【株式会社ペイジェント】診断を任せた決め手は、クラウドの豊富な知見と技術力

決済サービスを軸に、加盟店と消費者が相互に便利かつ安心になるキャッシュレスのインフラ整備に取り組む、株式会社ペイジェント。
ペイジェントでは新たな軸となる事業、支払い代行事業がスタートしています。この新事業での新たな取り組みとして、オンプレミス環境からクラウド化に取り組まれています。
その中でスリーシェイクのSRE支援サービス「Sreake」そして脆弱性診断サービス「Sreake Security」をご利用いただきました。
この記事ではSRE支援「Sreake」の感想や今後の展望などについて、開発を取りまとめている事業戦略部 新規グローバルビジネス企画グループ 開発チームリーダーの江口 晋右さんにお話を伺いました。
SRE支援についてのインタビューはこちら

――はじめに、御社の事業内容を教えてください。

弊社は、2006年に、株式会社ディー・エヌ・エーと株式会社三菱東京UFJ銀行（当時）により設立された合弁会社です。設立当時から、主軸は決済代行サービスで、クレジットカードや電子決済サービスをインターネット・携帯電話上で利用できる仕組みを提供する事業を行っています。

――江口さんご自身はどのような業務を担当していますか？

私が今所属しているのは「事業戦略部　新規グローバルビジネス企画グループ」という部署です。
部署名が示すように「決済代⾏の次の軸となるビジネスを⽴上げる新規事業部⾨」です。 当部署では支払い代行サービスを運営しており、サービス単体で利用者様の振込業務を簡単にすることに加え、決済代行サービスと連動することで、より利用者様の決済業務を効率的にできる事業です。新規事業である支払い代行サービスは、今年2021年3月に正式リリースにいたりました。
そのなかで、私は開発チームリーダーとして、サービスの改善や機能の追加など、開発に関するマネジメント全般を担っています。

――今回、脆弱性診断を受けられたきっかけを教えてください。

社内で新規サービスをリリースする際には、外部の脆弱性診断を受けることがリリースに当たってのガイドライン・フローとして決められています。やはり金融・お金に関わるサービスを軸に事業を行っているため、サービス品質には会社としても意識している部分になります。
もともとは、脆弱性診断に関してグループであり、知見を持たれているNTTデータ様にご相談させていただきました。そこで、NTTデータ様自身も信頼されているスリーシェイクの脆弱性診断をご紹介されました。
SRE支援でもスリーシェイクにはお世話になっており、技術力やコミュニケーションなど安心して任せられる実績がありましたので、脆弱性診断もお願いすることになりました。

――SRE支援の実績を評価して診断をお任せいただき、ありがとうございます。今回の脆弱性診断はどのサービスに対して診断を受けたのですか？

診断を受けたのは私が進めている支払い代行サービスです。こちらのサービスでスリーシェイクのSRE支援も利用してオンプレミス環境からクラウド化を進めています。
この支払い代行サービスの、新機能リリースにあたり脆弱性診断を実施いただきました。脆弱性診断はアドバンス診断を利用しました。

――診断の準備までの流れや、内容はいかがでしたか？

診断日程や対象範囲などの調整を準備として行いました。
対象範囲の内容はもともとSRE⽀援で内部に入っていただいていたため、特に弊社から細かく指定せずとも、同じ認識が取れていました。SRE支援も脆弱性診断もやり取りが一本化していたため診断前の調整はスムーズでした。
実際の診断自体は3月下旬にテスト環境上で4日間診断してもらい、4月の月初には報告書をいただきました。また後日、報告書だけでなく報告会で結果の説明を受けました。

――診断の結果、脆弱性は見つかりましたか？

1つ、他の部分に影響が出る指摘がありました。リリース前に指摘いただいたのは非常にありがたかったです。
結果は、社内でも「これに関してはすぐに対応が必要だね」という判断をすることができ、早急に対応させていただきました。
また、今回指摘いただいた部分は他の開発物に関してもこの観点をチェックしなければならないと認識し、社内でも展開させていただきました。

――発見時の対応はどのように進められたのですか？

診断時に報告書の提出とともに、内容を説明する報告会をオンラインで開いていただきました。見つかった脆弱性を実際に攻撃するデモンストレーションをしていただき、理解が深まりました。
実際に「この指摘いただいた部分にはこういうリスクがあり、こういう事象が起きる可能性がある」というイメージがつきやすかったです。
報告書の内容も、実際に「なぜだめなのか」というところが書かれていたため、このような部分が懸念なのだと気づける内容になっていました。

――スリーシェイクに対して全般的な感想があればお聞かせいただけますか︖

スリーシェイクに対しては、SREも支援いただき、内部を理解いただいている部分もあったかと思いますが、非常に柔軟に、迅速に対応いただきました。診断直前まで対象範囲を変更したり、契約面で調整をお願いしたりもありましたが、敏速にご対応いただけました。
全般的な感想としては、リリース前にリスクを排除でき、よかったと思っています。
やはり、金融サービスということで、こういった懸念がサービス・事業の特性上残っていてはいけない領域です。問題が起きない、事前にリスクを潰すことができて安心しています。

――利用した感想や、今後期待することがあればお聞かせください。

脆弱性診断については、早い段階で脆弱性が見つかり良かったです。柔軟かつスピーディに対応いただきありがたく思っています。弊社の事業の特性上、セキュリティ上の懸念は決して残してはいけない領域です。今回得られた知見を社内で共有して、これからの開発に取り組んでいきたいと思います。定期的に受ける必要があるため、次回もお願いできればと感じています。

――最後に今後の展望をお聞せください。

今後の展望は、SRE支援にも入っていただいている我々の事業（⽀払い代⾏）が弊社にとっては、新しいクラウド環境での開発に先⾏して取り組んでいるという部⾨になります。
そのため、そこで活かした知⾒を今後、既存の決済代⾏の部分にも活かしていけるような動きが今求められています。徐々にクラウドの知⾒を貯めて、展開していくことを今後⽬指していきたいです。
また関連してインフラの知⾒、活⽤⽅法、開発における注意すべき点など、様々な知⾒を得た上で開発チームとして質を上げていきたいと思います。ただ、同等にこれまで培ってきたセキュリティ観点での事故を起こさないようにしてきた面は、開発環境が変わったからとないがしろにしていい部分ではないため、セキュリティ⾯でも劣らないようにしていく必要があります。

――ぜひ、スリーシェイクの技術力を今後もお役立ていただけたら幸いです。江口さん、本日はありがとうございました！

今回の診断に対して診断員からもコメントをいただいています。

〈スリーシェイク 診断員からのコメント〉
今回は検証環境で仕様や機能を確認するブラックボックステストを実施し、さらにペイジェント様からソースコードも提供していただき、ソースコードと合わせて確認を行っています。
外から（ブラックボックステストでは）見つけにくい問題もあるため、こうしてソースコードも合わせて確認を行い、検査の精度を高めています。

Sreake Security(現Securify脆弱性診断サービス)の事例となります