切に実装され、他の問題が発生していないかを再確認（再検証）しました。
• 安全性の立証： 最終的にすべての脆弱性が閉じられ、システムが厳重に保護されていることを確認・立証し、新機能の安全なリリースが可能であることを保証しました。

このアプローチにより、プラットフォームの新機能は、一般公開前に潜在的なセキュリティリスクがすべて排除され、ユーザー企業様が安心して利用できる安全性が確保されました。Tokyo Techiesは、お客様が安心して製品を市場に送り出すための「セキュリティの保証」という重要な役割を果たしました。

‍

セキュリティの課題をお持ちではありませんか？

新機能の追加、システムの入れ替え、クラウド移行など、IT環境の変化は常に新たなセキュリティリスクを伴います。「どこから手を付けていいか分からない」「専門的なセキュリティ診断はハードルが高い」と感じていらっしゃるかもしれません。

Tokyo Techiesにはサイバーセキュリティの専門チームがあり、貴社の状況や予算に合わせて、今回のようなペネトレーションテスト（侵入テスト）や脆弱性診断（セキュリティチェック）といったサービスを提供しております。

もし、貴社でも製品やシステムに関するセキュリティ上の懸念や、外部監査の必要性を感じているようでしたら、その課題解決に向けた最適な選択肢の一つとして、弊社の専門的な知見をご提供できるかもしれません。

まずは貴社の状況を伺い、どのようなアプローチが最適かをご提案いたしますので、どうぞお気軽にご相談ください。